BAB III METODOLOGI PENELITIAN
3.1.
Latar Belakang Bina Nusantara Bina Nusantara merupakan organisasi yang bergerak di bidang pendidikan. Organisasi ini didirikan pada 21 Oktober 1974. Awalnya Bina Nusantara adalah sebuah lembaga pendidikan komputer yang terus mengalami perubahan dan perkembangan dari tahun ke tahun hingga akhirnya menjadi sebuah universitas pada tanggal 8 Agustus 1996. Bina Nusantara memiliki Fakultas Ilmu Komputer, Fakultas Ekonomi & Bisnis, Fakultas Sains & Teknik, Fakultas Bahasa & Budaya, Fakultas Psikologi, Fakultas Komunikasi & Multimedia dan Program BINUS Online Learning. Saat ini Bina Nusantara memiliki 5 gedung kampus, yaitu Syahdan, Anggrek, Kijang, JWC, dan Alam Sutera. Program yang dimiliki adalah Program Diploma II (D3), Strata-1 (S1), Strata-2 (S2), dan Strata-3 (S3).
Visi “A World-class university. In continuous pursuit of innovation and enterprise”
25
26
Misi •
Recognizing and rewarding the most creative and value-adding talents.
•
Providing a world-class teaching, learning and research experience that fosters excellence in scholarship, innovation and entrepreneurship.
•
Creating outstanding leaders for global community.
•
Conducting professional services with an emphasis on application of knowledge to the society.
•
Improving the quality of life of Indonesians and the international community.
Nilai – nilai Bina Nusantara •
Tenacious Focus Acting with a passionate, committed, and determined focus towards shared purposes.
•
Freedom to Innovate Combining integrity with a creative and result-oriented spirit.
•
Farsighted Sharing the foresight to recognize and take action on future opportunities.
•
Embrace Diversity Celebrating diversity in the pursuit of excellence.
27
3.2.
Struktur Organisasi Bina Nusantara
Gambar 5. Struktur Organisasi BINUS Group Pada Bina Nusantara, terdapat tujuh business unit yang merupakan sumber pendapatan utama bagi BINUS Group. Selain tujuh business unit tersebut, terdapat pula delapan directorate yang mendukung proses bisnis organisasi.
28
3.3. Struktur IT Directorate Bina Nusantara
General Manager IT Directorate BINUS
IS Development University
IT Operation
IS Development School
Technology Development
IS Development Function
IT Architecture
Gambar 6. Struktur Organisasi IT Directorate Bina Nusantara Pada IT Directorate BINUS, terdapat tiga divisi yang menangani pengembangan sistem internal yang digunakan oleh seluruh business unit dan directorate lainnya. Pembagian ketiga divisi tersebut adalah IS Dev University
yang menangani business unit BINUS University dan BINUS Business School, IS Dev School yang menangani business unit BINUS School Serpong dan BINUS School Simprug, dan untuk sisa business unit lainnya dan directorate lainnya, menjadi tanggung jawab dari IS Dev Function. Pada bagian IT operation dibagi menjadi tiga divisi kecil. Divisi Data
center menangani server dan database yang ada pada BINUS. Divisi network yang menangani jaringan LAN, WAN, dan jaringan lainnya yang ada pada BINUS. Divisi IT support ditempatkan dimasing – masing lokasi kampus, dan school untuk mendukung kegiatan operasional sehari – hari.
29
Divisi Tech dev merupakan divisi yang menangani project – project BINUS dengan pihak luar dan yang bertanggung jawab dalam mengembangkan dan implementasi teknologi – teknologi terbaru pada BINUS. Divisi IT Architecture merupakan divisi yang bertanggung jawab terhadap perkembangan arsitektur IT yang ada pada BINUS. IT Architecture juga bertanggung jawab dalam menerapkan standarisasi dan QA terhadap sistem – sistem yang dikembangkan oleh IT Directorate BINUS. Pada tiap Divisi dikepalai oleh seorang manajer, dan IT Directorate dipimpin oleh seorang General Manager.
