BAB 1 PENDAHULUAN
1.1
Latar Belakang Hampir tiga perempat dari pemerintah administrator TI melakukan jajak
pendapat dalam survey baru percaya bahwa AS akan menghadapi cyber attack dari negara asing di tahun depan. Kunci pembuat keputusan TI yang bekerja di pertahanan dan keamanan nasional di tanyai dalam survei Research Gorup baru Clarus ditugaskan oleh Lumension. Di antara responden untuk cyber “Keamanan Federal Survey Outlook untuk tahun 2010” mengharapkan 74% cyber attack dari pantai asing di tahun depan. “Menurut Federal IT pres Jenis ancaman dan risiko keamanan melakukan federal professional TI yang paling takut?. Diantara responden, 64% mengatakan mereka khawatir tentang pertumbuhan dan kecanggihan cyber attacks, sementara 49% karyawan menyatakan keprihatinan atas kelalaian atau sengaja menciptakan berbahaya atau orang dalam kesulitan. Risiko ini juga meningkat karena kurangnya sumber daya yang cukup dan koordinasi, 42% mengatakan mereka tidak memiliki anggaran atau staf untuk menangani risiko keamanan dengan baik, 25% mencatat kurangnya integrasi antara keamanan dan keseluruahn operasi TI, 22% mengatakan tidak ada koordinasi antara keamanan dan operasi TI mereka. Dan akhirnya – kita perlu bergeser dari focus yang mutlak untuk menjadi kompatibel dengan ad – hoc untuk verifikasi ke salah satu yang aman dan terus menerus pemantauan lingkungan TI kami untuk memastikan bahwa control yang tepat selalu berlaku”.
Dalam perkembangan zaman, saat ini peranan Teknologi Informasi sudah merupakan hal yang tidak dapat ditawar-tawar lagi dalam sebuah organisasi modern. Keberhasilan suatu organisasi dalam mencapai tujuannya selain sangat tergantung pada sumber daya manusia juga tergantung kepada sumber daya pendukung, salah satunya adalah Teknologi Informasi. Perkembangan Teknologi Informasi (TI) sekarang ini sangat berkembang pesat, hal tersebut dikarenakan teknologi informasi memungkinkan dalam penciptaan layanan yang berkualitas dan optimaliasasi proses bisnis dalam suatu organisasi. Teknologi informasi pada setiap perusahaan, selain memberikan keuntungan juga bisa membawa risiko dalam berbagai macam, seperti adanya kesalahan yang terjadi dengan tidak sengaja. Misalnya, kehilangan data akibat server yang terserang virus dan kesalahan yang terjadi karena faktor kesengajaan atau kecurangan. Risiko – risiko yang timbul tersebut dapat menimbulkan dampak kerugian bagi perusahaan baik secara financial tentunya. “Jaringan Lokal (LAN) untuk keeperluan Informasi Dan Komunikasi dengan jaringan komputer, setiap pekerjaan diharapkan dapat selesai dengan cepat. Jaringan komputer mampu menghubungkan komputer dengan komputer lainnya. Salah satu jaringan komputer adalah internet. Internet merupakan teknologi jaringan raksasa yang telah menjadi realitas dalam kebutuhan informasi dan komunikasi jutaan manusia di dunia ini. Dalam perkembangan pertamanya, jaringan komputer masih menggunakan kabel koaksial. Kini, jaringan dibangun dengan kabel dari serat optik (fiber Optics) atau komunikasi tanpa kabel (nirkabel) TCP/IP (Transmission Control Protocol/Internet Protocol) adalah sekelompok protokol yang mengatur komunikasi data komputer di internet. Komputer-komputer yang terhubung ke internet berkomunikasi dengan protokol TCP/IP, karena menggunakan bahasa yang sama perbedaan jenis komputer dan sistem operasi tidak menjadi masalah. Komputer PC
dengan sistem operasi Windows dapat berkomunikasi dengan komputer Macintosh atau dengan Sun SPARC yang menjalankan Solaris. Jadi, jika sebuah komputer menggunakan protokol TCP/IP dan terhubung langsung ke internet, maka komputer tersebut dapat berhubungan dengan komputer di belahan dunia mana pun yang juga terhubung ke internet”. “ Menurut Philip Virgo, Sekretaris Jenderal EURIM, sebuah badan penasihat politik Inggris, telah menulis sebuah artikel yang jelas dan tajam (Halaman 5) menjelaskan dinamika yang menyebabkan proyek-proyek pemerintah ke tangki. Berikut adalah enam Philip alasan bahwa proyek-proyek TI pemerintah gagal: 1.
