BAB II TINJAUAN PUSTAKA 2.1.
Teori-Teori Umum
2.1.1. Sistem Menurut Mulyadi (1997) sistem pada dasarnya adalah sekelompok unsur yang erat berhubungan satu dengan yang lainnya, yang berfungsi bersama-sama untuk mencapai tujuan tertentu. Menurut James O’Brien (2006) sistem adalah sekelompok komponen yang saling berhubungan, bekerja sama untuk mencapai tujuan bersama dengan menerima input serta menghasilkan output dalam proses transformasi yang teratur. Menurut McLeod (2004) sistem adalah sekelompok elemen-elemen yang terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan.
2.1.2. Data Menurut McLeod (2004) data terdiri dari fakta-fakta dan angka yang relatif tidak berarti bagi pemakai. Menurut James O’Brien (2006) data adalah fakta atau observasi mentah, yang biasanya mengenai fenomena fisik atau transaksi bisnis.
5
6
2.1.3. Informasi Informasi merupakan aset yang mempunyai nilai bagi organisasi dan membutuhkan perlindungan. Menurut James O’Brien (2006) informasi adalah data yang telah diubah menjadi konteks yang berarti dan berguna bagi para pemakai akhir tertentu.Menurut McLeod (2004) informasi adalah data yang telah diproses, atau data yang memiliki arti.
2.1.4. Sistem Informasi Menurut Wilkinson (1995) sistem informasi adalah suatu kerangka yang menjadi “alat – antara” bagi sumber-sumber daya yang terkoordinasi guna mengumpulkan, memproses, mengendalikan, dan mengelola data dalam tahapan yang berurutan dengan tujuan untuk menghasilkan informasi yang disampaikan melalui jaringan komunikasi ke berbagai pemakai untuk satu tujuan atau lebih. Menurut James O’Brien (2006) sistem informasi adalah kombinasi teratur apa pun dari orang-orang, perangkat keras, perangkat lunak, jaringan komunikasi, dan sumber daya yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi.
7
2.2.
Teori-Teori Khusus
2.2.1. Manajemen Risiko dan Penilaian Risiko Carol woody ( 2006) menjelaskan manajemen risiko merupakan suatu proses berulang yang membahas analisa, perencanaan, implementasi, kontrol dan pengawasan terhadap kebijakan dan pengukuran implementasi kebijakan keamanan. Sebaliknya, penilaian risiko
dilakukan pada waktu tertentu (contohnya setahun
sekali, dll) dan memberikan gambaran sementara penilaian risiko dan juga memberikan ukuran terhadap proses manajemen risiko. Wright (1999) menyatakan bahwa manajemen risiko merupakan proses membangun dan memelihara keamanan sistem informasi di dalam organisasi. Wright juga menambahkan jantung dari manajemen risiko adalah penilaian risiko dimana risiko dari sistem diidentifikasi dan dievaluasi untuk menyesuaikan kontrol keamanan. Hubungan antara manajemen risiko dan penilaian risiko terlihat dari Gambar 1 di bawah ini.
8
Gambar 1. Hubungan antara manajemen risiko dan penilaian risiko (Carol Woody, 2006 ) Technical Department of European Network and Information Security Agency (ENISA) Section Risk Management (2006) menjelaskan manajemen risiko adalah proses penilaian pada alternatif kebijakan yang dikonsultasikan kepada pihak terkait, yang berhubungan dengan penilaian risiko dan dan faktor yang sah lainnya, dan memilih pencegahan yang tepat dan pilihan kontrol. Dari penjelasan ini, Technical Department of ENISA Section Risk Management juga memberikan daur hidup siklus dari
manajemen risiko yang
tergambar pada Gambar 2. Daur hidup siklus ini tersusun atas : •
Definisi dari ruang lingkup: Proses pembentukan parameter global atas kinerja manajemen risiko dalam sebuah organisasi. Dalam definisi ruang lingkup manajemen risiko, baik faktor internal dan eksternal harus diperhitungkan.
9
•
Penilaian risiko: Suatu proses ilmiah dan berbasis teknologi berbasis terdiri dari tiga langkah, identifikasi risiko, analisis risiko dan evaluasi risiko.