3.4.
Kerangka pikir Kerangka pikir dalam penelitian ini dapat digambarkan seperti dibawah:
Gambar 7. Kerangka Pikir
30
3.2.1. Studi pendahuluan Pada tahap ini, didefinisikan latar belakang dari penelitian. Tahap ini dimulai dengan mendiskusikan ide penelitian terhadap perwakilan dari Bina Nusantara dan apa saja yang akan dilakukan dengan tesis ini. Langkah selanjutnya adalah mempelajari struktur organisasi Bina Nusantara, mempelajari proses bisnis Bina Nusantara dan mempelajari sistem informasi Bina Nusantara. Selain itu, dilakukan pencarian artikel yang berkaitan dengan manajemen risiko sistem informasi melalui bukubuku, internet dan juga melalui dosen pembimbing tesis. Dari ide yang muncul, didiskusikan dengan dosen pembimbing dan ide - ide tersebut digunakan pada tahapan berikutnya, yaitu perumusan masalah.
3.2.2. Perumusan Masalah Pada tahapan ini, dilakukan identifikasi permasalahan yang akan dibahas. Identifikasi dan perumusan permasalahan dilakukan agar sasaran penelitian tidak keluar dari alur yang dibuat.
3.2.3.
Tujuan dan Manfaat yang Ingin Dicapai Pada tahapan ini tim menentukan tujuan dan manfaat yang ingin
dicapai dari penelitian yang akan dilakukan.
3.2.4. Studi Kepustakaan Setelah semua proses di dalam
studi pendahuluan dilakukan,
proses selanjutnya adalah pembelajaran literatur yang berhubungan dengan penilaian risiko. Studi literatur ini dilakukan agar dapat menghasilkan suatu acuan dasar yang dapat digunakan dalam penelitian.
31
Studi literatur dilakukan melalui jurnal-jurnal, buku-buku dan juga melalui internet.
3.2.5. Pengumpulan data Bersamaan dengan studi kepustakaan yang dilakukan, peneliti melakukan pengumpulan data dengan cara: a. Observasi Mengamati kegiatan – kegiatan yang berhubungan dengan risiko TI pada IT Directorate dan business unit atau directorate yang terkait secara langsung. Di dalam observasi ini juga dilakukan pengumpulan dokumen – dokumen yang terkait dengan risiko TI yang ada pada Bina Nusantara, khususnya pada IT Directorate. Contoh dokumen pada studi dokumentasi dapat berupa dokumen kebijakan (misalnya, dokumentasi, arahan), dokumentasi sistem (misalnya, buku petunjuk, desain sistem dan persyaratan dokumen), dan dokumentasi yang berkaitan dengan keamanan (misalnya, laporan audit sebelumnya, laporan penilaian risiko, hasil tes sistem, rencana keamanan sistem, kebijakan keamanan) yang dapat memberikan informasi yang baik mengenai kontrol keamanan yang digunakan oleh dan direncanakan untuk sistem TI. b. Wawancara Melakukan pengumpulan data yang dilakukan dengan bertanya dan mendengarkan jawaban langsung dari narasumber.
3.2.6. Analisis Menggunakan Metode OCTAVE Allegro
32
Terdapat empat tahapan utama dalam metode OCTAVE Allegro, yaitu: a. Membangun drivers b. Membuat profil aset c. Mengidentifikasi ancaman d. Mengidentifikasi dan mengurangi risiko Lebih jelasnya mengenai metode OCTAVE Allegro, akan dibahas pada sub bab 3.4.
3.2.7. Rekomendasi Kebijakan Manajemen Risiko Rekomendasi dan kebijakan manajemen risiko dijelaskan pada sub bab 3.4, metode OCTAVE Allegro langkah 8. Dalam penelitian ini penulis melakukan penelitian kualitatif dimana pada akhir pembahasan nantinya penulis memberikan hasil berupa pendekatan pengurangan risiko sesuai dengan hasil yang diberikan oleh metode OCTAVE
Allegro.
