BAB 1 PENDAHULUAN 1.1 Latar Belakang Perkembangan teknologi informasi memungkinkan penerapan teknologi informasi yang semakin pesat di organisasi. Banyak organisasi yang telah beralih dari sistem manual ke sistem komputerisasi. Kegiatan organisasi sangat bergantung pada teknologi informasi yang dapat membantu dalam penyelesaian kinerja organisasi. Infrastruktur teknologi informasi beranekaragam sesuai dengan kebutuhan organisasi tersebut. Implementasi infrastruktur teknologi informasi memiliki risiko yang dapat menganggu kinerja organisasi maupun operasional. Risiko ini bisa disebabkan oleh manusia atau sistem itu sendiri. Risiko yang timbul sebagai akibat dari implementasi teknologi informasi yang kurang memadai dapat menyebabkan kegiatan organisasi yang tidak optimal, kerugian finansial, atau bahkan menurunnya reputasi organisasi. Karena itu, organisasi dituntut untuk memiliki manajemen risiko, di mana manajemen resiko merupakan suatu pengelolaan yang melihat potensi – potensi atau hal – hal apa saja yang harus dilakukan agar dapat meminimalkan risiko sekecil mungkin yang dapat terjadi sewaktu-waktu pada organisasi. Potensi – potensi risiko tersebut dapat dilihat dari berbagai aspek, baik itu secara sengaja maupun tidak sengaja. Organisasi diharapkan dapat mengelola berbagai risiko teknologi informasi. Lebih dari itu, sangat penting untuk memahami dimensi infrastruktur teknologi informasi dan menentukan bagaimana cara terbaik dalam mengelola risiko yang akan terjadi agar mendapatkan keuntungan yang kompetitif. Salah satunya dengan melakukan 1
2 penilaian terhadap risiko yang dihadapi dalam penerapan infrastruktur teknologi informasi. Penilaian risiko implementasi infrastruktur teknologi informasi diperlukan karena dapat membantu peningkatan kinerja suatu organisasi. Salah satu Standard / Framework penilaian risiko infrastruktur teknologi informasi yang cukup dikenal luas secara global adalah ISO 27005, di mana ISO 27005 merupakan pendekatan yang dikembangkan untuk membantu penilaian risiko infrastuktur teknologi informasi. Yang menjadi pembahasan dalam penyusunan skripsi ini adalah mengenai risiko terhadap penerapan infrastruktur teknologi informasi dengan judul “Penilaian Risiko Infrastruktur Teknologi Infomasi pada Badan Pengkajian dan Penerapan Teknologi (BPPT)”. BPPT merupakan lembaga pemerintah non-kementrian yang berada di bawah koordinasi Kementerian Negara Riset dan Teknologi yang mempunyai tugas melaksanakan tugas pemerintahan di bidang pengkajian dan penerapan teknologi. Anonymous (2009) “ The standards, which may be applied to companies and individuals alike, include guidelines for the implementation of risk management within organizations of any type, size and segment, stem from the need of corporations to address the uncertainties that have a potential impact on their goals. These objectives may be related to different corporate activities ranging from strategic initiatives to operational processes or projects. These principles may be applied to different risks associated with several departments within the organization, such as finance, legal operation and human resources. They also encompass the modern concept which states that risk is opportunity.
3 Yet, there has been no consensus to the terminology and concepts utilized in risk management. This has created challenges for organizations to integrate their different risk management functions. Typically, this result in risk management is addressed in isolated manners, which often leads to the spread of the so-called silos or departmental "islands" utilizing disparate terminology, systems, criteria, and concepts for each area of the organization, resulting in the greatest challenge faced by ISO 31000 lied in establishing a common terminology and standardizing best practices and frameworks, so that organizations could implement risk management practices in their processes. Since this is a standardization initiative in line with the integrated view of Enterprise Risk Management, the new norm does not contradict other existing regulations, such as ISO/IEC 27005 - the technical standard focused on information security risk management but provides guidelines and is aligned with other sets of rules.”