•
Tindakan atas risiko: Proses seleksi dan implementasi tindakan untuk memodifikasi risiko.
•
Komunikasi mengenai risiko: Suatu proses untuk saling bertukar informasi atau berbagi tentang risiko antara pembuat keputusan dan pemangku kepentingan lainnya di dalam dan di luar organisasi.
•
Memantau dan meninjau kembali: Suatu proses untuk mengukur efisiensi dan efektivitas organisasi dalam manajemen risiko adalah pembentukan proses pemantauan dan proses peninjauan kembali. Proses ini memastikan bahwa aksi rencana pengelolaan yang ditentukan tetap relevan dan diperbarui. Proses ini juga menerapkan pengendalian kegiatan termasuk evaluasi ulang dari lingkup dan sesuai dengan keputusan.
10
Gambar 2. Daur hidup manajemen risiko (Technical Department of ENISA Section Risk Management , 2006)
2.2.2. Metode Penilaian Risiko Biasanya, organisasi melakukan analisis risiko dengan tujuan menyesuaikan praktek dan kontrol keamanan mereka dengan tingkat risiko yang dapat diterima (Tsoumas dan Tryfons, 2004). ISO/ISEC 17799 telah mendefinisikan penilaian risiko sebagai sebuah pertimbangan yang sistematis dari:
11
a. Hal yang membahayakan bisnis yang mungkin merupakan akibat dari kegagalan keamanan, dengan mempertimbangkan konsekuensi potensial dari hilangnya kerahasiaan, integritas atau ketersediaan informasi dan aset lainnya. b. Kemungkinan realistis seperti kegagalan yang terjadi dalam menggali informasi ancaman dan kerentanan yang ada, dan kontrol yang diterapkan saat ini. Technical Department of ENISA Section Risk Management telah membuat daftar dari metode yang ada. Perlu diketahui, daftar yang dibuat ini tidak mencakup seluruh metode yang ada pada saat daftar ini dibuat. Daftar yang dibuat ini merupakan daftar terbuka, yang artinya metode – metode baru akan ditambahkan di masa yang akan datang. Metode – metode khusus yang tidak dicantumkan dalam daftar ini adalah : ‐
High-level reference documents: dokumen seperti panduan ISO 73 tidak dicantumkan dalam daftar ini.
‐
Metode Non RA/RM : metode yang tidak diklasifikasikan sebagai metode RA/RM berdasarkan definisi metode tersebut.
‐
Metode yang tidak diketahui : beberapa metode yang tidak dapat diakses dokumentasinya.
12
‐
Metode yang berorientasi terhadap manajemen secaral general (contoh: corporate governance): contohnya Cobit, Basel II, tidak dicantumkan karena alasan ini.
‐
Metode yang berorientasi terhadap produk atau sistem keamanan : contohnya Common Criteria.
Berikut ini adalah metode-metode yang biasanya digunakan untuk melakukan penilaian risiko, yaitu: •
Austrian IT Security Handbook
•
CRAMM
•
Dutch A&K analysis
•
EBIOS
•
ISF methods for risk assessment and risk management
•
ISO/IEC IS 13335-2 (ISO/IEC IS 27005)
•
ISO/IEC IS 17799:2005
•
ISO/IEC IS 27001 (BS7799-2:2002)
•
IT-Grundschutz (IT Baseline Protection Manual)
•
MARION
13
•
MEHARI
•
OCTAVE
•
SP800-30 (NIST) Perbandingan dari metode-metode tersebut dapat dilihat pada Tabel 1 di
bawah ini. Dapat dilihat bahwa metode OCTAVE memiliki kelebihan, yaitu mempunyai semua atribut yang diperlukan dalam melakukan penilaian risiko. Selain itu, OCTAVE sifatnya bebas biaya dan cocok untuk organisasi yang kecil dan menengah.