3.5.
Hubungan antar istilah yang digunakan
Gambar 8. Hubungan Manajemen Risiko dengan Penilaian Risiko
33
Penilaian risiko merupakan bagian dari manajemen risiko. Di dalam penilaian risiko ada tiga tahap utama yang dilakukan yaitu identifikasi, penilaian, dan perencanaan. Pada tahap identifikasi, aset informasi, kerentanan, dan ancaman diidentifikasi. Pada tahap penilaian, aset informasi, kerentanan, dan ancaman dinilai dan pada tahap terakhir, berdasarkan identifikasi dan penilaian yang dilakukan sebelumnya, maka dibuatlah perencanaan untuk aset informasi dari kerentanan dan ancaman. Semua ini dimaksudkan untuk mengurangi risiko.
Gambar 9. Hubungan Penilaian Risiko dengan Pemilihan Kontrol Ancaman biasanya terjadi dengan memanfaatkan kerentanan yang ada. Hal ini menyebabkan risiko dari kejadian yang tidak diinginkan yang memungkinkan aset informasi rusak, tidak akurat, atau bahkan hilang. Jika hal ini tejadi maka akan mempengaruhi jalannya suatu binis di suatu perusahaan. Penilaian risiko berguna mengidentifikasi dan menilai hal-hal tersebut sehingga dapat dijadikan acuan untuk pemilihan kontrol yang tepat.
34
3.6.
Metode OCTAVE Allegro Metode yang digunakan dalam penilaian risiko adalah metode OCTAVE
Allegro.
Gambar 10. Langkah – langkah OCTAVE Allegro (Richard A. Caralli, 2007) Dengan penjelasan langkah – langkah yang berhubungan sebagai berikut:
Langkah 1 – Membangun Kriteria Pengukuran Risiko Latar Belakang dan Definisi •
Dampak – akibat sebuah ancaman pada misi dan tujuan bisnis Bina Nusantara.
•
Nilai dampak – ukuran kualitatif atas dampak risiko spesifik atas organisasi (high, medium, atau low).
•
Kriteria pengukuran risiko – serangkaian ukuran kualitatif dimana dampak setiap risiko pada misi dan tujuan bisnis Bina Nusantara dievaluasi. Kriteria pengukuran risiko mendefinisikan rentang atas dampak high, medium, dan low pada Bina Nusantara.
35
Catatan Pada langkah 1, dibangun organizational drives yang akan digunakan untuk mengevaluasi dampak risiko pada misi dan tujuan bisnis Bina Nusantara. Driver ini direfleksikan pada serangkaian kriteria pengukuran risiko yang akan kami kembangkan. Kriteria pengukuran risiko membentuk dasar untuk penilaian risiko aset informasi. Tanpa kriteria tersebut, pengukuran tidak dapat dilakukan dalam seberapa luas Bina Nusantara akan terkena dampak jika risiko pada aset informasi terealisasi. Sebagai tambahan, untuk mengenali seberapa luas atas dampak yang spesifik, Bina Nusantara harus mengenali impact
area mana yang paling penting. Contoh, dalam beberapa organisasi sebuah dampak pada kaitannya dengan data pelanggan mungkin lebih signifikan daripada dampak pada pemenuhan regulasi. Dalam penilaian resiko dengan metode OCTAVE Allegro ini, akan dibuat serangkaian kriteria pengukuran risiko yang merefleksikan sebuah rentang atas impact area yang penting (dan mungkin unik) pada Bina Nusantara. Contoh, impact area dapat termasuk kesehatan dan keselamatan customer dan karyawan, finansial, reputasi, dan hukum dan regulasi. Serangkaian standar pada Worksheet templates akan digunakan untuk menghasilkan kriteria – kriteria ini dalam beberapa impact area dan kemudian memberi nilai prioritas kepada impact area. Penting untuk menghasilkan sebuah rangkaian yang konsisten atas kriteria pengukuran risiko yang akan digunakan untuk semua penilaian risiko aset informasi yang dihasilkan oleh Bina Nusantara. Kriteria
36
tersebut harus difokuskan pada level organisasi dan harus merefleksikan kesadaran manajer senior atas risk environment dimana Bina Nusantara beroperasi. Menggunakan kriteria risiko yang secara akurat merefleksikan pandangan organisasi akan meyakinkan bahwa keputusan mengenai bagaimana untuk mengurangi risiko akan konsisten melalui beberapa aset informasi atau departemen yang ada.
