BAB 2 LANDASAN TEORI 2.1
Teori Umum
2.1.1
Pengertian Sistem Menurut O’Brien dan Marakas (2013:26) menyatakan bahwa, “a set of interrelated components, with a clearly defined boundary, working together to achieve a common set of objectives by accepting inputs and producing output in an organized transformation process”. Artinya adalah seperangkat
komponen yang saling
berhubungan, dengan batas yang jelas, bekerja sama untuk mencapai seperangkat dengan tujuan menerima input dan menghasilkan output dalam proses transformasi yang terorganisir. Sistem mempunyai tiga fungsi dasar : -
Input : “involves capturing and assembling elements that enter the system to be processed”. Artinya adalah terlibat pengambilan dan perakitan elemen – elemen yang masuk ke sistem untuk diproses.
-
Output : “involves transformation processes that convert input into output”. Artinya adalah Melibatkan proses transformasi yang mengubah dari input ke output.
-
Proses : “involves transferring elements that have been produced by a transformation process to their ultimate destination”. Artinya adalah
melibatkan memindahkan
elemen yang telah diproduksi oleh proses transformasi tujuan akhir mereka. Menurut Gelinas dan Dull (2008:11) menyatakan bahwa, “a set of interdependent elements that together accomplish specific objectives. A system must have organization, interrelationship, integration, and central objectives.” Artinya adalah satu set elemen yang bersama – sama saling bergantung mencapai tujuan tertentu. Suatu sistem harus memiliki organisasi, keterkaitan, integrasi dan tujuan utama. Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta Gelinas dan Dull, penulis dapat menyimpulkan bahwa sistem adalah satu set elemen yang berhubungan dan saling bergantung untuk mencapai tujuan tertentu.
2.1.2
Pengertian Informasi Menurut O’Brien dan Marakas (2013:34) menyatakan bahwa, “data that have been converted into a meaningful and useful context for specific end users“. Artinya adalah data yang telah diubah menjadi konteks yang berarti dan berguna bagi end-users. Menurut Rainer dan Cegielski (2012:10) menyatakan bahwa, “data that have been organized so that they have meaning and value to the recipient”. Artinya adalah data yang telah terorganisir sehingga mereka memiliki makna dan nilai kepada penerima. Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta Rainer dan Cegielski, penulis dapat menyimpulkan bahwa informasi adalah data yang sudah diolah agar mempunyai makna bagi penerima.
2.1.3
Pengertian Sistem Informasi Menurut O’Brien dan Marakas (2013:4) menyatakan bahwa, “IS can be any organized combination of people, hardware, software, communication, network, data resources, and policies and procedures that stores, retrieves, transform, and disseminates information in an organization”. Artinya adalah sistem informasi dapat berupa kombinasi yang terorganisir dari orang, hardware, komunikasi, jaringan, sumber data, dan kebijakan dan prosedur yang menyimpan, memperoleh kembali, mengubah, dan menyebarkan informasi di dalam organisasi. Menurut C. Laudon dan P. Laudon (2008:11) menyatakan bahwa, “a set of intrerrelated components that collect (or retrieve), process, store, and distribute information to support decision making and control in an organization”. Artinya adalah seperangkat komponen yang saling terkait yang mengumpulkan (atau mengambil), memproses, menyimpan, dan mendistribusikan informasi untuk mendukung pengambilan keputusan dan kontrol dalam sebuah organisasi. Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta C. Laudon dan P. Laudon, penulis dapat menyimpulkan bahwa sistem informasi adalah kombinasi dari seperangkat komponen berupa hardware, jaringan, sumber data yang terorganisir dan saling terkait, memiliki kebijkan dan prosedur untuk mengumpulkan
(atau mengambil), memproses, menyimpan dan mendistribusikan informasi untuk pengambilan keputusan dan kontrol dalam sebuah organisasi. 2.1.4
Pengertian Teknologi Informasi Menurut O’Brien dan Marakas (2013:7) menyatakan bahwa, “Major concepts, development, and management issues in information technology – that is, hardware, software, network, data management, and many internet-based technologies”. Artinya adalah konsep utama, pengembangan, dan masalah pengelolaan di teknologi informasi – yaitu hardware, software, jaringan, pengelolaan data, dan banyak teknologi berbasis internet. Menurut Rainer dan Cegielski (2012:7) menyatakan bahwa, “relates to any computer-based tool that people use to work with information and to support the information and information-processing needs of an organization”. Artinya adalah berkaitan dengan alat berbasis komputer yang digunakan orang untuk bekerja dengan informasi dan mendukung informasi dan pemrosesan informasi dengan kebutuhan organisasi. Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta Rainer dan Cegielski, penulis dapat menyimpulkan bahwa teknologi informasi adalah konsep utama hardware, software, jaringan yang digunakan orang untuk bekerja dengan informasi yang mendukung dan pemrosesan informasi dengan kebutuhan organisasi.
