2 BAB II LANDASAN TEORI
2.1 Teori Keamanan Informasi Ketika suatu informasi berharga suatu organisasi berada di salah satu anggotanya, maka kerentanan telah muncul. Karena itu dengan pemahaman dan persepsi yang memadai akan isu keamanan informasi akan menyebabkan perubahan perilaku anggota organisasi tersebut untuk melindungi informasi berharga organisasi (Mattia, 2011). Keamanan sistem informasi jauh lebih luas perspektifnya dibandingkan dengan keamanan komputer. Hal tersebut termasuk sistem manual dan “human processors.”(Mattia, 2011). Penelitian Aishboul (2010) menunjukkan bahwa pentingnya korelasi antara aset organisasi, gangguan keamanan data, dan evaluasi tingkat keamanan sistem informasi. Selain itu, untuk mengelola tingkat keamanan informasi yang diharapkan, haruslah mengimplementasikan prosedur, pengukuran tingkat keamanan, serta panduan. Allen (2007) mengutip pengertian pengelolaan keamanan informasi menurut US National Institute of Standards and Technology (NIST) adalah suatu proses dalam membangun dan mengelola suatu kerangka dan mendukung struktur manajemen dan proses-proses untuk menyediakan keyakinan akan strategi
keamanan informasi. Selain itu, isu keamanan informasi pada dasarnya ada budaya kelompok atau organisasi. Dengan terciptanya budaya akan mendorong hubungan berkesinambungan antara kebijakan , proses, orang, dan kinerja (Allen, 2007). Untuk mengetahui bagaimana organisasi menempatkan keamanan informasi sebagai perhatian penting sekalian pengelolaan adalah dengan melihat bagaimana pemimpin organisasi menyebarluaskan keyakinan, perilaku, kapabilitas, dan tindakan yang sesuai dengan standar dan praktek yang biasa digunakan di tingkat internasional secara periodik. (Allen, 2007).
2.2 Model Bisnis untuk Keamanan Informasi Suatu kepercayaan umum, bahwa untuk menangani area kritis seperti keamanan informasi, harus didukung dengan model yang telah terbukti berhasil. Information Systems Audit and Control Association (ISACA) dalam publikasinya, “An Introduction to the Business Model for Information Security” mengenalkan Model Bisnis untuk Keamanan Informasi. Model ini merupakan model manajemen keamanan sistemik, diciptakan oleh Dr Laree Kiely dan Terry Benzel di USC Marshall School of Business Institute untuk Perlindungan Infrastruktur Informasi Kritis (ISACA, 2010). Model ini mengambil pendekatan yang berorientasi bisnis untuk mengelola keamanan informasi. Pendekatan keamanan informasi tersebut bersifat dinamis dalam konteks bisnis dan menunjukkan bahwa keamanan informasi perusahaan
dapat baik prediktif dan proaktif. Model ini dapat diadopsi tanpa memperhatikan ukuran organisasi atau arus kerangka keamanan informasi organisasi di tempat itu. Selain itu, model tersebut tidak tergantung pada setiap teknologi tertentu atau perubahan teknologi dari waktu ke waktu. Model ini dapat diterapkan di berbagai industri, geografi, peraturan dan sistem hukum. Model ini mencakup keamanan informasi tradisional maupun privasi, berkaitaan dengan risiko, maupun secara keamanan fisik dan kepatuhan (ISACA, 2010).
.
Gambar 2.1 The Business Model for Information Security (ISACA, 2010)
2.2.1 Organisasi Unsur Organisasi, ditunjukkan dalam gambar di atas, merupakan komponen penting dari Model Bisnis untuk Keamanan Informasi. Desain keseluruhan dari perusahaan adalah salah satu bagian dari elemen ini, sedangkan strategi adalah prasyarat menyeluruh yang mempengaruhi unsur Organisasi. Banyak pendekatan
untuk memfokuskan keamanan informasi pada Orang, Proses dan pandangan teknologi keamanan, tetapi tidak memeriksa perusahaan secara keseluruhan. Pendekatan ini mencakup aspek spesifik dari kesulitan dan masalah diamati, tanpa menyertakan aspek-aspek lain dari perusahaan secara keseluruhan yang mungkin telah berkontribusi terhadap pengamatan ini. Pendekatan ini sering berpusat pada teknologi atau proses, tapi tanpa pemahaman tentang kekuatan sekitar yang mungkin menetralisir usaha pengamanan informasi.
2.2.2 Proses Elemen Proses menyediakan kaitan penting untuk semua Model. Proses diciptakan untuk membantu organisasi mencapai strategi mereka. Proses adalah kegiatan terstruktur yang diciptakan untuk mencapai hasil tertentu melalui individu atau serangkaian tugas yang diterapkan secara konsisten. Elemen Proses menjelaskan praktek dan prosedur sebagai orang dan organisasi ingin mereka capai. Proses adalah persyaratan mendasar bagi suatu perusahaan untuk mengembangkan, menyebarluaskan, mendidik dan menegakkan praktik dan prosedur keamanan dalam suatu cara yang sedang berlangsung.
2.2.3 Teknologi Teknologi seringkali bagian paling kompleks dari program keamanan informasi dalam model ini. Teknologi memberikan praktisi keamanan banyak alat untuk mencapai misi dan strategi keamanan informasi perusahaan secara keseluruhan, termasuk parameter keamanan generik kerahasiaan, integritas dan ketersediaan. Namun, tidak semua teknologi yang ada untuk keamanan informasi,
meskipun sering ada kesalahpahaman bahwa investasi di bidang teknologi akan menyelesaikan setiap dan semua masalah keamanan.