Panduan and Aktivitas Ada dua aktivitas dalam langkah 1
Langkah 1 Aktivitas 1 Pada langkah 1 aktivitas 1, didefinisikan serangkaian ukuran kualitatif (kriteria pengukuran risiko) yang akan digunakan untuk mengevaluasi dampak risiko pada misi dan tujuan bisnis Bina Nusantara. Kriteria Hasil dari pendefinisian ukuran kualitatif didokumentasikan pada Risk Measurement Criteria Worksheets. Dapat menjadi masukan, untuk dipertimbangkan impact Area berikut ini:
•
Reputation/customer confidence (Worksheet 1, L-1)
•
Financial (Worksheet 2, L-2)
•
Productivity (Worksheet 3, L-3)
•
Safety and health (Worksheet 4, L-4)
•
Fines/legal penalties (Worksheet 5, L-5)
•
User-defined impact Area (Worksheet 6, L-6)
Bagian kosong pada Criteria Worksheet diatas diisi untuk memberikan arti yang jelas bagi Bina Nusantara.
37
Catatan: Dalam setiap impact Area, ada ada sebuah pilihan yang berjudul “other” untuk memasukkan sebuah rangkaian unik dari kriteria. Ada juga sebuah impact Area berjudul “user-defined” yang disediakan untuk impact Area yang baru atau unik.
Langkah 1 Aktivitas 2 Pada langkah 1 aktivitas 2, dilakukan pemberian nilai prioritas
impact area dari paling penting hingga paling tidak penting menggunakan Impact Area Ranking Worksheet (Worksheet 7, L7). Kategori yang paling penting harus menerima nilai tertinggi dan kategori yang paling tidak penting menerima nilai terendah.
Catatan: Jika terdapat lima impact Area, nilai terbesar(lima) diberikan pada Area yang paling penting, Area terpenting kedua diberikan nilai empat, dan seterusnya. Semua impact Area yang akan digunakan untuk pengukuran risiko harus diberikan nilai. Nilai prioritas ini akan digunakan kemudian pada penilaian risiko untuk mengembangkan sebuah nilai risiko relatif yang membantu Bina Nusantara menentukan bagaimana mencatat risiko yang telah diidentifikasikan pada penilaian.
Langkah 2 – Mengembangkan Profil Aset Informasi Latar Belakang dan Definisi •
Aset – Sebuah aset adalah sesuatu yang bernilai bagi Bina Nusantara. Aset digunakan oleh Bina Nusantara untuk mencapai tujuan, menyediakan return on investment, dan menghasilkan pendapatan.
38
Nilai secara keseluruhan dari Bina Nusantara dapat direpresentasikan secara bersama dengan nilai dari asetnya.
•
Aset informasi kritis– Aset informasi kritis adalah aset yang paling penting bagi Bina Nusantara. Bina Nusantara akan menderita dampak kerugian jika
•
‐
Aset kritis terbongkar oleh orang yang tidak berwenang
‐
Aset kritis dimodifikasi tannpa otorisasi
‐
Aset kritis hilang atau hancur
‐
Akses pada aset kritis diputuskan
Aset Informasi – Sebuah aset informasi dapat digambarkan sebagai informasi atau data yang bernilai bagi Bina Nusantara, termasuk informasi seperti data mahasiswa, kekayaan intelektual, atau informasi pelanggan. Aset ini dapat ada dalam bentuk fisik (pada kertas, CD, atau media lain) atau secara elektronik (disimpan pada database, dalam file atau personal computer).