2.1.5
Pengertian Rich Picture Menurut Berg dan Pooley (2013) menyatakan bahwa, “offers a way of global communication that far exceeds the limitations of text and speech. Simple graphics can be rapidly communicated, processed and transmitted within a large and culturally diverse constituency”. Artinya adalah menawarkan cara komunikasi global yang jauh melebihi keterbatasan teks dan pidato. Grafis sederhana dapat dengan cepat dikomunikasikan, diproses dan dikirimkan dalam konstituensi besar dan beragam budaya. Jadi, menurut pendapat yang dikemukakan oleh Berg dan Pooley, penulis dapat menyimpulkan bahwa rich picture adalah teks yang diubah dalam bentuk gambar yang dapat dikomunikasikan dalam suatu organisasi.
2.1.6
Pengertian Event Tabel Menurut Rama dan Jones (2006:39) menyatakan bahwa, ”part of a business process. Typical events in a business process include agreements with customer / suppliers / employee for good and services, recognizing claims, and paying or receiving cash”. Artinya adalah bagian dari proses bisnis. Peristiwa khas dalam proses bisnis meliputi perjanjian dengan pelanggan / pemasok / karyawan untuk barang dan jasa, mengakui klaim, dan membayar atau menerima uang tunai. Jadi, menurut pendapat yang dikemukakan oleh Rama dan Jones, penulis dapat menyimpulkan bahwa event Tabel adalah rangkaian dari proses bisnis yang meliputi pembayaran, penerimaan dan perjanjian untuk barang dan jasa.
2.1.7
Pengertian Overview Activity Diagram Menurut Rama dan Jones (2006:61) menyatakan bahwa, “present a high-level view of the business process by documenting the key events, the sequence of these events, and the information flows among these events”. Artinya adalah menyajikan tampilan tingkat tinggi dari proses bisnis dengan mendokumentasikan peristiwa penting, urutan kejadian tersebut, dan informasi mengalir antara peristiwa ini. Jadi, menurut pendapat yang dikemukakan oleh Rama dan Jones, penulis dapat menyimpulkan bahwa overview activity diagram adalah rangkaian sebuah proses bisnis yang diterjemahkan dalam sebuah diagram dengan mendokumentasikan event berdasarkan kejadian.
2.1.8
Pengertian Detail Activity Diagram Menurut Rama dan Jones (2006:61) menyatakan bahwa, “it provides a more Detail representation of the activities associated with one or two events shown on the overview diagram”. Artinya adalah memberikan representasi yang lebih rinci dari
aktivitas yang berhubungan dengan satu atau dua acara yang ditampilkan pada diagram overview. Jadi, menurut pendapat yang dikemukakan oleh Rama dan Jones, penulis dapat menyimpulkan bahwa Detail activity diagram adalah rangkaian detail event yang didapatkan dari overview diagram dan diterjemahkan dalam sebuah diagram. 2.1.9
Infrastruktur Teknologi Informasi
1.1.9.1 Pengertian Hardware Menurut O’Brien dan Marakas (2013:115) menyatakan bahwa, “a system of information processing component that perform input, processing, output, storage, and control function”. Artinya adalah
sistem komponen pengolahan informasi yang
melakukan input, proses, output, penyimpanan, dan fungsi pengendalian. Menurut Rainer dan Cegielski (2012:40) menyatakan bahwa, “a device such as the processor, monitor, keyboard, and printer. Together these device accept data and information, process it, and display it”. Artinya adalah perangkat seperti prosesor, monitor, keyboard, dan printer. Bersama perangkat ini menerima data dan informasi, proses, dan menampilkannya Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta Rainer dan Cegielski, penulis dapat menyimpulkan bahwa hardware adalah komponen pengolahan meliputi prosesor, monitor, keyboard dan printer. 1.1.9.2 Pengertian Software Menurut O’Brien dan Marakas (2013:124) menyatakan bahwa, “general term for various kinds of programs used to operate and manipulate computers and their peripheral devices”. Artinya adalah jenis program yang digunakan untuk memanipulasi komputer dan perangkat peripheral mereka. Menurut Rainer dan Cegielski (2012:40) menyatakan bahwa, “a program or collection of programs that enables the hardware to process data”. Artinya adalah program atau kumpulan program yang memungkinkan perangkat keras untuk memproses data.
Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta Rainer dan Cegielski, penulis dapat menyimpulkan bahwa software adalah jenis program untuk memanipulasi computer dan memungkinkan perangkat keras untuk memproses data. 1.1.9.3 Pengertian Jaringan Menurut O’Brien dan Marakas (2013:208) menyatakan bahwa, “interconnected or interrelated chain, group, or system”. Artinya adalah rantai yang saling berhubungan atau saling terkait, kelompok atau sistem. Menurut Rainer dan Cegielski (2012, p40), “a connecting system (wireline or wireless) that permits different computers to share resources”. Artinya adalah sistem penghubung (wireline atau wireless) yang memungkinkan komputer yang berbeda untuk berbagi sumber daya. Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta Rainer dan Cegielski, penulis dapat menyimpulkan bahwa jaringan adalah sistem yang saling berhubungan terkait perorangan atau perkelompok yang memungkinkan komputer yang berbeda berbagi data. 1.1.10 Pengertian Customer Menurut Zeithaml, Bitner, dan Gremler (2010:27) menyatakan bahwa, ”customer as assets to be valued, developed, and retained”. Artinya adalah pelanggan sebagai aset yang harus dihargai, dikembangkan, dan dipertahankan. Jadi menurut pendapat yang dikemukakan oleh Zeithaml, Bitner, dan Gremler, penulis dapat menyimpulkan bahwa pelanggan adalah aset yang harus dihargai, dikembangkan serta dipertahankan, dan setidaknya telah membeli merek sekali dalam jangka waktu yang ditetapkan.
1.1.11 Pengertian Management Menurut Chuck Williams (2011:7) menyatakan bahwa, “Getting work done through others”. Artinya adalah menyelesaikan pekerjaan melalui orang lain.
Menurut Dyck dan Neubert (2009:7) menyatakan bahwa, “The process of planning, organizing, leading, and controlling human and other organizational resources with the aim of the effective achievement of organizational goals”. Artinya adalah proses perencanaan, pengorganisasian, memimpin, dan mengendalikan sumber daya organisasi manusia dan lainnya dengan tujuan mencapai tujuan organisasi yang efektif. Jadi, menurut dua pendapat yang dikemukakan oleh Chuck Williams serta Bruno Dyck dan Mitchell J. Neubert, penulis dapat menyimpulkan bahwa management adalah proses dimulainya suatu kegiatan untuk menyelesaikan pekerjaan melalui orang lain untuk mencapai tujuan organisasi yang efektif. 1.1.12 Pengertian Customer Relationship Menurut Kotler dan Armstrong (2013:506) menyatakan bahwa, “sales promotion help to reinforce the product’s position and build long term”. Artinya adalah promosi penjualan membantu memperkuat posisi produk dan membangun jangka panjang. Jadi, menurut pendapat yang dikemukakan oleh Kotler dan Armstrong, penulis dapat menyimpulkan bahwa customer relationship adalah interaksi antara pelanggan untuk membantuk memperkuat posisi produk dan membangun jangka panjang. 1.1.13 Pengertian Customer Relationship Management Menurut O’Brien dan Marakas (2013:266) menyatakan bahwa, Customer Relationship Management didefinisikan “a cross-functional enterprise system that integrates and automates many of the customer-serving processes in sales, marketing, and customer services that interact with a company’s customers”. Artinya adalah sistem lintas fungsi perusahaan yang mengintegrasikan dan mengotomatiskan melayani banyak pelanggan dalam proses penjualan, pemasaran, dan pelayanan pelanggan yang berinteraksi dengan pelanggan perusahaan. Menurut C. Laudon dan P. Laudon (2008:279), menyatakan bahwa “Capture and integrate customer data from all over the organization, consolidate the data, analyze the data, and then distribute the result to various system and customer touch points across the enterprise”. Artinya adalah menangkap dan mengintegrasikan data pelanggan dari
seluruh organisasi, konsolidasi data, menganalisis data, dan kemudian mendistribusikan hasilnya kepada berbagai sistem dan titik sentuh pelanggan di seluruh perusahaan. Jadi, dari dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta C. Laudon dan P. Laudon, penulis dapat menyimpulkan bahwa suatu sistem yang terintegrasi dari beberapa divisi dengan nama Customer Relationship Management yang mengelola data pelanggan untuk menampung keluhan dan memberikan informasi tentang promosi yang perusahaan sedang jalankan. 1.1.13.1
Pengertian Customer Service and Support Menurut O’Brien dan Marakas (2013:267) menyatakan bahwa, “A CRM system
provides service representatives with software tools and real-time access to the common customer database shared by sales and marketing professionals”. Artinya adalah sistem CRM menyediakan petugas layanan dengan software dan akses real-time ke database pelanggan umum yang dimiliki oleh sales dan marketing. Menurut Rainer dan Cegielski (2012:312) menyatakan bahwa, “system that automate service request, complaints, product return, and request for information”. Artinya adalah sistem yang mengotomatisasikan permintaan layanan, keluhan, pengembalian produk, dan permintaan untuk informasi. Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta Rainer dan Cegielski, penulis dapat menyimpulkan bahwa customer service and support adalah sistem yang menyediakan petugas layanan dengan tujuan melayani keluhan, pengembalian produk dan permintaan untuk informasi. 1.1.13.2