Analisis kebutuhan bisnis, hilang atau salah: kegagalan untuk melakukan analisis kebutuhan yang tepat. Kegagalan untuk berkonsultasi dengan orang-orang di garis depan pengiriman, atau penerimaan jasa, adalah endemik di antara mereka yang merencanakan inisiatif kebijakan baru atau perubahan sistem yang ada.
2.
Kebutuhan perubahan sebelum pelaksanaan: churn menteri dan prioritas politik secara signifikan lebih cepat daripada teknologi. Ia telah mengemukakan bahwa pemasok umumnya tawaran rendah pada spesifikasi asli untuk mendapatkan kesempatan untuk membuat keuntungan pada perubahan berikutnya.
3. Lebih-ambisi: tentang apa yang dicapai dalam praktek, mengingat orang, waktu dan anggaran yang tersedia. 4. Delay: terutama dalam menyetujui prioritas antara tujuan yang bertentangan, yang mengakibatkan keterlambatan dalam perencanaan dan pengadaan
5.
Kurangnya keterlibatan manajemen puncak pelanggan: dan kurangnya keterampilan
tingkat
tinggi,
pelatihan
atau
pengalaman
dalam
perencanaan, pengadaan atau pelaksanaan. Kurangnya pelatihan dan pengalaman di bagian pelanggan dan senyawa penyebab empat masalah sebelumnya 6.
Supplier proyek atau tim manajemen: biasanya karena tim 'B' sedang mencoba untuk menyelamatkan sistem yang sudah ditakdirkan, setelah tim 'A' telah pindah ke tawaran berikutnya. Implementasi Teknologi Informasi (TI) di suatu perusahaan atau organisasi
sebagai basis dalam rangka penciptaan layanan yang berkualitas dan optimalisasi proses bisnis, harus direncanakan secara strategis agar penerapan dapat selaras dengan pencapain tujuan dari organisasi tersebut. Teknologi Informasi tidak hanya memberikan pengaruh positif bagi organisasi tetapi juga memungkinkan memberi pengaruh negative bagi organisasi, hal inilah yang akan menimbulkan resiko. Resiko yang timbul akibat penerapan teknologi informasi yang salah akan menyebabkan proses bisns yang tidak optimal, menurunnya reputasi perusahaan, kerugian financial, atau bahkan hancurnya bisnis organisasi. “Menurut Jason Morris atau McKeown, departemen keamanan dalam negeri Amerika Serikat sendiri memperkirakan bahwa cyberattack akan menjadi metode serangan yang akan sering dilakukan di masa depan untuk merusak sistem komando, sebelum serangan tradisional dilakukan. Itu belum termasuk ancaman yang dilakukan oleh teroris atau penjahat dunia maya. Miliaran dolar harus disiapkan baik oleh pemerintah ataupun kalangan industri untuk meningkatkan keamanan, kata Dutch Ruppersberger, ketua partai Demokrat bidang technical intelligence. Latihan
perang tersebut mensimulasikan gelombang serangan komputer dalam skala besar. Sebagai respon, partisipan harus menemukan cara untuk mengatasi serangan menggunakan pengetahuan, taktik, dan prosedur yang biasa mereka gunakan di bidangnya masing-masing. Menurut pihak penyelenggara, simulasi perang dunia maya ini merupakan latihan terbesar dari sisi keragaman sektor industri dan pemerintahan yang ikut serta. “Dimoderatori oleh Forrester Chenxi Wang, penyedia terkemuka pada permintaan risiko keamanan TI dan solusi kepatuhan manajemen, hari ini mengumumkan akan menjadi tuan rumah webinar berjudul, "Cloud Computing: Sebuah Gangguan Positif untuk IT Security” “ Menurut Mark Gerencser, Senior Vice President dari Booz Allen Hamilton Consulting Service pada Cnn, Rabu, 17 Februari 2010. “Belum ada pemimpin yang benar-benar memegang kendali,” kata Gerencser usai simulasi yang disponsori perusahaannya. WASHINGTON - Sebanyak 250 perwakilan dari pemerintahan, agen keamanan, kalangan industri, dan warga sipil berpartisipasi dalam simulasi cyberwar yang digelar oleh Departement of Homeland Security (DHS) atau departemen keamanan dalam negeri Amerika Serikat. Hasilnya menunjukkan bahwa AS tidak siap menghadapi serangan besar-besaran terhadap jaringan telepon dan komputer penting di negeri tersebut”. Karena sangatlah berisiko apabila implementasi teknologi informasi tidak sesuai dengan tujuan organisasi. Maka sekarang ini, banyak organisasi menggunakan manajemen risiko dalam meminimalisir kerugian yang timbul akibat dari risiko tersebut. Manajemen risiko merupakan suatu pengelolaan dalam menganalisis
kemungkinan – kemungkinan risiko yang akan terjadi dan memberikan solusi untuk meminimalkan potensi risiko yang akan terjadi pada organisasi.