•
Profil aset informasi – Sebuah representasi dari aset informasi yang menggambarkan fitur, kualitas, karakteristik, dan nilai yang unik.
•
Pemilik aset informasi – Pemilik dari aset informasi adalah individuindividu yang mempunyai tanggung jawab utama atas kelangsungan, ketahanan, dan keamanan dari aset informasi. Mereka mengatur kebutuhan keamanan untuk aset dan meyakinkan bahwa strategi perlindungan yang sesuai telah diimplementasikan dalam Bina Nusantara untuk memenuhi kebutuhan tersebut.
39
•
Penjaga aset informasi – Penjaga dari aset informasi merupakan individu-individu dalam organisasi yang mempunyai tanggung jawab untuk melindungi aset informasi yang disimpan, dikirim, atau diproses dalam kontainer. Dengan kata lain, penjaga aset informasi menerima tanggung jawab untuk aset informasi yang ada pada kontainer sehingga mereka mengatur dan meyakinkan bahwa perlindungan atas aset dari setiap kebutuhan dari pemilik.
•
Orang-orang – Dalam penilaian risiko terstruktur, orang-orang adalah tipe kontainer untuk aset informasi. Mereka dapat memiliki informasi yang khusus atau penting dan menggunakannya dalam pekerjaan mereka, seperti kekayaan intelektual. Dalam beberapa kasus, informasi yang orang-orang ketahui tersebut mungkin dapat tidak ada dalam bentuk lain dalam organisasi (mungkin tidak dituliskan).
•
Kebutuhan keamanan – Kebutuhan yang menunjukkan bagaimana aset informasi dilindungi. Disebut juga sebagai “security objectives”.
‐
Kerahasiaan (confidentiality) – Meyakinkan bahwa hanya orangorang atau sistem yang berwenang yang mempunyai akses pada aset informasi.
‐
Integritas (integrity) – Meyakinkan bahwa aset informasi tetap pada kondisi yang diharapkan oleh pemilik dan untuk tujuan yang diharapkan oleh pemilik.
‐
Ketersediaan (availability) – Meyakinkan bahwa aset informasi tetap dapat diakses untuk pengguna yang memiliki otoritas.
40
•
Aset teknologi – Aset teknologi secara khusus menggambarkan kontainer elektronik dimana aset informasi disimpan, dikirim, atau diproses. Aset-aset ini secara umum termasuk perangkat keras, perangkat lunak, sistem aplikasi, server, dan jaringan.
Catatan Penilaian risiko yang dilakukan berfokus pada aset informasi pada Bina Nusantara. Pada langkah ini, dimulai proses dalam mendefinisikan asset informasi tersebut. Kemudian, akan diidentifikasi kontainer dimana aset “tinggal” dan penjaga atas kontainer tersebut. Hal ini akan membantu untuk secara penuh mengidentifikasikan semua hal dimana aset informasi mungkin rentan untuk disingkap, modifikasi, kehilangan/kerusakan, atau interupsi. Profil dibuat untuk setiap aset informasi, membentuk dasar untuk identifikasi ancaman dan risiko dalam langkah – langkah berikutnya. Membuat profil aset informasi penting untuk meyakinkan bahwa sebuah aset secara jelas dan konsisten digambarkan, bahwa ada definisi yang tidak ambigu atas batas-batas aset, dan bahwa kebutuhan keamanan untuk aset didefinisikan secara memadai. Jika diinginkan, Profil aset informasi bahkan dapat diperluas untuk memasukkan sebuah nilai kuantitatif untuk aset.
Panduan and Aktivitas Ada delapan langkah dalam Langkah 2.