2.2.4 Orang Orang merupakan sumber daya manusia dalam suatu organisasi-dalam, kontraktor karyawan, vendor dan penyedia layanan. Orang-orang utama dalam Model Bisnis untuk Keamanan Informasi adalah mereka yang bekerja atau berhubungan dengan organisasi. Namun, dalam situasi outsourcing, hubungan beberapa vendor atau pengelolaan layanan solusi teknologi, ada lingkaran kedua dimana ada orang yang tidak langsung bekerja di dalam atau untuk organisasi. Ini lingkaran orang yang lebih luas perlu dipertimbangkan, tetapi dampak mereka pada keamanan mungkin tidak berada dalam elemen Orang. Sebagai contoh, penyedia layanan help desk dapat dilihat sebagai suatu Proses dalam elemen, dan setiap efek
sistemik
berbasis orang akan melalui Munculnya. Dalam prakteknya, hasil akhir dari perubahan sistemik tentang orang sering kali sama-terlepas dari apakah orang internal atau eksternal yang diperbantukan. Keamanan informasi menurut ISO/IEC 17799: 2005 adalah: the ‘preservation of the confidentiality, integrity and availability of information; in addition, other properties, such as authenticity, accountability, non-repudiation and reliability can also be involved’. Dengan kata lain, ada tiga unsur utama yang terkandung dalam konteks keamanan informasi, yaitu: confidentiality, integrity, dan availibiliy, selain itu tambahannya adalah keaslian,
akuntabilitas, tidak mengelak, dan keandalan Lebih lanjut pengertian tiga unsur utama tersebut adalah sebagai berikut. 1. Confidentiality ISO/IEC 27001 mendefinisikan
confidentiality adalah bahwa informasi
tidak tersedia atau diungkapkan kepada individu, entitas, atau proses yang tidak sah. Misalnya pengungkapan informasi pada pihak tidak berhak secara lisan, surat elektronik, menyalin, mencetak dokumen, dan sebagainya. 2. Integrity ISO/IEC 27001 mendefinisikan integrity adalah tindakan menjaga keakuratan dan kelengkapan aset. Integritas suatu data bukan hanya benar, tetapi juga terpercaya. Sebagai contoh, jika sebuah informasi disalin ke dalam USB atau mengupload ke email, maka informasi tersebut bukan hanya tidak rahasia lagi, tetapi telah diragukan integritasnya. Sebab, jika sebuah file/data telah digandakan, maka akan terbuka kemungkinan risiko untuk diubah atau mengalami modifikasi. 3. Availability ISO/IEC 27001 mendefinisikan availability sebagai aset yang dapat diakses dan digunakan saat diminta oleh entitas yang berwenang. Ketersediaan dapat diukur dengan sebagai contoh adalah dalam konteks bisnis memiliki web portal yang aman melawan serangan Denial of Service (DoS) atau bila ketersediaan infrastruktur komputer tidak dapat diyakini bekerja pada sistem organisasi, hal ini menyebabkan proses atau orang-orang tidak dapat bekerja pada saat itu.
Veiga (2007) mengatakan Komponen keamanan informasi dapat dijelaskan sebagai prinsip yang memungkinkan implementasi dan maintenance keamanan informasi seperti kebijakan keamanan informasi, penilaian risiko, pengendalian teknikal, dan kesadaran keamanan informasi. Semua komponen tersebut meliputi Information Security Governance Framework.
2.3 Manajemen Risiko Wheeler (2011) menyatakan bahwa pengertian risiko yang dilekatkan pada informasi adalah kemungkinan frekuensi dan kemungkinan besarnya kehilangan kerahasiaan, ketersediaan, integritas, atau akuntabilitas pada masa depan. Kerahasiaan, keakuratan, dan ketersediaan merupakan elemen penting dalam keamanan informasi. Risiko gangguan terhadap elemen tersebut merupakan hal yang sangat mungkin terjadi. Karena itu untuk meminimalkan risiko serta mengupayakan agar sistem informasi tetap berjalan dibutuhkan suatu manajemen atas risiko tersebut. Gallagher (2012) menyatakan bahwa proses manajemen risiko yaitu: (1) memetakan risiko, (2) menilai risiko, (3) respon terhadap risiko, dan (4) pemantauan risiko. Jayawardhana (2009) menyatakan bahwa risiko yang dihadapi organisasi yang kurang memadai yaitu: kerusakan operasional, kerusakan reputasi, dan kerusakan legal. Kerusakan ini bisa berdampak jangka pendek dan jangka panjang.
Manajemen risiko merupakan salah satu bagian terpenting dalam pengelolaan keamanan sistem informasi. Agar pengelolaan risiko tersebut berjalan efektif, ISO/IEC 27001: 2005 memberikan klausul bahwa organisasi harus menjalankan manajemen risiko. Di dalam ISO/IEC 27001: 2005, manajemen risiko disempurnakan oleh pengembangan manajemen risiko, dimana aset, ancaman, dan kerentanan diidentifikasi dan risiko sepadan diukur. Jones (2007) menyatakan bahwa ada empat prinsip dasar yang mendukung strategi manajemen risiko, yaitu: koordinasi, kredibilitas, efektivitas, dan transparansi. Jones menjelaskan keempat prinsip tersebut sebagai berikut: 1. Koordinasi Ketika suatu risiko berhasil diidentifikasi, hal itu boleh jadi akan berdampak pada bagian lain dalam organisasi. Orang yang bertanggung jawab atas risiko tersebut perlu diberikan otoritas untuk mengkoordinasikan setiap risiko yang muncul pada berbagai area yang relevan. 2. Kredibilitas Pendekatan manajemen risiko sedapat mungkin proaktif dan proporsional dan ancaman (threats) potensial dan kerentanan seharusnya ditangani sebelum ada dampak. Ketika tindakan diambil, seharusnya biaya berimbang dengan dampak potensial. 3. Efektivitas Pendekatan manajemen risiko harus kuat dan mencakup seluruh aspek dari proses. Pendekatan tersebut harus dapat berlaku bagi pengawasan internal maupun
eksternal dan seharusnya dibangun dari praktek yang berlaku umum (best practices). 4. Transparansi Agar proses manajemen risiko dapat berjalan efektif, maka dibutuhkan keterbukaan akan proses tersebut. Pada risiko yang telah diidentifikasi, staf yang berkaitan harus diberikan akses pada informasi terkait sesuai dengan kebutuhan organisasi. Lebih lanjut Jones (2007) menjelaskan bahwa untuk menjelaskan prinsip dan komponen esensial dari proses manajemen risiko keamanan, diperlukan kerangka risiko (risk framework). Kerangka tersebut akan menjelaskan bagaimana risiko keamanan informasi yang signifikan dapat diidentifikasi (identified), dinilai (assessed), dievaluasi (monitored), dan diperlakukan (treated). Pemetaan kerangka risiko tersebut terhadap siklus model plan-do-check-act (PDCA) dapat dilihat pada gambar berikut.