14
Tabel 1. Perbandingan metode penilaian risiko (Technical Department of ENISA Section Risk Management , 2006)
2.2.3. OCTAVE OCTAVE adalah metodologi yang digunakan untuk mengidentifikasi dan mengevaluasi information security risks. Penggunaan OCTAVE sendiri ditujukan untuk membantu perusahaan dalam hal :
15
-
Mengembangkan kriteria evaluasi risiko kualitatif yang menggambarkan toleransi risiko operasional perusahaan
-
Mengidentifikasikan aset yang penting bagi misi perusahaan
-
Mengidentifikasi kerentanan dan ancaman bagi aset tersebut
-
Menentukan dan mengevaluasi akibat yang mungkin terjadi bagi perusahaan jika ancaman tersebut terjadi
Metodologi OCTAVE yang ada saat ini Sekarang ini (Maret 2011) terdapat tiga varian OCTAVE yang bisa digunakan. Varian tersebut adalah : OCTAVE method, OCTAVE-S, dan OCTAVE Allegro. Ketiga metode tersebut bukanlah metode yang saling melengkapi, atau menggantikan satu sama lain. Penggunaan ketiga metode tersebut dimaksudkan untuk memenuhi kebutuhan spesifik dari pengguna OCTAVE yang ingin melakukan penilaian risiko. Berikut ini akan dijelaskan secara singkat mengenai ketiga metode tersebut. •
Metode OCTAVE Metode OCTAVE merupakan versi OCTAVE yang pertama kali dikembangkan. Metode OCTAVE dilakukan dengan cara diadakannya rangkaian workshop dan difasilitasi oleh tim analisis yang dibuat dari unit bisnis yang ada didalam perusahaan dan departemen IT.
16
Metode OCTAVE ditujukan untuk perusahaan besar yang memiliki lebih dari 300 orang staf. Secara spesifik, metode OCTAVE didesain untuk perusahaan yang memiliki karakteristik sebagai berikut: - memiliki multi level hirarki - mengurus infrastruktur IT mereka sendiri - memiliki kemampuan untuk melakukan alat evaluasi kerentanan - memiliki kemampuan untuk menginterpretasikan hasil dari evaluasi kerentanan
Gambar 3. Langkah – langkah OCTAVE (Carol Woody, 2006 ) •
OCTAVE-S Pengembangan OCTAVE-S didukung oleh program Technology Insertion, Demonstration, and Evaluation (TIDE) pada SEI (Software Engineering Institute), yang bertujuan untuk membawa pendekatan OCTAVE
17
pada perusahaan kecil. Versi terkini dari OCTAVE-S (versi 1.0) dirancang secara spesifik untuk perusahaan yang memiliki 100 staf atau kurang. Sejalan dengan OCTAVE method, OCTAVE-S juga terdiri dari tiga tahap. Namun, OCTAVE-S dilakukan oleh tim analisis yang memiliki pengetahuan mendalam tentang perusahaan. Maka daripada itu, OCTAVE-S tidak mengandalkan informasi yang dikumpulkan dari workshop yang dilakukan karena OCTAVE-S mengambil asumsi bahwa tim analisis (biasanya terdiri dari tiga atau lima orang) memiliki pengetahuan dari aset penting yang berhubungan dengan informasi, kebutuhan keamanan, ancaman, dan praktek keamanan didalam perusahaan. •
OCTAVE Allegro Tujuan yang ingin dicapai oleh OCTAVE Allegro adalah penilaian yang luas terhadap lingkungan risiko operasional suatu organisasi dengan tujuan menghasilkan hasil yang lebih baik tanpa perlu pengetahuan yang luas dalam hal penilaian risiko. Pendekatan ini berbeda dari pendekatan OCTAVE, dimana OCTAVE Allegro lebih berfokus terhadap aset informasi dalam konteks
bagaimana
mereka
digunakan,
dimana
mereka
disimpan,
dipindahkan, dan diolah, dan bagaimana mereka terkena ancaman, kerentanan, dan gangguan sebagai hasil yang ditimbulkan.
18
Gambar 4. Langkah – langkah OCTAVE Allegro (Richard A. Caralli, 2007)
Tahap – tahap OCTAVE Allegro Terdapat empat tahap dalam OCTAVE Allegro, yaitu: 1. Membangun
drivers,
dimana
perusahaan
mengembangkan
kriteria
pengukuran risiko yang konsisten dengan organizational drivers (hal-hal yang menggerakkan organisasi). 2. Membuat profil aset, dimana aset yang menjadi fokus dari penilaian risiko diidentifikasi dan digambarkan, dan asset container diidentifikasikan.