41
Langkah 2 Aktivitas 1 Aktivitas pertama dari langkah penilaian risiko ini meliputi mengidentifikasi kumpulan aset informasi dimana penilaian dilakukan. Penilaian tersebut menyediakan kegunaan terbesar ketika difokuskan pada aset informasi yang paling penting bagi organisasi. Tergantung pada tingkat dimana kita melakukan penilaian risiko, “organisasi” dapat dibagi menjadi departemen, divisi, atau sublevel lainnya pada organisasi. Untuk melakukan hal ini, dapat dipertimbangkan pertanyaan berikut:
•
Aset informasi apa yang paling bernilai bagi organisasi?
•
Aset informasi apa yang digunakan dalam proses dan operasi pekerjaan sehari-hari?
•
Aset informasi apa, yang jika hilang, akan secara signifikan mengganggu kemampuan organisasi untuk menyelesaikan tujuannya
dan
berkontribusi
untuk
mencapai
misi
organisasi?
•
Aset lain apakah yang secara dekat terkait dengan aset-aset tersebut?
Lakukan brainstorming pada daftar aset informasi yang penting bagi Bina Nusantara dan pada yang mungkin dilakukan sebuah penilaian risiko yang terstruktur.
42
Langkah 2 Aktivitas 2 “Berfokus pada pandangan kritis” merupakan sebuah prinsip manajemen risiko yang penting. Selain itu, harus dilakukan penilaian risiko terstruktur hanya pada aset yang kritis untuk mencapai tujuan dan mencapai misi Bina Nusantara, serta aset yang penting lainnya seperti faktor-faktor seperti pemenuhan regulasi. Dari daftar yang dihasilkan pada Aktivitas 1, pertimbangkanlah pertanyaan berikut:
•
Aset yang mana pada daftar, jika
‐
Aset kritis terbongkar oleh orang yang tidak berwenang
‐
Aset kritis dimodifikasi tannpa otorisasi
‐
Aset kritis hilang atau hancur
‐
Akses pada aset kritis diputuskan
Aset yang memenuhi satu atau lebih dari kriteria – kriteria ini harus dipertimbangkan sebagai hal yang kritis bagi Bina Nusantara dan harus mempunyai sebuah penilaian risiko terstruktur yang dilakukan atas hal tersebut. Permulaan dengan aktivitas berikutnya, akan dimulai proses melakukan penilaian risiko pada satu dari aset informasi kritis. Secara mudah ulangi semua langkah untuk setiap aset informasi yang diharap perlu untuk dilakukan penilaian risiko.
43
Langkah 2 Aktivitas 3 Pada aktivitas berikut akan dikumpulkan informasi mengenai
information asset yang penting untuk memulai proses penilaian risiko terstruktur. Kita akan menggunakan Critical Information
Asset Profile (Worksheet 8, L-8) untuk menyimpan informasi ini. Langkah 2 Aktivitas 4 Dokumentasikan alasan untuk memilih asset informasi kritis pada kolom (2) pada Critical Information Asset Profile. Untuk melakukannya, pertimbangkan pertanyaan berikut:
•
Mengapa aset ini kritis bagi Bina Nusantara?
•
Apakah aset informasi ini bergantung atas kebutuhan regulasi?
Langkah 2 Aktivitas 5 Isilah sebuah deskripsi mengenai aset informasi kritis dalam kolom (3) dari Critical Information Asset Profile. Yakinkan bahwa didefinisikannya ruang lingkup dari information asset dan bahwa akan digunakan definisi yang telah disepakati dan umum. Pertimbangkanlah pertanyaan berikut ketika mendeskripsikan aset informasi:
•
Apa nama yang umum bagi aset informasi ini (bagaimana
orang-orang
dalam
Bina
Nusantara
menyebutnya?)
•
Apakah aset informasi ini berupa elektronik atau fisik ( contoh, pada kertas), atau keduanya?
44
Catatan: Pastikan untuk mendokumentasikan faktor – faktor yang berbeda yang terkait dengan nilai aset informasi dan/atau kebutuhan perlindungan dari aset.