Gambar 2 Pemetaan kerangka risiko pada model PDCA
Tremper (2005) menyatakan fungsi umum yang biasa digunakan dalam menghitung risiko adalah: RISK = Probability x Impact, dimana probability ialah ukuran kemungkinan suatu kejadian, dan impact adalah ukuran dampak jika hal tersebut terjadi.
2.3.1 Identifikasi risiko Identifikasi risiko secara akurat merupakan kegiatan penting dalam manajemen risiko. Setiap organisasi memiliki cara tersendiri dalam membuat daftar hasil identifikasi risiko. Pentingnya membuat identifikasi maupun pemetaan risiko agar organisasi memahami risiko bisnisnya dan selanjutnya membuat mitigasinya. Gallagher (2012) menyatakan bahwa memetakan risiko bertujuan untuk menghasilkan strategi manajemen risiko yang menunjukkan bagaimana organisasi bermaksud menilai risiko, merespons risiko, dan memantau risiko. Identifikasi risiko terdiri dari: 1. Kepatuhan terhadap standar dan regulasi Pada semua organisasi, ada regulasi tertentu yang meminta agar organisasi untuk memenuhi standar yang diatur. Sebagai contoh produk perundangan seperti Sarbanes Oxley dan Basel II, standar sektor perdagangan, dan juga standar dan kebijakan yang berlaku secara internasional yang diadopsi oleh organisasi. Regulasi yang relevan harus diidentifikasi dan persayaratan dalam regulasi tersebut harus dipahami.
2. Identifikasi aset dan proses Pengidentifikasian aset dan proses dilakukan untuk melihat elemen mana saja yang akan menjadi subjek penilaian risiko. Identifikasi ini akan mencakup aset berwujud (tangible assets) dan aset tak berwujud (intangible assets). Selain itu, bila organisasi menggunakan teknologi informasi dalam operasinya, maka pemahaman komprehensif akan lingkungan operasi bisnis mesti ditangkap (captured). Sebuah survey dapat dilakukan untuk untuk menangkap dan merekam sumber daya (resources), lokasi, konfigurasi hardware dan software, antar muka (interface) dan saling ketergantungan (interdependencies). 3. Pemetaan lingkungan teknologi informasi Tujuan melakukan pemetaan lingkungan teknologi informasi adalah memperoleh pemahaman akan infrastruktur teknologi informasi organisasi untuk mengidentifikasi secara utuh kebutuhan keamanan informasi. Pemetaan ini mencakup pemetaan infrastruktur yang mendukung fungsi-fungsi bisnis dan kebijakan keamanan, standar, dan prosedur yang sedang digunakan. Hal ini juga mengkaji teknologi informasi terkait dengan hukum dan persyaratan yang telah diatur. 4. Identifikasi risiko Proses pengidentifikasian risiko dilakukan untuk mengetahui informasi yang memadai agar dilakukan perhitungan akan nilai setiap ancaman (threat) dan kerentanan (vulnerabilities) yang telah teridentifikasi. Nilai tersebut berdasarkan kemungkinan ancaman mengekspolitasi kerentanan dan tingkat dampak yang muncul dari ancaman yang mengeksploitasi kerentanan yang ada terdapat pada
sistem. Dampak didefinisikan sebagai kehilangan kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availibility). Proses tersebut dapat dilihat pada gambar berikut.
Gambar 2.3 Identifikasi Risiko (Jones, 2007)
Penjelasan gambar di atas adalah sebagai berikut: (1) pengidentifikasian ancaman potensial pada sistem; (2) pengidentifikasian kerentanan yang dapat dieksploitasi; (3) pengidentifikasian
pengendalian
dan
penanggulangan
(countermeasures) yang memitigasi kemungkinan (likelihood) kerentanan yang dapat dieksploitasi; (4) Perhitungan tingkat dampak yang dibuat oleh ancaman yang mengeksploitasi kerentanan; (5) Perhitungan
tingkat risiko ancaman yang
kerentanan spesifik; dan
mengeksploitasi
(6) Pengidentifikasian dan pendokumentasian risiko residu. 5. Kepemilikan risiko Kepemilikan risiko yaitu orang yang bertanggung jawab untuk memastikan strategi penanggulangan risiko telah memadai, dan orang yang memiliki otoritas untuk memastikan tindakan yang tepat telah dilakukan.
2.3.2 Penilaian risiko Proses penilaian risiko dicapai dengan pembentukan keterkaitan kualitatif dan kuantitatif antara risiko-risiko yang telah teridentifikasi. Hal tersebut meliputi proses penentuan signifikansi pasangan ancaman dan kerentanan, dan pengestimasian risiko yang mungkin muncul terhadap sistem akibat ancaman dan kerentanan tersebut. Bila dilihat dari sudut pandang perencanaan, hal-hal yang berkaitan dengan penilaian risiko adalah sebagai berikut: 1. Perencanaan pengurangan risiko (1) Evaluasi atas pilihan dan identifikasi solusi yang diharapkan Pada bagian ini, rencana keamanan informasi bertujuan untuk memperkuat perlindungan. (2) Prioritas terhadap tindakan Hal-hal yang perlu dipertimbangkan dalam menentukan prioritas antara lain: dampak potensial bagi organisasi, biaya pencegahan dibandingkan biaya akibat gangguan, waktu, tenaga dan kompleksitas penerapan, kemungkinan keberhasilan, dan konsekwensi pengendalian yang baru atas suatu proses.