“ Menurut Baday, Sekitar 75.000 komputer milik 2.500 organisasi di seluruh dunia terjangkiti virus jenis baru. Serangan gerilya di dunia maya ini juga mengancam account di beberapa jejaring sosial populer. Setidaknya NetWitness, satu jaringan pengaman internet mengumumkan temuan tersebut. Virus canggih ini dikenali sebagai “Kneber botnet”. Satu varian virus yang mengincar proses login ke sistem finansial online, situs jejaring sosial, dan email yang menyebar dari komputer yang sudah terinfeksi. Prosesnya, setelah virus masuk ke sistem, ia kemudian mengirimkan laporan informasi kepada hacker yang menjadi “tuannya”. Sang hacker bisa menggunakan account dan data-data tersebut untuk tujuan, yang tentu saja bersifat merugikan pemilik account/data asli”.
"Secara global, sektor TI telah naik dari krisis cukup baik, meskipun belanja teknologi dikurangi" kata Denis McCauley, Direktur Penelitian Teknologi Global dengan Unit Kecerdasan ekonomis. "Daripada mendorong langkah-langkah jangka pendek yang dirancang untuk meningkatkan output sektor atau dukungan sakit perusahaan teknologi, pembuat kebijakan harus tetap fokus pada penguatan fundamental mengaktifkan daya saing sektor jangka panjang."
“Menurut hasil penelitian dari M. Harding terbaru yang diterbitkan dalam jurnal CIN - Komputer Informatika Keperawatan, Tujuan penelitian ini adalah untuk mengetahui kegunaan Pendidikan Kesehatan Systems, Inc, pertengahan pemeriksaan kurikuler dalam mengidentifikasi siswa yang berisiko lebih awal dalam karir keperawatan mereka. Para peneliti menyimpulkan: "Analisis data mendukung keyakinan bahwa Pendidikan Kesehatan Systems, Inc, pemeriksaan midcurricular
adalah alat prediksi yang berguna yang dapat mengidentifikasi anak yang beresiko nonsuccess sebelum tahun senior keperawatan sehingga langkah-langkah untuk memastikan keberhasilan dapat diimplementasikan" “ Menurut Hartono Wiryawan, Upaya reformasi birokrasi pemerintahan agar mencapai pemerintahan yang lebih akuntabel dan transparan sebagai manifestasi kewajiban pemerintah untuk memberikan pelayanan publik yang baik. Hal ini tidak dapat dilepaskan dari tata kelola sistem pemerintahan yang baik (good governance). World Bank memberikan definisi governance sebagai “the way state power is used in managing economic and social resources for development of society”. Sementara United Nation Development Program ( UNDP ) mendefinisikan governance sebagai “the exercise of political, economic, and administrative authority to manage a nation’s affair at all levels”. Mardiasmo dalam bukunya akunting sektor publik mendefinisikan pengertian governance dapat diartikan sebagai cara mengelola urusan-urusan public”
“Pemerintahan di seluruh dunia pada saat ini menghadapi "tekanan" dari berbagai pihak untuk meningkatkan kualitas pelayanan publik dan meningkatkan partisipasi aktif dalam pemberian informasi bagi masyarakat serta dituntut untuk lebih efektif. Hal tersebut menyebabkan eGovernment atau pemerintahan berbasis elektronik semakin berperan penting bagi semua pengambil keputusan. Pemerintah Tradisional (traditional government) yang identik dengan paper-based administration mulai ditinggalkan”
Berdasarkan definisi dari World Bank, eGovernment adalah penggunaan teknologi informasi oleh pemerintah (seperti : Wide Area Network, Internet dan mobile computing) yang memungkinkan pemerintah untuk mentransformasikan
hubungan dengan masyarakat, dunia bisnis dan pihak yang berkepentingan. (www.worldbank.org). Dalam prakteknya, eGovernment adalah penggunaan Internet untuk melaksanakan urusan pemerintah dan penyediaan pelayanan publik yang lebih baik dan cara yang berorientasi pada pelayanan masyarakat.