Berdasarkan penelitian dari Anonymous (2009) Standard yang diterapkan untuk organisasi dan individu hampir sama, meliputi pedoman untuk penerapan manajemen risiko terhadap semua jenis organisasi baik bentuk, ukuran, dan bagian, dari jenis kebutuhan sebuah perusahaan untuk mengatasi ketidakpastian yang memiliki dampak potensial pada tujuan mereka. Tujuan-tujuan ini mungkin berhubungan dengan kegiatan perusahaan yang berbeda mulai dari inisiatif strategis untuk proses operasional ataupun proyek. Prinsip ini mungkin bisa diterapkan untuk risiko yang berbeda terkait dengan beberapa departemen dalam suatu organisasi, seperti departemen keuangan, hukum dan sumber daya manusia. M ereka juga meliputi konsep yang modern yang menyatakan bawah risiko itu adalah kesempatan.
4 Namun, belum ada persetujuan umum untuk istilah dan konsep yang digunakan didalam manajemen risiko, hal ini menimbulkan tantangan bagi organisasi unutk menggabungkan fungsi-fungsi manajemen risiko yang berbeda. Biasanya, hal ini mengakibatkan manajemen risiko ditujukan dalam perilaku yang diasingkan, yng sering menyebabkan
penyebaran yand
disebut
silo
atau
departemen
“pulau” yang
menggunakan istilah yang berbeda, sistem, criteria, dan konsep untuk setiap bidang organisasi, sehingga menimbulkan tantangan terbesar yang dihadapi oleh ISO 31000 unutk berbohon dalam membangun istilah umum dan standarisasi dan cara kerja, sehingga organisasi bisa menerapkan praktek manajemen risiko dalam proses mereka. Karena ini merupakan inisiatif standar yang sejalan dengan pandangan yang digabungkan dari enterprise risk management, norma-norma baru tidak bertentangan dengan peraturan lainnya yang terlah berlaku, seperti ISO/IEC 27005 – teknis normal berfokus pada manajemen risiko keamanan informasi tetapi memberikan pedoman dan pedoman tersebut sejalan dengan peraturan. Tsohou (2010) “ Recent information security surveys indicate that both the acceptance of international standards and the relative certifications increase continuously. However, it is noted that still the majority of organizations does not know the dominant security standards or does not fully implement them. The aim of this paper is to facilitate the awareness of information security practitioners regarding globally known and accepted security standards, and thus, contribute to their adoption. Design/methodology/approach - The paper adopts a conceptual approach and results in a classification framework for categorizing available information security standards. The classification framework is built in four layers of abstraction, where the initial layer
5 is founded in ISO/IEC 27001:2005 information security management system. Findings The paper presents a framework for conceptualizing, categorizing and interconnecting available information security standards dynamically. Research limitations/implications - The completeness of the information provided in the paper relies on the pace of standards' publications; thus the information security standards that have been classified in this paper need to be updated when new standards are published. However, the proposed framework can be utilized for this constant effort. Practical implications Information security practitioners can benefit by the proposed framework for available security standards and effectively invoke the relevant standard each time. Guidelines for utilizing the proposed framework are presented through a case study. Originality/value Although the practices proposed are not innovative by themselves, the originality of this work lies on the best practices' linkage into a coherent framework that can facilitate the standards diffusion and systematic adoption.” Berdasarkan penelitian dari Tsohou (2010) Survey terakhir dari informasi keamanan menunjukkan bahwa kedua penerimaan standar internasionla dan sertifikasi yang sehubungan semakin meningkat. Namun, diketahui bahwa mayoritas organisasi tidak mengetahui standar keamanan dominan tidak sepenuhnya diterapkan mereka. Tujuand ari makalah ini adalah untuk memfasilitasi kesadaran praktek keamanan informasi mengenai standar keamanan secara global dan diterima standar keamanan dan degan
demikian
memberikan
kontribusi
untuk
mereka
gunakan.
Tancangan/metodelogi/oendekatan-pendekatan makalah ini menggunkan pendekatan konseptual dan hasil dalam kerangka kerja ini dibangun dalam 4 lapisan abstrak, dimana lapisan awal didirikan pada ISO/IEC 27001:2005 sistem informasi manajemen
6 keamanan
temuan
makalah
ini
menyajikan
kerangka
kerja
untuk
mengkonseptualisasikan, mengelompokan dan menghubungkan informasi keamanan standar yang tersedia secara dinamis. Keterbatasan penilitian kelengkapan informasi yang diberikan dikertas bergantung pada laju publikasi standar, dengan demikian informasi keamanan standar yang telah dikelompokan dalam makalah ini perlu diperbaharui ketika standar baru diterbitkan. Namun kerangka kerja diusulkan dapat dimanfaatkan untuk usaha tetap. Pengertian praktis informasi pelaksana keamanan dapat memperoleh keuntungan dengan menggunakan kerangka yang diusulkan untuk standar kemanan yang tersedia dan secara efektif meminta standar yang relavan setiap kali. Pedoman unutk memanfaatkan kerangka yang diusulkan disajikan melalui studi kasis. Keaslian/nilai meskipun prastek yang diusulkan tidak inovatif, keas lian karya ini terletak pada hubungan pratik yang terbaik.