19
3. Mengidentifikasi ancaman, dimana ancaman terhadap aset (dalam lingkup container mereka) diidentifikasikan dan didokumentasikan melalui proses terstruktur. 4. Mengidentifikasi
dan
mengurangi
risiko,
dimana
risiko
yang
diidentifikasikan dan dianalisis yang didasari dari informasi ancaman, dan rencana mitigasi dikembangkan dalam menanggapi risiko tersebut.
Langkah – langkah OCTAVE Allegro Dari tahap-tahap tersebut, terdapat delapan langkah OCTAVE Allegro, yaitu: 1. Membangun kriteria pengukuran risiko Pada langkah pertama ini, organizational driver yang akan digunakan untuk mengevaluasi akibat dari sebuah risiko terhadap misi dan tujuan bisnis perusahaan diidentifikasi. Kriteria pengukuran risiko digunakan untuk mengevaluasi akibat dalam masing – masing area dan memprioritaskannya. Di dalamnya terdapat ukuran – ukuran kualitatif yang risikonya dapat dievaluasi dan membentuk dasar dari penilaian risiko sistem informasi. 2. Membangun profil aset informasi Langkah kedua adalah membangun profil aset informasi atas aset – aset perusahaan. Profil merupakan representasi dari aset informasi yang menggambarkan fitur, kualitas, karakteristik, dan nilai yang unik. Metode ini
20
berguna untuk meyakinkan bahwa aset tersebut secara jelas dan konsisten digambarkan sehingga dapat menghindari definisi yang ambigu dari batasbatas aset dan memudahkan dalam menyusun kebutuhan keamanan informasi. 3.
Mengidentifikasi container dari aset informasi Container adalah tempat dimana aset informasi disimpan, dikirim, dan diproses. Dalam langkah ketiga, semua container yang menyimpan, mengirim, dan memproses, baik internal maupun eksternal diidentifikasikan.
4.
Mengidentifikasikan area yang diperhatikan Langkah keempat merupakan proses identifikasi risiko melalui cara brainstorming mengenai kondisi atau situasi yang memungkinkan yang dapat mengancam aset informasi perusahaan. Tujuan dari proses ini adalah secara cepat mengetahui situasi atau kondisi yang terlintas secara tiba – tiba dalam benak tim analisis.
5.
Mengidentifikasi skenario ancaman Dalam langkah kelima ini, area – area yang telah diidentifikasi pada langkah sebelumnya
diperluas
menjadi
skenario
ancaman
yang
lebih
jauh
mendetailkan properti dari sebuah ancaman dengan menggunakan sebuah threat tree. Langkah ini berguna untuk memberikan pertimbangan atas kemungkinan dalam skenario ancaman. Kemungkinan ini kemudian dibagi ke dalam high, medium, atau low.
21
6.
Mengidentifikasi risiko Pada langkah keenam, konsekuensi bagi organisasi jika sebuah ancaman terjadi dicatat, dalam mendapatkan gambaran risiko secara lengkap. Sebuah ancaman dapat mempunyai akibat – akibat yang potensial bagi organisasi.
7. Menganalisa risiko Pada langkah ketujuh, pengukuran kuantitatif sederhana dari sejauh mana organisasi terkena dampak dari threat dihitung. Nilai risiko relatif didapatkan dengan cara mempertimbangkan sejauh mana konsekuensi atas dampak risiko terhadap berbagai impact area, dan memperkirakan kemungkinannya. 8.
Memilih pendekatan pengurangan risiko Dalam langkah terakhir dari proses Octave Allegro ini, organisasi menentukan risiko yang memerlukan mitigasi dan mengembangkan strategi untuk mengurangi risiko tersebut. Hal ini dilakukan dengan cara memprioritaskan risiko – risiko berdasarkan nilai risiko relatif, kemudian mengembangkan strategi mitigasi dengan mempertimbangkan nilai dari aset dan kebutuhan keamanan, kontainer atas aset, serta lingkungan operasional yang unik dari organisasi.