(3) Pembuatan dan penerapan suatu rencana aksi keamanan Sebuah rencana aksi keamanan adalah dokumen yang bertujuan untuk mengetahui langkah-langkah yang tepat dalam rangka mengatasi permasalahan disertai dengan jadwal waktu penerapannya. (4) Review kebijakan dan prosedur Pada bagian ini, dilakukan perbaikan atas tindakan yang telah dilakukan, perbaikan tersebut dapat bersumber dari analisis atas pelajaran yang diperoleh (lesson learned) dan analisis kejadian setelah suatu tindakan telah diambil. (5) Pembangunan rencana manajemen krisis Pada bagian ini, serangkaian skenario kemungkinan krisis disusun setelah laporan penilaian risiko diterbitkan. Rencana manajemen krisis terdiri dari analisis ruang lingkup skenario krisis potensial dan pembangunan rencana tindak atas respon dari skenario krisis. (6) Pembangunan rencana komunikasi Pada bagian ini, dibangun rencana komunikasi untuk meyakinkan setiap anggota organisasi tahu siapa orang yang berkaitan dengan aspek komunikasi selama krisis. (7) Pengembangan rencana pemulihan setelah krisis Pada bagian ini, dibangun rencana secara sistematis untuk mengembalikan krisis ke operasi normal, serta meyakinkan biaya pemulihan setelah krisis masih di dalam anggaran organisasi. 2. Pemodelan risiko
Tujuan melakukan pemodelan risiko adalah menyajikan aspek keamanan informasi organisasi untuk mengeksplorasi sistem dengan menggunakan pertanyaan apa-jika (what-if scenario). Contoh: apa dampak kerentanan yang ada dalam sistem?, apa hal yang harus dilakukan untuk mengurangi dampak pada sebuah insiden?, penanggulangan apa yang efektif? 3. Pengujian Tujuan pengujian yaitu mengetahui apakah perencanaan maupun prosedur yang telah dirancang dapat memberikan hasil yang diharapkan. Selain itu pada tahapan ini dilakukan review atas implementasi perencanaan, merumuskan kembali perencanaan, dan melakukan kembali rencana tersebut. pada dasarnya dalam manajemen risiko, haruslah dilihat sebagai sebuah siklus dari mulai pengidentifikasian risiko, penilaian risiko, perlakuan risiko, dan monitoring dan pelaporan risiko.
2.3.3 Analisis Risiko Munteanu (2006) menyimpulkan bahwa pengukuran resiko keamanan merupakan pekerjaan yang sulit, yang hampir tidak mungkin dilakukan secara akurat, untuk sebuah SI. Pada literatur keamanan informasi, dapat dilihat bahwa dalam metode kuantitatif terdapat tahapan penilaian value of the assets. Dalam memperoleh nilai aset, seperti aset berupa informasi atau database, sangat terbuka peluang munculnya subjektifitas penilai. Sebab dalam penilaian tersebut, terdiri dari beberapa elemen yang harus ditaksir. Elemen tersebut antara lain, nilai dari kompetitis aset, biaya perangkat lunak, biaya untuk melindunginya, dan lain-lain. Sedangkan pada metode kualitatif menggunakan kuesioner untuk memperoleh
fakta, melalui estimasi secara statistik, dengan penilaian low, medium dan high, sehingga ditemukan kesulitan dalam menghitung kerugian finansial jika hanya berdasarkan asumsi atau judgment. Mazareanu (2007) menyimpulkan bahwa pada pendekatan kualitatif sangat didominasi oleh pengukuran yang subjektif, sedangkan pada pendekatan kuantitatif dapat meniadakan sifat subjektif yang ada, sehingga akan lebih objektif dibandingkan metode kualitatif. Hasil penelitian yang dituliskan oleh Munteanu (2006), bahwa pendekatan kualitatif dan kuantitatif, sama-sama tidak dapat terlepas dari penilaian yang bersifat subjektif, karena pada pendekatan kuantitatif pun ditemukan tahapan dimana perlu dilakukan sebuah perkiraan dan judgment dari peneliti agar dapat menilai value of asset, nilai dari kompetitif aset, biaya perangkat lunak, biaya untuk melindunginya. Sedangkan hasil penelitian yang dituliskan oleh Mazareanu (2007), menyatakan bahwa pendekatan kuantitif dapat menghilangkan penilaian yang bersifat subjektif, karena melakukan penilaian dengan angka-angka yang akurat dan terukur.
2.3.4 Penanggulangan risiko Ada empat penanggulangan terhadap risiko setelah berhasil diidentifikasi, yaitu sebagai berikut: 1. Penghindaran risiko (risk avoidance)
Penghindaran risiko berarti tidak melakukan aktivitas apapun yang memungkinkan datangnya risiko. Menghindari semua risiko berarti membatasi seluruh fungsionalitas sistem atau menghindari timbulnya biaya tambahan bila risiko diterima. 2. Pengurangan risiko (risk reduction) Pengurangan risiko adalah perlakuan yang mencakup metode yang diambil untuk mengurangi keparahan akibat suatu insiden. Contoh pengurangan risiko antara lain penggunaan pengendalian internal yang efektif, penggunaan firewall dan intruder detection systems (IDSs) untuk mengurangi kemungkinan serangan terhadap kerentanan, atau simplifikasi proses bisnis yang dapat mengurangi risiko atau mengurangi biaya. 3. Penerimaan risiko (risk acceptance) Penerimaan risiko adalah perlakuan dimana risiko dari insiden dapat diterima. Penerimaan terhadap suatu risiko dapat menjadi layak ketika dampak atau kemungkinannya kecil, atau biaya untuk menanggulanginya lebih kecil dari kemungkinan dampak yang dihasilkan. Risiko yang tidak semuanya dihindari, dikurangi, atau dialihkan merupakan bagian dari penerimaan risiko. 4. pengalihan risiko (risk transfer) Pengalihan risiko berarti mengalihkan risiko ke pihak lain. Contoh pengalihan risiko adalah asuransi. Pilihan perlakuan atas risiko terkait dengan frekuensi dan dampaknya tersebut dapat dilihat pada gambar berikut.
Gambar 2.4 Pilihan perlakuan risiko (Jones, 2007)
Menurut Krutz (2003), dengan menggunakan kontrol keamanan informasi, diharapkan akan mampu meredam risiko yang ada, dimana kontrol akan memiliki fungsi sebagai berikut: -
Kontrol pencegahan (preventive control), yaitu kontrol yang befungsi melakukan pencegahan dari upaya-upaya melanggar kebijakan dan aturan keamanan informasi.