Bataller (2011) “ A risk-based approach to security shows the cost of mitigating risks relative to the perceived value of an asset, in the context of vulnerabilities, threats, and potential impact on the business. Sounds straightforward enough, and our survey respondents talk a good game: 41% say a main goal of their IT risk management programs is to ensure IT alignment with business needs.
From our experience, however, there's some wishful thinking going on. Rarely do the companies we work with even have a comprehensive asset list, let alone any consistent risk-based analysis of assets or controls. In addition, a plethora of risk-based modelsAS/NZS ISO 31000:2009, ISO 27005, COSO, OCEG - get caught up in religious wars over which is best. Within these models is a variety of approaches, including data-
7 centric security; enterprise risk management; information risk management; and governance, risk, and compliance.”
Berdasarkan penelitian dari Bataller (2011) Pendekatan berbasis risiko terhadap
keamanan menunjukkan biaya mitigasi risiko relative terhadap nilai yang dirasakan dari asset dalam konteks kerentanan ancaman dan dampak potensial pada bisnis. Kedenga=erannya cukuo sederhana, dan responden survey kami berbicara permainan yang baik : 41% mengatakan tujuan utama dari program TI mereka. M anajemen risiko adalah untuk memastikan keselrasaan TI dengan kebutuhan bisnis. Dari pengalaman kami bagaimanapun ada beberapa keinginan terjadi. Perusahaan kami jarang bekerja dengan ataupun bahkan memiliki daftar asset yang luas. Apalagi analisis berbasis risiko konsisten asset atau kontrol. Selain itu, kebanyakan berbasis risiko model AS/NZS ISO 31000:2009. ISO 27005, COSO, OCEF – terjebak dalam perang agama yang lebih baik. Dalam model ini terdapat pendekatan, termasuk data sentries keamanan manajemen risiko perusahaan, manajemen informasi risiko, dan pemerintahan, risiko, dan kepatuhan. 1.2 Permasalahan Untuk mendukung kegiatan yang dilakukan, BPPT telah menggunakan teknologi informasi. Dalam pencapaian visi organisasi, teknologi informasi dianggap sangat dibutuhkan. Namun, penggunaan teknologi informasi belum sepenuhnya dianggap
sempurna dikarenakan
adanya risiko-risiko
yang
timbul.
Pada
implementasi teknologi informasi, terdapat infrastruktur yang terkait antara satu dengan yang lainnya. Dikarenakan implementasi infrastruktur teknologi informasi
8 yang cukup luas , maka penelitian ini mengambil salah satu lingkup yang lebih kecil dan masih terkait dengan infrastruktur teknologi informasi, yaitu jaringan komunikasi. Jaringan komunikasi yang digunakan BPPT pada dasarnya akan timbul risiko-risiko atas penggunaan. Risiko-risiko yang timbul tersebut merupakan permasalahan dari latar belakang penyusunan skripsi ini. Untuk menunjang penerapan jaringan komunikasi yang lebih baik dalam suatu organisasi, penelitian ini melaksanakan penilaian dan analisis pada infrastruktur jaringan komunikasi BPPT agar organisasi dapat mengetahui dan mengantisipasi risiko-risiko yang mungkin akan terjadi. 1.3 Ruang Lingkup Agar penelitian ini lebih terarah, maka perlu adanya pembatasan ruang lingkup yang akan dibahas yaitu: 1. M engingat luasnya implementasi infrastruktur teknologi informasi di BPPT, penelitian ini akan difokuskan serta dilakukan di Pusat Data Informasi dan Standarisasi (PDIS) yang berada di Gedung BPPT Lantai 11 Jalan MH.Thamrin 8 , Jakarta. 2. Lingkup penelitian ini dibatasi pada identifikasi, analisis, evaluasi resiko infrastruktur jaringan komunikasi (network communication infrastructure) pada Badan Pengkajian dan Penerapan Teknologi. Penelitian ini juga memberikan rekomendasi untuk memperbaiki dan meningkatkan kualitas manajemen risiko infrastruktur teknologi informasi di BPPT.