22
2.2.4. Ancaman Ancaman (Richard A. Caralli, 2007) adalah indikasi dari kemungkinan munculnya kejadian yang tidak diharapkan. ancaman mengacu kepada situasi (atau skenario) dimana seseorang dapat melakukan tindakan yang tidak diharapkan (contohnya seorang penyerang memulai denial of service terhadap server email perusahaan) atau kejadian alam dapat menyebabkan hasil yang tidak diinginkan (sebagai contoh kebakaran yang merusak perangkat keras sistem informasi perusahaan). Sebuah ancaman diciptakan ketika seorang aktor mengeksploitasi celah kerentanan dari sebuah sistem.
2.2.5. Kerentanan Menurut Michael dan Herbert (2010), kerentanan adalah jalan tertentu dimana agen dari ancaman dapat masuk untuk menyerang aset informasi.
2.2.6. Risiko Jake Koun (2010) menjelaskan risiko adalah pengukuran kuantitatif dari potensi kerusakan
yang disebabkan ancaman, celah keamanan, atau dari suatu
peristiwa (memiliki niat jahat atau tidak) yang mempengaruhi sekeumpulan aset teknologi informasi yang dimiliki oleh perusahaan. Paparan terhadap risiko (yaitu,
23
menjadi subjek dari peristiwa yang menimbulkan risiko) menyebabkan kerugian potensial, dan risiko adalah suatu ukuran dari kerugian "rata-rata" (tipikal) yang bisa diharapkan dari paparan tersebut. Risiko, maka daripada itu, adalah ukuran kuantitatif dari kerusakan yang dapat terjadi terhadap aset tertentu bahkan setelah sejumlah pencegahan keamanan informasi telah digunakan oleh organisasi Christopher Alberts (2002) menjelaskan risiko sebagai kemungkinan terkena kerusakan atau kerugian. Hal ini mengacu pada situasi dimana seseorang bisa melakukan sesuatu yang tidak diinginkan atau kejadian alam dapat menyebabkan hasil yang tidak diinginkan, yang menghasilkan dampak negatif. Gary Stoneburner (2002) menjelaskan risiko adalah sebuah fungsi dari kemungkinan terjadinya sebuah ancaman yang berhubungan dengan celah keamanan potensial, dan dampak yang dihasilkan dari peristiwa yang merugikan tersebut pada organisasi.
2.2.7. Aset informasi Choo (1988) mendefinisikan aset informasi sebagai bagian informasi yang didefinisikan serta disimpan dengan cara apapun yang diakui sebagai hal yang berharga bagi organisasi. Jake Koun (2010) mendefinisikan aset informasi sebagai elemen data aktual, catatan, arsip, sistem perangkat lunak (aplikasi), dan sebagainya.
24
2.2.8. Keamanan Informasi Menurut Whitman (2010) keamanan informasi adalah perlindungan terhadap informasi dan karakteristik kritikal yang dimilikinya (confidentiality, integrity, dan availability), termasuk didalamnya sistem dan perangkat keras yang mengunakan, menyimpan, dan mengirimkan informasi tersebut, melalui penerapan kebijakan, pelatihan dan program kesadaran akan keamanan informasi, dan teknologi. Menurut Schwartz (1990), kerugian yang terkait keamanan informasi akan terus terjadi dan dampaknya akan menghancurkan organisasi. Menurut SaintGermain (2005), organisasi perlu mengidentifikasikan dan menerapkan kontrol yang tepat untuk menjamin keamanan informasi yang memadai. Van de Haar dan Von Solms (2003) menyatakan bahwa kontrol keamanan informasi membantu organisasi dalam menyediakan tingkat keamanan yang dibutuhkan organisasi untuk informasi mereka. keamanan informasi yang efektif dapat dicapai melalui usaha bersama dari information system owner, user, custodian, security personnel, customer, dan stakeholder lainnya yang bertanggung jawab (Conner & Swindle, 2004). Dari hal – hal diatas dapat disimpulkan bahwa keamanan informasi bergantung terhadap kontrol keamanan informasi yang diterapkan perusahaan. Pengaruh pemilik informasi maupun custodian dalam menggunakan informasi dan menjaga informasi juga memberikan sumbangsih terhadap keamanan informasi. Dan dampak dari tidak tersedianya kontrol keamanan informasi yang memadai, dapat memberikan kerugian yang bisa terus menerus terjadi jika langkah – langkah penerapan kontrol tidak dilakukan. (Richard A. Caralli, 2007).