-
Kontrol pendeteksi (detective control): yaitu kontrol yang berfungsi melakukan peringatan adanya pelanggaran yang terjadi sebagai upaya pelanggaran kebijakan atau aturan keamanan informasi. Beberapa detective control overlap dengan preventive control, karena sebuah kontrol dapat digunakan sebagai preventive untuk masa depan, dan detective untuk kejadian saat ini.
-
Kontrol koreksi (corrective control), yaitu kontrol yang berfungsi untuk melakukan recovery dari dampak yang telah ditimbulkan oleh terjadinya risiko.
2.3.5 Monitoring dan pelaporan risiko 1. Monitoring risiko Monitoring risiko adalah aktivitas pemantauan yang dilakukan pihak internal dalam tiap jangka waktu tertentu. Monitoring risiko dapat berupa pengelolaan dokumentasi atas accidents dan incidents yang berpengaruh terhadap sistem informasi, pengidentifikasian risiko baru yang mungkin terjadi serta pendeteksian perubahan atas risiko yang telah teridentifikasi, menyediakan peringatan atas kerentanan dan insiden, dan mengelola rencana manajemen risiko. 2. Pelaporan Pelaporan yang efektif merupakan elemen mendasar dari manajemen risiko. Suatu pelaporan risiko seharusnya menyediakan informasi yang terpercaya dan relevan bagi para pembaca agar pembaca memperoleh pemahaman yang cukup atas risiko yang mengancam organisasi. Selanjutnya, atas pemahaman tersebut digunakan untuk pengambilan keputusan.
Penilaian risiko merupakan bagian penting dari manajemen risiko dan berhubungan dengan mengidentifikasi dan grading risiko bagi organisasi. Peltier (2009) menyatakan bahwa penilaian risiko adalah serangkaian proses untuk mengidentifikasi ancaman (threats) secara sistematis dan dan menentukan level risiko berdasarkan metode spesifik. Dengan mengetahui tingkat risiko, organisasi dapat mengidentifikasi pengukuran pengendalian untuk mengurangi risiko yang dapat diterima. Penilaian risiko memiliki empat tahapan utama, yaitu mengidentifikasi ancaman terhadap misi organisasi, memprioritaskan ancaman
tersebut ke tingkat risiko, mengidentifikasi mitigasi kontrol atau perlindungan, dan membuat rencana aksi untuk menerapkan kontrol-kontrol yang meringankan risiko. Penilaian risiko terdiri dari analisis risiko dan evaluasi risiko. Analisis risiko adalah pendekatan sistematis memperkirakan besarnya risiko. Evaluasi risiko adalah proses membandingkan estimasi risiko terhadap kriteria risiko untuk menentukan signifikansi risiko (ISO 17799).
2.4 Sistem Manajemen Keamanan Informasi Sistem Manajemen Keamanan Informasi (SMKI) merupakan bagian dari manajemen secara keseluruhan. Informasi dipandang sebagai aset penting sama seperti aset perusahaan lainnya, karena itu bagi perusahaan adalah hal yang penting untuk menggunakan pendekatan risiko dalam mengelola aset tersebut (ISO 27001:2005). Pengamanan atas aset informasi tersebut mencakup aspek kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability). Tujuan pengamanan atas informasi tersebut pada dasarnya adalah melindungi informasi dari berbagai ancaman agar aktivitas bisnis dapat terus berlangsung serta risiko bisnis dapat terminimalisasi. Sistem Manajemen Keamanan Informasi (SMKI) diterapkan dengan menggunakan model Plan Do Check Act (PDCA). Tahapan dalam model tersebut adalah sebagai berikut (SNI ISO/IEC 27001:2009). 1. Plan (penetapan SMKI)
Menetapkan kebijakan, sasaran,proses dan prosedur SMKI yang sesuai untuk pengelolaan risiko dan perbaikan keamanan informasi agarmenghasilkan hasil yang sesuai dengan kebijakan dan sasaran organisasi secara keseluruhan. 2. Do (penerapan dan pengoperasian SMKI) Menerapkan dan mengoperasikan kebijakan, pengendalian, proses, dan prosedur SMKI. 3. Check (pemantauan dan pengkajian SMKI) Mengases dan, apabila berlaku, mengukur kinerja proses terhadap kebijakan, sasaran SMKI dan pengalaman praktis dan melaporkan hasilnya kepada manajemen untuk pengkajian. 4. Act (peningkatan dan pemeliharaan SMKI) Mengambil tindakan korektif dan pencegahan berdasarkan hasil internal audit SMKI dan tinjauan manajemen atau informasi terkait lainnya,untuk mencapai perbaikan berkesinambungan dalam SMKI. Hubungan antara Plan, Do, Act, dan Check dalam SMKI dapat dilihat pada gambar berikut.
Gambar 2.5 Pemetaan ISMS/SMKI terhadap model PDCA
Manfaat implementasi dari sistem manajemen keamanan informasi yang komprehensif, seperti yang disebutkan oleh Jalil (2004) dari hasil survei adalah sebagai berikut: 1. Meningkatkan pemahaman terhadap aspek-aspek bisnis 2. Mengurangi pelanggaran pengamanan atau keluhan 3. Mengurangi publikasi yang merugikan 4. Memperbaiki rating dari liabilitas jaminan perusahaan 5. Mengidentifikasi aset-aset kritikal melalui penilaian risiko bisnis 6. Menjamin bahwa modal pengetahuan akan disimpan dalam sistem manajemen bisnis 7. Meningkatkan faktor kepercayaan diri, baik internal maupun eksternal 8. Pendekatan sistematik 9. Menyediakan struktur untuk perbaikan terus menerus 10. Meningkatkan pengetahuan dan kepentingan dari isu-isu tentang pengamanan di level manajemen Kakkar (2012) menyatakan bahwa kebutuhan utama sistem manajemen keamanan informasi adalah untuk mengelola risiko terkait keamanan informasi. Dengan membangun sistem manajemen keamanan informasi, organisasi dapat menentukan tingkat keamanan, rencana mitigasi, dan menyebarkan risiko terkait aset-aset tersebut pada upaya-upaya penanggulangan secara teknikal. Selain itu, sistem manajemen keamanan informasi memungkinkan untuk membantu organisasi dalam membangun pemahaman akan aktivitas utama bisnis dan strategi serta mengidentifikasi risiko-risiko terkait aktivitas tersebut.