Pengertian Call Center Menurut O’Brien dan Marakas (2013:267) menyatakan bahwa, “Software routes
calls to customer support agent on the basis of their skills and authority to handle specific kinds of service request“. Artinya software yang menyediakan rute untuk memanggil agen pendukung pelanggan atas dasar keterampilan dan wewenang mereka untuk menangani jenis – jenis tertentu dari layanan permintaan. Menurut Hamtini dan Rababah (2011) menyatakan bahwa, “A call center is a physical place where customer and other telephone calls are handled by an organization, usually with some amount of computer automation”. Artinya adalah call center adalah
sebuah tempat fisik dimana pelanggan dan panggilan telepon lain ditangani oleh sebuah organisasi, biasanya dengan beberapa komputer yang otomatis. Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta Hamtini dan Rababah, penulis dapat menyimpulkan bahwa call center adalah agen pendukung pelanggan yang menangani panggilan dari pelanggan untuk menangani permintaan dari pelanggan. 1.1.13.3
Pengertian Help desk Menurut O’Brien dan Marakas
(2013:267) menyatakan bahwa, “Software
provides relevant service data and suggestions for resolving problem for customer service reps who assist customers with problem with a product or service”. Artinya adalah software yang menyediakan layanan data yang relevan dan saran untuk menyelesaikan masalah bagi perwakilan layanan pelanggan yang membantu pelanggan dengan masalah dengan produk atau jasa. Menurut Rainer dan Cegielski (2012, p313), “assist customers with their questions concerning products or services an also process customer complaints”. Artinya adalah membantu pelanggan dengan pertanyaan-pertanyaan mereka mengenai produk atau jasa proses juga keluhan pelanggan. Jadi, menurut dua pendapat yang dikemukakan oleh O’Brien dan Marakas serta Rainer dan Cegielski, penulis dapat menyimpulkan bahwa help desk adalah perusahaan menyediakan layanan data yang relevan untuk membantu pelanggan seputar produk atau jasa. 2.2
Teori Khusus
2.2.1
Penilaian Risiko Menurut Peltier (2005:8) menyatakan bahwa, “The computation of risk. Risk is a threat that exploits some vulnerability that could cause harm to an asset. The risk algorithm computes the risk as a function of the assets, threats, and vulnerabilities. One instance of a risk within a system is represented by the formula (asset * threat * vulnerability). The total risk for a network equates to the sum of all the risk instances”. Artinya adalah perhitungan risiko. Risiko merupakan ancaman yang mengeksploitasi
beberapa kerentanan yang dapat menyebabkan kerugian bagi aset. Algoritma menghitung risiko – risiko sebagai fungsi dari aset, ancaman, dan kerentanan. salah satu contoh dari risiko dalam sistem diwakili oleh rumus (asset * ancaman * kerentanan). Total risiko untuk jaringan setara dengan jumlah dari semua kasus risiko. Menurut Peltier (2005:16) menyatakan bahwa “we examine the risk assessment portion of the risk management process, we will discuss six steps that will provide us with the three deliverables we need. Risk is a function of the probability that an identified threat will occur, and then the impact that the threat will have on the business process or mission of the asset under review. Each of the six steps will require the risk assessment team to explore their requirements and be as thorough as possible”. Artinya adalah kita meneliti penelitian risiko bagian dari proses pengelolaan risiko, kita akan membahas enam langkah yang akan memberikan tiga penyampaian yang kita butuhkan. 2.2.1.1 Langkah – Langkah Penilaian Risiko 2.2.1.1.1
Step 1 : Asset Definition “Asset definition step is to reach agreement with the owner on what the
assessment is to review and all relevant parameters”. Artinya adalah langkah asset definition adalah untuk mencapai kesepakatan dengan pemilik pada apa yang penilaian untuk meninjau dan semua parameter yang relevan. 2.2.1.1.2
Step 2 : Threat Identification “An undesirable event that could impact the business objectives or mission of the
business unit or enterprise”. Artinya adalah suatu peristiwa yang tidak diinginkan yang dapat mempengaruhi tujuan atau misi dari unit bisnis atau perusahaan bisnis. 2.2.1.1.3
Step 3 : Determine Probability of Occurrence “Once a list of threats has been finalized and the team has agreed on the
definitions of each threat, then it will be necessary to determine how likely that threat is to occur”. Artinya adalah Setelah daftar ancaman telah selesai dan tim telah menyepakati definisi dari setiap ancaman, maka akan diperlukan untuk menentukan seberapa besar kemungkinan ancaman yang terjadi.