Sangat penting untuk memahami dimensi risiko teknologi informasi dan menentukan bagaimana cara terbaik dalam mengelolanya agar mendapatkan keuntungan yang kompetitif, Oleh karena itu diperlukan suatu pengkuran terhadap resiko penerapan Teknologi Informasi bagi perusahaan. Pengukuran risiko Teknologi Informasi berguna untuk mengetahui profil risiko Teknologi Informasi, analisis terhadap risiko, kemudian melakukan respon terhadap risiko tersebut sehingga tidak terjadi dampak-dampak yang dapat ditimbulkan oleh risiko tersebut. Adapun salah satu standard / framework pengukuran risiko teknologi informasi yang cukup dikenal luas secara global, yaitu FRAP (Facilitated Risk Analysis Process) Terdapat tiga proses dalam manajemen risiko yaitu proses penilaian risiko, proses pengurangan risiko, dan proses evaluasi risiko. FRAP merupakan sebuah pendekatan terhadap pengukuran risiko keamanan informasi yang sistematik dan terarah.
Topik yang dibahas dalam penyusunan skripsi ini adalah risiko dan sistem keamanan terhadap penerapan teknologi informasi dengan judul “Pengelolaan Risiko Teknologi Infomasi dengan Metode FRAP pada PT Cipta Sumber Sejahtera”. PT Cipta Sumber Sejahtera merupakan perusahaan yang bergerak dalam bidang distribusi dan sudah memiliki sistem komputerisasi yang cukup kompleks.
1.2
Ruang Lingkup Untuk lebih memberikan suatu pembahasan yang lebih terarah, maka diperlukan
suatu pembatasan ruang lingkup dari kebutuhan yang akan di bahas. Dalam penelitian ini, penulis membatasi ruang lingkup penelitian sebagai berikut : 1. Penelitian dilakukan hanya di kantor PT Cipta Sumber Sejahtera. 2. Penelitian dilakukan pada teknologi informasi yang berkaitan dengan software, hardware dan jaringan pada PT Cipta Sumber Sejahtera. 3. Pengukuran risiko teknologi informasi dilakuan dengan menggunakan metode Facilitated Risk Analysis Process (FRAP).
1.3
Tujuan dan Manfaat Tujuan dari penulisan skripsi ini adalah : 1. Membantu perusahaan untuk mengidentifikasi risiko – risiko terhadap penerapan teknologi informasi pada PT Cipta Sumber Sejahtera. 2. Membantu perusahaan untuk mengontrol risiko – risiko terhadap penerapan teknologi informasi pada PT Cipta Sumber Sejahtera 3. Memberikan solusi terhadap risiko – risiko penerapan teknologi informasi yang bisa terjadi pada PT Cipta Sumber Sejahtera.
Manfaat dari penulisan skripsi ini adalah : 1. Dapat memberikan masukan terhadap perusahaan agar dapat mengurangi kerugian akibat penerapan teknologi informasi. 2. Mempermudah perusahaan dalam mengidentifikasi risiko dan menghasilkan solusi untuk mencegah risiko yang bisa terjadi pada PT Cipta Sumber Sejahtera.