Langkah 2 Aktivitas 6 Identifikasi dan dokumentasikan pemilik dari aset informasi kritis (Mengacu kepada definisi yang disediakan di atas untuk menentukan yang mana sebagai pemilik). Isi informasi ini dalam kolom (4) pada Profil Aset Informasi Kritis. Pertimbangkan
pertanyaan
berikut
ketika
sedang
mendokumentasikan pemilik aset informasi:
• Siapa dalam Bina Nusantara yang mempunyai tanggung jawab utama untuk aset informasi ini?
• Siapa yang memiliki proses bisnis dimana aset informasi ini digunakan?
• Proses bisnis milik siapakah yang paling bergantung pada aset informasi ini?
• Siapakah yang akan bertanggung jawab untuk mengatur nilai (moneter atau yang lainnya) dari aset informasi ini?
• Siapakah yang paling terkena dampak jika aset informasi rusak?
• Apakah ada pemilik yang berbeda untuk elemen yang berbeda dari data yang menyusun aset informasi?
Catatan: Dalam banyak kasus, aset informasi dimiliki oleh lebih dari satu unit organisasi. Jika ini terjadi, yakinkan untuk
45
melibatkan pemilik tambahan dalam mendefinisikan aset dan melakukan penilaian risiko. Profil risiko dari aset mungkin tidak lengkap jika tidak mempertimbangkan Threat Environment dari semua operating unit yang mempunyai aset tersebut.
Langkah 2 Aktivitas 7 Isilah kebutuhan keamanan untuk konfidensialitas, integritas, dan ketersediaan dalam kolom (5) pada Critical Information Asset
Worksheet. Mulailah dengan menandai kebutuhan yang dapat diaplikasikan pada aset informasi, dan teruskan dengan mengisi informasi
yang
melengkapi
setiap
pernyataan
kebutuhan
keamanan. Pada sebelah kanan dari pernyataan ini dapat ditambahkan kebutuhan atau dapat dibuat kebutuhan yang lebih spesifik. Hal ini penting untuk diingat selama langkah ini karena jika ada lebih dari satu pemilik dari aset informasi, kebutuhan keamanan
yang
dikembangkan
untuk
aset
tersebut
harus
merefleksikan kebutuhan dari semua pemilik. Kebutuhan keamanan untuk aset informasi sering diturunkan dari perundang-undangan dan regulasi. Harus dipastikan bahwa kebutuhan keamanan yang didefinisikan mendukung regulasi yang berhubungan.
Catatan: Sebuah kategori yang berjudul “other” disediakan untuk kebutuhan keamanan tambahan yang tidak sesuai dengan kategori yang didaftarkan.
Langkah 2 Aktivitas 8
46
Identifikasikan kebutuhan keamanan yang paling penting untuk aset informasi dengan menandai sebuah ‘X’ pada kotak sebelah kategori dari kebutuhan keamanan dalam kolom (6) pada Critical
Information Asset Worksheet. informasi ini akan digunakan ketika ditentukannya dampak potensial dari risiko, sehingga ini penting agar dapat memilih kebutuhan keamanan ini secara hati-hati.
Langkah 3 – Mengidentifikasi Kontainer dari Aset Informasi Latar Belakang dan Definisi •
Kontainer aset informasi – Sebuah kontainer aset informasi adalah tempat dimana aset informasi disimpan, dikirim, atau diproses. Kontainer aset informasi merupakan tempat dimana aset informasi “tinggal.” Kontainer secara umum meliputi perangkat keras, perangkat lunak, sistem aplikasi, server, dan jaringan (aset teknologi), tetapi mereka juga dapat meliputi item-item seperti file folder (tempat informasi disimpan dalam bentuk tertulis) atau orang (yang membawa infomasi penting seperti kekayaan intelektual). Mereka juga dapat berupa keduanya internal dan eksternal pada organisasi.
Catatan Tempat dimana aset informasi disimpan, dikirim, atau diproses dapat menjadi poin dari kerentanan dan ancaman yang memposisikan aset informasi pada risiko. Sebaliknya, mereka juga dapat menjadi tempat dimana kontrol dapat diimplementasikan untuk meyakinkan bahwa aset informasi dilindungi dari bahaya sehingga mereka dapat digunakan sesuai yang diinginkan.