2.2.1.1.4
Step 4 : Determine the Impact of the Threat “During the initial review or an assessment of infrastructure, the threats are
examined as if there are no controls in place”. Artinya adalah selama pemeriksaan awal atau penilaian infrastruktur, ancaman diperiksa seolah-olah tidak ada kontrol di tempat. 2.2.1.1.5
Step 5 : Controls Recommended “Identify controls or safeguards that could possibly eliminate the risk, or at least
reduce the risk to an accepTabel level. That is, all of the elements and methodology that make up the risk analysis process should be standard and all business units trained in its use. The output from the risk analysis will lead the organization to identify controls that should reduce the level of threat occurrence (Tabel 2.1)”. Artinya adalah mengidentifikasi kontrol atau perlindungan yang mungkin bisa menghilangkan risiko, atau setidaknya mengurangi risiko ke tingkat yang dapat diterima. Agar efektif, proses analisis risiko harus diterapkan di seluruh organisasi. Artinya, semua elemen dan metodologi yang membentuk proses analisis risiko harus standar dan semua unit bisnis dilatih dalam penggunaannya. Output dari analisis resiko akan memimpin organisasi untuk mengidentifikasi kontrol yang harus mengurangi tingkat terjadinya ancaman. 2.2.1.1.6
Step 6 : Documentation “The results need to be documented in a standard format and a report issued to
the asset owner”. Artinya adalah hasil yang harus didokumentasikan dalam format standar dan laporan yang dikeluarkan kepada pemilik aset. 2.2.2
Pengukuran Risiko Teknologi Informasi Berdasarkan penelitian yang kami lakukan, maka ditemukan metode pengukuran risiko teknologi informasi, yaitu dengan pendekatan FRAAP.
2.2.2.1 Pengertian FRAAP (Facilitated Risk Analysis and Assessment Process) Menurut Peltier (2005:134) menyatakan bahwa, “The FRAAP is a formal methodology for risk assessment that is driven by the owner. Each FRAAP session is called by the owner and the team members are invited by the owner. The concept of what
constitutes an owner is normally established in the organization’s information classification policy”. Artinya FRAAP adalah metodologi formal untuk pengukuran risiko yang dijalankan oleh pemilik. Setiap sesi FRAAP dijalankan oleh pemilik dan anggota tim di undang oleh pemilik. Konsep tentang konstitusi pemilik normalnya didirikan di kebijakan klasifikasi informasi organisasi. 2.2.2.2 Komponen Utama dalam FRAAP Menurut Peltier (2005, p130), “The FRAAP is devided into three phases : preFRAAP, FRAAP session, and post-FRAAP”. Artinya adalah FRAAP dibagi menjadi 3 fase : pre-FRAAP, sesi FRAAP, dan post-FRAAP. Menurut Peltier(2005, p159) adalah sebagai berikut : 1. Pre-FRAP Meeting Process “The pre-FRAAP meeting is the key to the success of the project. The meeting is normally scheduled for an hour and a half and is usually conducted at the client office. The meeting should have the business manager (or representative), the project development leader, the facilitator, and the scribe. There will be six key deliverables to come out of this one hour session :”. Artinya adalah Pertemuan pra-FRAAP adalah kunci bagi keberhasilan proyek. Pertemuan biasanya dijadwalkan selama satu jam setengah dan biasanya dilakukan di kantor klien. Pertemuan harus memiliki manajer bisnis (atau perwakilan), pemimpin pengembangan proyek, fasilitator, dan panitera. Akan ada enam penyampaian kunci