Namun Kakkar (2012) menyatakan bahwa bahwa pemilihan dan implementasi sistem manajemen keamanan informasi memiliki kelemahan dalam kondisi berikut: 1. Definisi ruang lingkup kebijakan keamanan informasi adalah langkah krusial. Banyak organisasi memilih ruang lingkup yang terlalu terbatas untuk meminimalisasi kompleksitas, namun ketika tahap implementasi, mereka tidak efektif melakukannya. 2. Tujuan utama sistem manajemen keamanan informasi pada dasarnya adalah keuntungan keamanan informasi terhadap organisasi. Banyak organisasi mengimplementasikan sistem manajemen keamanan informasi hanya untuk mendapatkan sertifikasi dan menunjukkannya pada pelanggan. Hal ini menyebabkan tujuan penerapan sistem manajemen keamanan informasi berisiko kehilangan kefektifannya. 3. Implementasi sistem manajemen keamanan informasi membutuhkan biaya. Karena itu manajemen seharusnya memahami bahwa keuntungan (akan keamanan informasi) tidak pernah gratis. 4. Sebelum tergantung akan sistem manajemen keamanan informasi, organisasi harus memahami bahwa keberhasilan dan keefektifan sistem manajemen keamanan informasi sangat tergantung pada faktor kesadaran dan ketertarikan orang di dalamnya. 5. Di beberapa organisasi, banyak orang yang enggan mengambil tanggung jawab dalam kaitannya kewajiban keamanan karena takut akan kesalahan dan kelalaian. Manajemen seharusnya menyadari bahwa keberhasilan tidak dapat
dicapai dalam waktu semalam, karena itu dibutuhkan tindakan proaktif agar memberikan hasil nyata. 6. Kesadaran dan training tentang kebijakan keamanan informasi, prosedur dan keuntungannya adalah faktor kunci keberhasilan sistem manjemen keamanan informasi. Hal itu membutuhkan partisipasi aktif orang-orang dari setiap level dalam organisasi. 7. Meski sistem manajemen keamanan informasi dilakukan oleh orang-orang. Namun kenyataannya faktor teknologi dan teknikal merupakan faktor mayoritas dalam pengimplementasiannya. Karena itu dibutuhkan analisis selanjutnya seperti biaya, kelayakan praktikal, keefektifan, kegunaan, keuntungan, dan seterusnya. 8. Setelah pengimplementasian sistem manajemen keamanan informasi, langkah penting selanjutnya adalah melakukan assessment dan pengembangan. Assessment seharusnya dilakukan secara komprehensif, tertata dengan baik, dan fokus pada tujuan. Hasil studi menunjukkan bahwa banyak organisasi tidak melakukan assesstment secara menyeluruh, sehingga dampak ancaman internal dan eksternal boleh jadi terdapat dalam perlindungan data sementara belum pernah ditentukan risiko yang dapat diterima dimana seharusnya dapat dirumuskan seperti apa pengamanannya. 9. Frekuensi audit dan assessment juga memegang peranan penting. Assessment yang terlalu cepat di awal akan mengeluarkan banyak biaya dan tidak memberi banyak perubahan, sementara assessment yang terlalu lama di akhir akan membuat terlalu banyak risiko keamanan.
10. Mengembangkan sistem manajemen keamanan informasi setelah adanya hasil audit merupakan hal yang penting. Menunda pengembangan berarti tidak ada pengembangan.
Pengembangan
yang
dilakukan
tepat
waktu
berarti
peningkatan akan keuntungan dari sistem manajemen keamanan informasi. Banyak organisasi yang menunda melakukan perbaikan pada kebijakan keamanan maupun teknologinya. Hal ini berarti memperbesar risiko akan keamanan informasinya. Calder dan Watkins (2006) menyatakan bahwa ketika bahaya keamanan informasi begitu jelas mengancam kerahasiaan, integritas, dan ketersediaan, tanggung jawab stratejik untuk menyelamatkan aset informasi bukan hanya pekerjaan Chief Information Officer(CIO).