1.4
Metodologi Penelitian
Metode yang dipakai dalam penyusunan skripsi ini yaitu bersifat kualitatif. Teknik yang dipakai untuk melengkapi metode penelitian ini adalah: 1. Teknik Pengumpulan Data Dalam penyusunan skripsi ini, data-data yang diperlukan diperoleh dari metode pengumpulan data yaitu sebagai berikut: a. Metode Studi Pustaka Dalam metode ini, penulis mengumpulkan data-data yaitu berupa buku-buku yang berhubungan dengan topik dimana merupakan panduan dalam penyusunan skripsi ini serta membantu dalam memecahkan masalah dalam skripsi ini. Perpustakaan tempat penulis melakukan riset yaitu berlokasi di Perpustakaan Universitas Bina Nusantara. Selain itu penulis juga menemukan data tambahan dari sumber informasi lainnya yaitu data-data dari internet. Dari riset yang dilakukan, penulis menemukan beberapa metode yang dapat digunakan dalam mengukur risiko yaitu OCTAVE, COBIT, COSO,NIST dan FRAP, sedangkan metode yang dipakai dalam penelilitian ini adalah metode FRAP. b. Metode Studi Kasus Dalam metode ini, penulis melakukan studi kasus yang ada kaitannya dengan penyusunan skripsi ini, yaitu dengan membandingkan hasil penelitian ini dengan hasil penelitian sebelumnya. c. Metode Studi Lapangan Dalam metode ini, cara-cara yang digunakan dalam pengumpulan data secara langsung adalah sebagai berikut:
i. Wawancara Proses wawancara dilakukan dengan mengadakan tanya jawab secara langsung dengan pihak-pihak yang terlibat dan berhubungan dengan topik skripsi. ii. Pengamatan (Observasi) Metode ini dilakukan dengan melakukan pengamatan dan peninjauan secara langsung terhadap objek penelitian, untuk mendapatkan gambaran umum perusahaan serta
kondisi TI yang diterapkan dalam perusahaan yang mencakup hardware,
software, jaringan dan aplikasi-aplikasi yang dipakai dalam perusahaan. 2. Teknik Analisis Dalam melakukan pengukuran manajemen risiko teknologi informasi pada PT Cipta Sumber Sejahtera, penulis menggunakan metode FRAP dari beberapa metode yang ditemukan, karena metode FRAP lebih menyajikan secara rinci langkah-langkah untuk mengukur tingkat risiko yang berkaitan dengan keamanan teknologi informasi yang ada di perusahaan.
1.5
Sistematika Penulisan Sistematika penulisan disajikan dengan maksud untuk memberikan referensi
atau gambaran yang jelas tentang penulisan skripsi ini dan mempermudah pembahasan skripsi, sehingga memberikan garis besar tentang sistematika penulisan dalam memahami masalah - masalah yang disajikan. Maka skripsi ini dibagi dalam lima bab secara berurutan, dimana - masing masing bab saling berhubungan satu sama lain dan secara garis besar dapet di uraikan sebagai berikut.
BAB I PENDAHULUAN Pada bab ini akan dibahas mengenai latar belakang penulisan, ruang lingkup penelitian, tujuan dan manfaat penelitian, metodologi yang digunakan selama penelitian yang berlangsung dan sistematika penulisan. BAB II LANDASAN TEORI Bab ini akan diuraikan teori-teori yang relevan yang mendasari pembuatan skripsi ini. Pada bagian ini akan dideskripsikan teori-teori yang berhubungan dengan teori teknologi informasi, sistem informasi, manajemen, risiko, risiko teknologi informasi, dan berbagai teori pendukung lainnya. BAB III GAMBARAN UMUM PERUSAHAAN Pada bab ini akan dibahas mengenai sejarah perusahaan, visi dan misi perusahaan, struktur ogranisasi dan uraian tugas, serta gambaran teknologi informasi yang ada di dalam perusahaan saat ini yang terdiri dari topologi jaringan dan asetaset teknologi informasi. BAB
IV
HASIL
DAN
PEMBAHASAN
PENGELOLAAN
RISIKO
TEKNOLOGI INFORMASI Pada bab ini akan dibahas mengenai pengukuran dan analisis risiko dari penerapan teknologi informasi dalam perusahaan serta ditemukannya berbagai risiko yang ada di dalam perusahaan. BAB V SIMPULAN DAN SARAN Pada bab ini akan disimpulkan hasil dari pengukuran dan analisis risiko dari penerapan teknologi informasi yang ada di perusahaan, serta memberikan saransaran yang berupa masukan bagi keamanan teknologi informasi di perusahaan.