yang dihasilkan dari sesi satu jam ini: Ada 6 komponen utama yang muncul dari sesi ini : A. Prescreening results “As we have just discussed, the results of the prescreening may alter the need to conduct a risk assessment”. Artinya adalah sebagaimana telah kita bahas, hasil penyaringan yang dapat mengubah kebutuhan untuk melakukan penilaian risiko. B. Scope statement “The project leader and business manager will have to create a statement of opportunity for review. They are to develop in words what exactly is
going to be reviewed”. Artinya adalah pemimpin proyek dan manajer bisnis harus membuat pernyataan kesempatan untuk diperiksa. Mereka mengembangkan apa yang sebenarnya akan ditinjau. C. Visual diagram “There will need to be a visual model. This is a one-page or foil diagram depicting the process to be reviewed. The visual model will be used during the FRAAP session to acquaint the team with where the process begins and ends. There is good reason to require that a visual diagram or an information flow model be part of the FRAAP. The neural-linguistic programming isa study of how people learn. This process has identified three basic ways in which people learn:”. Artinya adalah di sana akan perlu menjadi model visual. Ini adalah satu-halaman atau foil diagram yang menggambarkan proses untuk ditinjau. Model visual akan digunakan selama sesi FRAAP untuk memperkenalkan tim dengan mana proses dimulai dan berakhir. Ada alasan baik untuk mengharuskan diagram visual atau model arus informasi menjadi bagian dari FRAAP tersebut. Pemrograman studi ISA saraf-linguistik tentang bagaimana orang belajar. Proses ini telah mengidentifikasi tiga cara dasar di mana orang belajar: a. Auditory “These people have to hear something to grasp it. During the FRAAP the owner will present the project scope statement to the team, and those that learn in this manner will be fulfilled”. Artinya adalah
orang-orang
memahaminya.
ini
Selama
harus FRAAP
mendengar pemilik
sesuatu
akan
untuk
menyajikan
pernyataan lingkup proyek untuk tim, dan mereka yang belajar dengan cara ini akan dipenuhi. b. Mechanical “This learning type must write down the element to be learned. Those taking notes during meetings are typically mechanical learners”. Artinya adalah jenis pembelajaran ini harus menuliskan
elemen yang harus dipelajari. Mereka mencatat selama pertemuan biasanya peserta didik mekanik. c. Visual “This type of learner, of which I am one, needs to see a picture or diagram to understand what is being discussed. People that learn via this method normally have white boards in their office and use them often. So the visual diagram or model will help these people understand what is being reviewed”. Artinya adalah jenis pelajar, dimana saya salah satunya, perlu melihat gambar atau diagram untuk memahami apa yang sedang dibahas. Orang-orang yang belajar melalui metode ini biasanya memiliki papan putih di kantor mereka dan sering menggunakannya. Jadi diagram visual atau model akan membantu orang-orang memahami apa yang sedang ditinjau. D. Establish the FRAAP team “A typical FRAAP has between 15 and 30 members. The team is made up of representatives from a number of business and infrastructure and business support areas.”. Artinya adalah Sebuah FRAAP biasanya memiliki antara 15 dan 30 anggota. Tim ini terdiri dari wakil-wakil dari sejumlah bisnis dan infrastruktur dan bidang pendukung bisnis. E.