2.5 ISO 27001: 2005 ISO 27001: 2005 merupakan standar spesifikasi kebutuhan sistem manajemen keamanan informasi yang dikeluarkan oleh the International Organisation for Standardisation (ISO) dan the International Electrotechnical Commission (IEC) pada bulan Oktober 2005. Standar ini telah disiapkan untuk menyediakan model untuk penetapan, penerapan, pelaksanaan, pemantauan, pengkajian, pemeliharaan dan perbaikan sebuah Sistem Manajemen Keamanan Informasi (SMKI). ISO/IEC 27001:2005 awalnya muncul sebagai BS 7799 (standar Inggris) pada tahun 1999. BS7799 diinsiasi oleh Departemen Industri dan Perdagangan Inggris bersama dengan sektor industri terkemuka di Inggris. Awalnya BS 7799 adalah sebuah standar praktek manajemen keamanan informasi. Bagi organisasi
yang SMKI-nya berkembang dengan baik, dapat menerapkan BS7799 dengan baik. Namun, saat itu tidak ada yang bisa memperoleh sertifikasi BS7799, sebab United Kingdom Accreditation Service (UKAS), sebuah badan yang bertugas memberi akreditasi pada badan sertifikasi di Inggris, tidak masuk ke ranah BS7799. BS7799 part 1 direvisi oleh British Standard Institute (BSI) pada tahun 2000, menjadi ISO/IEC 17799:2000. Pada tahun 2002, part 2 dari BS7799 diluncurkan dengan nama BS7799-2. Pada part 2 ini telah mencakup SMKI, lebih dari sekedar code of practice, dan telah mendekati standar manajemen mutu seperti ISO 9000. Alasan mengapa BSI memutuskan agar BS7799 dijadikan sebagai standar manajemen keamanan informasi internasional adalah agar setiap organisasi dapat melindungi proses bisnis dan aktivitas untuk mencapai kebutuhan bisnis dengan berbagai macam kontrol. Dengan menggunakan best practice internasional diharapkan banyak organisasi dapat mengamankan prosesdan aktivitias bisnis untuk mencapai tujuan. Pada 15 Juni 2005, diluncurkan dengan secara eksplisit menggabungkan Plan-Do-Check-Act ke dalam konsep siklus proses, akhirnya ISO 27001:2005 menggantikan ISO/IEC 17799:2000. Pada tahun 2009, Indonesia melalui Badan Standardisasi Nasional (BSN) menyusun standar SNI ISO/IEC 27001: 2009 “ Teknologi informasi – Teknik Keamanan – Sistem manajemen keamanan informasi – Persyaratan” disusun secara adopsi identik terhadap standar ISO/IEC 27001:2005, Information technology – security techniques- Information security management systems –
Requirements, dengan metode terjemahan oleh Panitia Teknis Sistem Manajemen Mutu yang dibentuk oleh BSN. ISO/IEC 27001 adalah bagian dari standar manajemen keamanan informasi seri 27000. Adapun seri lengkapnya sebagai berikut. 1. ISO/IEC 27000 – Overview and Vocabulary; 2. ISO/IEC 27001:2005 – ISMS Requirements (revised BS7799 Part 2:200); 3. ISO/IEC 27002:2005 – Code of Practice for Information Security Management; sebelumnya ISO/IEC 17799; 4. ISO/IEC 27003 – ISMS Implementation Guidance; 5. ISO/IEC 27004 – Information Security Management Measurement; 6. ISO/IEC 27005 – Information Security Risk Management; 7. ISO/IEC 27006 – Requirements for bodies providing audit and certification of information security management systems. SMKI merupakan suatu proses dan bukan suatu produk, dalam hal ini dapat diartikan sebagai suatu proses yang bertujuan untuk mengidentifikasikan dan meminimalkan resiko keamanan informasi sampai ketingkat yang dapat diterima, proses dimaksud haruslah dapat dikelola sesuai dengan standar yang telah ditetapkan. ISO telah memperkenalkan Standar ini dengan konsep “Sistem Manajemen" ke dalam bidang keamanan, yang secara garis besar dapat dikatakan sebagai suatu perangkat
yang
diambil
dari
sistem
yang
berkualitas
untuk
menyimpan/memelihara proses keamanan di bawah kendali yang secara sistematis dan dari waktu ke waktu dengan menjelasankan peran, tanggung-jawab, prosedur
formal dan saluran komunikasi. Dimana suatu Sistem Manajemen Keamanan Informasi yang efektif dan efisien mengizinkan perusahaan/organisasi untuk: 1. Secara konstan diperbaharui atas adanya ancaman baru dan poin-poin penting serta mengambilnya ke dalam pertimbangan sistematis 2. Menangani kecelakaan dan kerugian dari segi pandangan pencegahan dan peningkatan sistem berlanjut 3. Mengetahui ketika kebijakan dan prosedur tidak cukup diterapkan pada mulanya untuk mencegah kerusakan 4. Menerapkan kebijakan dan prosedur tentang pentingnya manajemen keamanan, dengan mengikuti "prosedur praktek terbaik" dan manajemen resiko yang baik. ISMS tidak spesifik mengarah ke salah satu industri, namun merupakan kerangka kerja yang dengan memodifikasinya dapat diterapkan di berbagai industri seperti perbankan, pemerintahan, manufaktur dan sebagainya. Struktur ISO/IEC 27001:2005 ini terdiri dari 11 klausa utama, 39 kontrol obyektif, dan 134 kontrol individual. Masing-masing area kontroltersebut menyediakan panduan dan best practices dalam membuata suatu pengamanan yang efektif. Kesebelas klausa utama tersebut yaitu: 1. Security Policy (Kebijakan keamanan); Kebijakan keamanan informasi bertujuan untuk menyediakan arahan dan dukungan manajemen untuk keamanan informasi termasuk regulasi. 2. Organization of information security (Organisasi keamanan informasi);
Organisasi keamanan informasi merupakan proses yang diimplementasikan untuk pengelolaan keamanan informasi dalam organisasi. 3. Asset Management (Manajemen aset); Bertujuan untuk memelihara perlindungan yang sesuai terhadap aset organisasi 4. Human resources security (Keamanan sumberdaya manusia); Bertujuan untuk mengurangi risiko terjadinya human error, pencurian,dan penyalahgunaan fasilitas 5. Physical and Environmental Security (Keamanan fisik dan lingkungan); Bertujuan untuk mencegah akses yang tidak terotorisasi, kehancuran, dan campur tangan pada informasi dan proses bisnis. 6. Communication and operations management (Komunikasi dan manajemen operasi ); Bertujuan untuk menjamin ketepatan dan keamanan fasilitas pemrosesan informasi. 7. Access Control (Kendali Akses); Bertujuan untuk mengontrol akses informasi. 8. Information systems acquisition, development and maintenance (Akuisisi sistem informasi, pengembangan dan pemeliharaan); Bertujuan uyntuk menjamin pengamanan sistem informasi. 9. Information security incident management (Manajemen kejadian keamanan informasi); Bertujuan untuk menjamin insidaen yang berkaitan denganpenamanan indormasi dikomuniakasikandan ditangani melalui tindakan korektif.