9 3. Pada penelitian ini kami melakukan wawancara dengan Bapak Ir.Chaerul Anwar, M .Si, Bapak Taslim Rochmadi, Ir, Dipl.Ing., Dr.,Bapak Ardiyan Aulia, ST,MTi, Bapak Agung Septiadi, ST, Bapak Amir Dahlan, ST, M .Kom. 1.4 Tujuan dan Manfaat Tujuan yang diperoleh dari penelitian ini adalah: 1. M engidentifikasi dan mengukur risiko yang sewaktu-waktu dapat terjadi pada organisasi. 2. M enyusun rekomendasi strategi untuk memitigasi risiko dan rencana aksinya. M anfaat yang diperoleh dari penelitian ini antara lain: 1. M emberikan gambaran karakteristik sistem jaringan. 2. M emberikan gambaran ancaman/risiko dan kerentanan sistem jaringan. 3. M emberikan rekomendasi atau usulan yang dapat dipertimbangkan untuk menanggulangi atau mencegah risiko-risiko yang mungkin terjadi. 1.5 Metodologi Penelitian M etode penelitian yang dilakukan dalam penulisan skripsi ini adalah: 1.
M etode pengumpulan data Pengumpulan data dilakukan dengan dua metode, yaitu: a. Studi Pustaka
10 Dalam metode ini, penulis mengumpulkan data-data berupa bukubuku yang behubungan dengan topic, di mana merupakan panduan dalam penyusunan skripsi ini serta membantu dalam memecahkan masalah dalam skripsi ini. Perpustakaan tempat penulis melakukan riset berlokasi di perpustakaan BINUS University dan perpustakaan BPPT . Buku-buku yang digunakan adalah yang berkaitan dengan judul skripsi. b. Kunjungan lapangan Kunjungan lapangan dilakukan untuk memperoleh data langsung dari organisasi dengan cara: i.
Wawancara (interview) Proses wawancara dilakukan dengan mengadakan tanya jawab
secara langsung dengan pihak-pihak yang terkait dan berhubungan dengan topik skripsi. ii.
Observasi M etode ini dilakukan dengan melakukan pengamatan dan
peninjauan secara langsung terhadap objek penelitian untuk mendapatkan gambaran umum organisasi serta kondisi sistem jaringan yang diterapkan. 2. Teknik Analisis Dalam melakukan pengukuran risiko infrastruktur jaringan komunikasi pada BPPT, penelitian ini menggunakan Framework ISO 27005, yaitu:
11 a. Risk analysis 1. Risk identification 2. Risk estimation b. Risk evaluation 1.6 Sistematika Penulisan Penulisan skripsi ini terbagi menjadi lima bab dan masing-masing bab dibagi menjadi beberapa sub bab yang saling berkaitan satu dengan yang lain, yaitu : BAB 1 PENDAHULUAN Bab ini menguraikan tentang latar belakang penulisan, ruang lingkup, tujuan dan manfaat, metodologi penelitian yang digunakan dalam penulisan, serta sistematika penulisan. BAB 2 LANDASAN TEORI Bab ini akan membahas teori-teori yang relavan dalam pembuatan skripsi ini. Bagian ini akan mendeskripsikan teori-teori yang berhubungan dengan teknologi informasi, sistem informasi, risiko teknologi informasi, dan berbagai teori pendukung lainnya. BAB 3 GAM BARAN UM UM ORGANISASI Bab ini menguraikan secara singkat mengenai sejarah organisasi, visi dan misi, struktur organisasi, uraian tugas dan wewenang, gambaran teknologi informasi yang ada di organisasi saat ini, yang terdiri dari
12 implementasi jaringan, prosedur jaringan , serta penjelasan mengenai sistem jaringan yang digunakan. BAB 4 PEM BAHASAN Bab ini akan membahas mengenai pengukuran dan analisis risiko penerapan sistem jaringan serta solusi yang dapat diterapkan. BAB 5 KESIM PULAN DAN SARAN Bab ini berisi mengenai kesimpulan yang diuraikan dari bab-bab sebelumnya dan saran-saran atas dampak penelitian.