Meeting mechanics “This is the business unit manager’s meeting, and he or she is responsible for scheduling the room, setting the risk assessment time, and having the appropriate materials (overhead, flip charts, coffee and doughnuts) on hand. This risk assessment meeting is the responsibility of the owner. As the facilitator, you are assisting the owner in completing this task. It is not an information security, project management, audit, or risk management meeting. It is the owner’s meeting, and that person is responsible for scheduling the place and inviting the team”. Artinya adalah ini adalah pertemuan unit usaha manajer, dan ia bertanggung jawab untuk penjadwalan ruang, pengaturan waktu penilaian risiko, dan memiliki
bahan yang tepat (biaya overhead, flip chart, kopi dan donat) di tangannya. Pertemuan penilaian risiko ini adalah tanggung jawab pemilik. Sebagai fasilitator, Anda membantu pemilik dalam menyelesaikan tugas. Ini bukan keamanan
informasi,
manajemen
proyek,
audit,
atau
pertemuan
manajemen risiko. Ini adalah pertemuan pemilik, dan orang yang bertanggung jawab untuk penjadwalan tempat dan mengundang tim. F. Agreement on definitions “The pre-FRAAP session is where the agreement on FRAAP definitions is completed. You will want to agree on the definitions of the review elements (integrity, confidentiality, availability). In addition to the review elements, it will be necessary to agree on the items in Tabel 2.1”. Artinya adalah sesi pre-FRAAP adalah di mana kesepakatan tentang definisi FRAAP selesai. Anda akan ingin untuk menyepakati definisi dari elemen review (integritas, kerahasiaan, ketersediaan). Selain unsur-unsur review, maka akan diperlukan untuk menyepakati item dalam Tabel 2.1. Tabel 2.1 Pre – FRAAP Meeting Definition Term
Definition
Threat
Potential events that have a negative impact on the business objectives or mission statement of the enterprise
Control
Measures taken to prevent, detect, reduce, or eliminate risk to the business objectives or mission statement of the enterprise
Integrity
Information is as intended, without unauthorized or undesirable modification or corruption
Confidentiality Information has not undergone unauthorized or undesirable disclosure Availability
Protection from unauthorized attempts to withhold information or computer resources
Probability
Chance that an event will occur or that a specific loss value may be attained should the event occur
High
Very likely that the threat will occur within the next year
Medium
Possible that the threat may occur within the next year
Low
Highly unlikely that the threat will occur within the next year
Impact
A measure of the magnitude of loss or harm on the value of an asset
High
Entire mission or business impacted
Medium
Loss is limited to single business unit or objective
Low
Business as usual
2. FRAAP Session “The FRAAP session is divided into two stages; the first generally is scheduled for four hours and normally has between 15 and 25 team members. Some government agencies have expanded the session to last as long as three days, but typically in the business sector and most government agencies, four hours is about all that any group of people can devote to such a process. The deliverables from the first stage are:”. Artinya adalah sesi FRAAP dibagi menjadi dua tahap, yang pertama umumnya dijadwalkan selama empat jam dan biasanya memiliki antara 15 dan 25 anggota tim. Beberapa lembaga pemerintah telah memperluas sesi berlangsung selama tiga hari, tetapi biasanya di sektor bisnis dan sebagian besar instansi pemerintah, empat jam adalah tentang semua yang setiap kelompok orang dapat mengabdikan untuk proses tersebut. Penyampaian dari tahap pertama adalah: A. Threats identified B. Priotized Risks C. Suggested Controls Komponen di dalam stage 1 : a. The FRAAP Session Introduction “The facilitator will explain the FRAAP to the team. This will include a discussion on the deliverables expected from each stage of the process.
With the assistance of the facilitator, the team will identify threats to the asset under review. Using a formula of probability and impact, the team will then affix a risk level to each threat, and finally, the team will select possible controls to reduce the risk intensity to an accepTabel level”. Artinya adalah fasilitator akan menjelaskan FRAAP untuk tim. Ini akan mencakup diskusi tentang kiriman yang diharapkan dari setiap tahap proses. Dengan bantuan dari fasilitator, tim akan mengidentifikasi ancaman
terhadap
aset
yang dilaporkan.
Menggunakan
rumus
probabilitas dan dampak, tim kemudian akan membubuhkan tingkat risiko untuk setiap ancaman, dan akhirnya, tim akan memilih kemungkinan kontrol untuk mengurangi intensitas risiko ke tingkat yang dapat diterima. b. The FRAAP Threat Identification “The team is given three to five minutes to write down threats that are of a concern. The facilitator will then go around the room getting one threat from each team member. Many will have more than one threat, but the process is to get one threat and then move to the next person. This way everyone gets a turn at participating. The process continues until everyone passes (that is, there are no more threats that the team can think of).”. Artinya adalah tim ini diberikan tiga sampai lima menit untuk menuliskan ancaman yang merupakan perhatian. Fasilitator kemudian akan pergi di sekitar ruangan mendapatkan satu ancaman dari setiap anggota tim. Banyak orang akan memiliki lebih dari satu ancaman, namun proses ini untuk mendapatkan satu ancaman dan kemudian pindah ke orang berikutnya. Cara ini semua orang mendapat giliran di berpartisipasi. Proses berlanjut sampai semua orang lewat (yaitu, tidak ada lagi ancaman bahwa tim bisa memikirkan). c. FRAAP Session Risk Level Established “The team will consider each threat in turn and will examine the threat based first on the likelihood that it will occur using definitions like those
in Tabel 2.2”. Artinya adalah tim akan mempertimbangkan setiap ancaman pada gilirannya dan akan memeriksa ancaman pertama berbasis pada kemungkinan bahwa hal itu akan terjadi dengan menggunakan definisi seperti di Tabel 2.2.