10. Business continuity management (Manajemen kesinambungan bisnis); Bertujuan untuk mengamankan interupsi pada aktivitas bisnis dan untuk melindungi proses bisnis yang kritikal dari kegagalan yang terjadi ataupun bencana. 11. Compliance (kepatuhan terhadap peraturan). Bertujuan untuk menghindari terjadinya kriminalitas,pelanggaran hukum dan pelanggaran peraturan. Hui Lin (2012) mengatakan bahwa pada dasarnya organisasi dapat memilih framework apa yang digunakan dalam rangka sistem manajemen keamanan informasi, apakah yang sifatnya kontrol yang spesifik seperti ISO 27001 atau yang sifatnya IT processes seperti COBIT. Dan bahkan dapat menggabungkan beberapa framework sesuai kebutuhan organisasi tersebut. Jayawickrama (2006) mengatakan bahwa kelebihan organisasi mengadopsi ISO 27001:2005 sebagai sistem manajemen keamanan informasi adalah karena ISO 27001:2005 memiliki pendekatan yang sistematis dan komprehensif atas keamanan suatu prosesn sistem pengendalian. Salah satunya adalah penilaian risiko dan rencana aksi atas fokus penilaian risiko dari suatu sistem atau proses yang mempertimbangkan banyak faktor-faktor yang dapat berdampak pada ketergantungan organisasi secara internal maupun eksternal. ISO 27001:2005 mendefinisikan critical success factor dalam implementasi pengamanan informasi yaitu sebagai berikut: 1. Kebijakan,
tujuan
dan
mencerminkan tujuan bisnis;
kegiatan
pengamanan
informasi
yang
2. Pendekatan dan kerangka untuk mengimplementasian, memelihara, memonitor,dan memperbaiki pengamanan informasi yang konsisten dalam budaya organisasi; 3. Dukungan dan komitmen yang jelas dari seluruh level manajemen 4. Pemahaman yang baik tentang keburuhan pengamanan informasi, risk assessment, dan risk management; 5. Sosialiasi yang efektif tentang pengamanan informasi kepada semua manaher, personil, dan pihak lain untuk menumbuhkan awareness (kesadaran); 6. Distribusi panduan kebujakan pengamanan informasui,dan standar kepada seluruh manajer,personil, dan pihak lain; 7. Komitmen untuk mendanai kegiatan manajemen pengamanan informasi; 8. Penyediaan training awareness dan pendidikan yang memadai; 9. Menetapkan proses manejemen insiden pengamanan informasi yang efektif; 10. Implementasi
dari
sistem
pengukuran
yang
digunakan
untuk
mengevaluasi kinerja dalam manajemen oengamanan informasi dan umpan balik untuk perbaikan.
2.6 Pengendalian Aplikasi GAO (2009) menyatakan bahwa dalam evaluasi suatu pengendalian sistem informasi, meliputi pengendalian umum dan pengendalian aplikasi. Suatu entitas harus memiliki pengendalian umum dan pengendalian aplikasi yang efektif untuk
mencapai kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availibility) informasi kritis yang sesuai. ISACA (2009) memberikan pengertian pengendalian aplikasi adalah kumpulan kebijakan, prosedur dan aktivitas yang dirancang untuk menyediakan keyakinan yang memadai dimana tujuan-tujuan relevan dengan solusi otomatis yang diberikan tercapai. Tujuan-tujuan tersebut yaitu: 1. Kelengkapan (completeness) 2. Akurasi (accuracy) 3. Validitas (validity) 4. Otorisasi (authorisation) 5. Pemisahan fungsi (segregation of duties)
2.7 Analytic Hierarchy Process Analytic Hierarchy Process (AHP) adalah analisis pengambilan keputusan dengan multi kriteria yang diperkenalkan oleh Saaty (1990). AHP merupakan metode pengambilan keputusan dengan memetakan masalah ke dalam suatu hierarki. Pada dasarnya, metode AHP adalah menempatkan tiap-tiap masalah dan mendefinsikan dalam bentuk variabel, menatanya dalam susunan hierarki, selanjutnya dengan pertimbangan subyektif memberi nilai tentang pentingnya pada variabel tersebut dan selanjutnya menghitung serta menetapkan variabel mana yang memiliki prioritas tertinggi dalam mempengaruhi situasi tersebut. AHP lebih disukai karena problem pengambilan keputusan yang sangat kompleks (dengan faktor berwujud atau tidak berwujud) dapat dibangun dengan
baik (Syamsuddin, 2011). Selanjutnya para pengambil keputusan dapat memadukan analisis kualitatif dan kuantitatif dengan menggunakan teknik ini (Syamsuddin, 2011). AHP juga telah terbukti sebagai teknik pengambilan keputusan yang sudah terpakai luas 25 tahun atau lebih (Vadya dan Kumar, 2006). Secara umum, ada empat langkah yang diambil dalam pengimplementasian AHP (Saaty,1990), yaitu: Langkah pertama, susun permasalahan dalam hirarki. Langkah ini berisikan cara untuk memetakan permasalahan dalam elemen-elemen yang sesuai dengan karakteristiknya dan bentuknya. Model pemetaan ini terdiri dari tiga level yaitu: goal, criteria, dan alternatives.
Langkah kedua, bandingkan dan peroleh matriks judgment. Pada langkah ini elemen pada tiap level dibandingkan dengan level di atasnya. Hasilnya berupa local weight tiap level. Langkah ketiga, rata-rata tertimbang (weight sum factor) dan konsistensi perbandingan. Pada langkah ini menentukan weight sum factor tiap elemen dari
matriks dengan mengalikan row average dengan matriks awal, dan consistency vector dengan membagi weight sum vector dengan row average.
Setelah mendapatkan consistency vector, lalu dapat dihitung lambda dan consistency index dengan lambda (λ ) adalah rata-rata dari consistency vector dan consistency index (CI) dengan rumus :
dimana n adalah jumlah item dari sistem yang dibandingkan. Setelah mendapatkan consistency index (CI), bisa didapatkan consistency ratio (CR) dengan rumus :
Dengan random index (RI) yang didapat dari tabel random index berikut
Untuk mendapatkan hasil yang konsisten, maka nilai dari consistency ratio (CR) harus lebih kecil sama dengan 0,10. Jika CR lebih besar dari 0,10 maka keputusan yang diambil harus dievaluasi ulang. Langkah keempat, menghitung local weight antar level untuk menentukan final weight dari alternatif-alternatif. Pada langkah ini, seluruh local weight
dikumpulkan dan dihitung secara keseluruhan untuk menentukan berapa final weight untuk tiap alternatif-alternatif keputusan.