Tabel 2.2 FRAAP Probability Definitions Term
Definition
Probability
Chance that an event will occur or that a specific loss value may be attained should the event occur
High
Very likely that the threat may occur within the next year
Medium
Possible that the threat may occur within the next year
Low
Highly unlikely that the threat will occur within the next year
“Examining threats in this manner allows the organization to establish a baseline of risk. Once this is calculated, the team can examine existing controls to determine how effective those controls are in reducing risk.”. Artinya adalah memeriksa ancaman dengan cara ini memungkinkan organisasi untuk menetapkan data dasar risiko. Setelah ini dihitung, tim dapat memeriksa kontrol yang ada untuk menentukan seberapa efektif mereka kontrol dalam mengurangi risiko. “Having established the probability and impact level, the team will look at the risk level matrix (Figure 6.5) and establish the risk level for that threat.”. Artinya adalah Setelah menetapkan probabilitas dan tingkat dampak, tim akan melihat matriks tingkat risiko (Gambar 2.1) dan menetapkan tingkat risiko ancaman itu.
Gambar 2.1 FRAAP Risk Level Matrix d. FRAAP Control Selection “Identify controls for those threats identified as having a high risk level.”. Artinya adalah mengidentifikasi kontrol bagi mereka ancaman yang diidentifikasi sebagai memiliki tingkat risiko tinggi. Komponen dalam stage 2 : a. Identify existing controls b. Identify a control for any high-level threat with no existing control c.
Identify the department, group, or individual who will be responsible for implementing the new control
e. FRAAP Session Summary “The FRAAP session is complete. The team was given an overview of the risk assessment process and what will be expected of its members. The owner then discussed the scope of the risk assessment, and a technical support person reviewed the information flow model. The facilitator then walked the team through the review elements (integrity,
confidentiality, and availability).”. Artinya adalah sesi FRAAP selesai. Tim ini diberi gambaran dari proses penilaian risiko dan apa yang diharapkan dari para anggotanya. Pemilik kemudian membahas ruang lingkup penilaian risiko, dan dukungan orang teknis terakhir model arus informasi. Fasilitator kemudian berjalan tim melalui unsur-unsur review (integritas, kerahasiaan, dan ketersediaan). “When the deliverables are complete, the system users and some business area infrastructure personal can be excused. The remaining team members will complete the FRAAP session stage 2 by rendering three deliverables:”. Artinya adalah ketika kiriman selesai, pengguna sistem dan beberapa infrastruktur area pribadi bisnis dapat diterima. Para anggota tim yang tersisa akan menyelesaikan tahap sesi FRAAP 2 dengan rendering tiga kiriman: o “Wherever they are present, existing controls are to be identified.”. Artinya adalah di mana pun mereka hadir, kontrol yang ada harus diidentifikasi. o “Where a high-level threat has no existing control, the owner will select a control.” Artinya adalah dimana ancaman tingkat tinggi tidak memiliki kontrol yang ada, pemilik akan memilih kontrol. o “For each new control selected, the team will identify the group or individual responsible for implementation of that control.”. Artinya adalah untuk setiap kontrol baru terpilih, tim akan mengidentifikasi kelompok atau individu yang bertanggung jawab untuk pelaksanaan kontrol. Definisi – definisi yang harus diapahami didalam sesi ini adalah : a. Integrity “Information is as intended, without unauthorized or undesirable modification or corruption.”. Artinya adalah informasi sebagaimana
dimaksud, tanpa modifikasi yang tidak sah atau tidak diinginkan atau korupsi. b. Confidentiality “information has not undergone unauthorized or undesirable disclosure.”. Artinya adalah informasi tidak mengalami pengungkapan yang tidak sah atau tidak diinginkan. c. Availability “protection from unauthorized attempts to withhold information or computer resources”. Artinya adalah perlindungan dari upaya tidak sah untuk menahan informasi atau sumber daya computer. 3. The Post-FRAAP “This phase of the FRAAP generates the reports that will establish what the risk assessment accomplished and how management performed its required due diligence. During this phase the facilitator and the owner will work to assemble the risk assessment action plan.”. Artinya adalah Fase ini FRAAP menghasilkan laporan yang akan menetapkan apa penilaian risiko dicapai dan bagaimana manajemen melakukan uji kelayakan yang diperlukan. Selama fase ini fasilitator dan pemilik akan bekerja untuk merangkai rencana aksi penilaian risiko. Post-FRAAP mempunyai tiga penyampaian : o Time frames to implement controls established o
Management summary repor
o
Controls cross-reference sheet