47
Kontainer secara khusus kebanyakan diidentifikasi sebagai beberapa tipe dari aset teknologi – perangkat keras, perangkat lunak, atau sistem – tetapi kontainer juga dapat menjadi objek fisik seperti kertas atau orang yang penting bagi organisasi.
Panduan and Aktivitas Hanya ada satu aktivitas dalam Langkah 3.
Langkah 3 Aktivitas 1 Ada tiga poin yang sangat penting mengenai keamanan
dan
konsep dari kontainer aset informasi:
•
Cara aset informasi dilindungi atau diamankan melalui kontrol yang diimplementasikan pada tingkat kontainer. Sebagai contoh, untuk melindungi database customer pada server, lapisan kontrol yang diaplikasikan seperti mengizinkan hanya orang yang terotorisasi untuk masuk ke dalam ruang server dan akses jaringan terbatas bagi individu yang terotorisasi.
•
Tingkat dimana aset informasi dilindungi atau diamankan berdasarkan seberapa baik kontrol yang diimplementasikan pada
tingkat
kontainer
dengan
memperhitungkan
pertimbangan kebutuhan keamanan atas aset informasi.
•
Kerentanan dan ancaman terhadap kontainer dimana aset informasi tinggal diturunkan oleh aset informasi. Ini dapat berupa kasus dengan orang-orang – jika seorang karyawan merupakan satu-satunya yang memiliki bagian utama dari kekayaan
intelektual
dan
tidak
pernah
48
mendokumentasikannya, kehilangan orang utama karena sakit atau berakhirnya masa kerja mengakibatkan aset informasi tidak dapat diakses.
Langkah 4 – Identify Areas of Concern Latar Belakang dan Definisi •
Area of Concern – Pernyataan deskriptif yang menjabarkan kondisi atau situasi yang sebenarnya yang dapat mempengaruhi aset informasi dalam Bina Nusantara.
Catatan Pada Langkah 4, dimulai proses pengembangan profil risiko aset informasi. Risiko adalah kombinasi dari ancaman (kondisi) dan dampak yang dihasilkan dari ancaman jika ditindaklanjuti (akibatnya). Pada langkah ini, mulanya dicari komponen ancaman dari persamaan risiko diatas dengan cara brainstorming dari situasi atau kondisi yang mungkin mengancam aset informasi yang dimiliki. Kondisi dan situasi dunia nyata ini dapat disebut sebagai Area of Concern dan dapat merepresentasikan ancaman dan akibat yang dapat ditimbulkan. Area of Concern dibuat dan digunakan sebagai awal mula pengembangan profil risiko di langkah 5.
Area of Concern dapat menggolongkan risiko kedalam risiko risiko yang unik dalam organisasi dan unik dalam kondisi operasional tertentu. tujuan dari langkah ini bukan membuat daftar lengkap dari semua ancaman yang dapat muncul untuk asset informasi. Namun tujuan dari langkah ini adalah membuat daftar situasi dan kondisi yang muncul dalam pikiran ketika kita memikirkannya dan dapat mempengaruhi aset yang ada.
49
Ketika dilakukannya langkah ini, harus diingat berbagai aktor, motif, dan hasil yang diturunkan didalam Area of Concern. Tetap buat sedetail mungkin dan juga harus diperhitungkan kebutuhan keamanan yang telah ditentukan untuk aset informasi dan bagaimana aset- aset tersebut dapat terkena bahaya yang ditimbulkan oleh ancaman ketika dibuat skenario nyata.
Panduan and Aktivitas Hanya ada satu aktivitas dalam Langkah 4.
Langkah 4 Aktivitas 1 Untuk melakukan aktivitas ini, dokumen yang perlu digunakan adalah information Asset Risk Environment Maps sebagai referensi dan Information Asset Risk Worksheet untuk mencatat Area of Concern (Worksheet 10, L-10). Untuk mengidentifikasikan Areas of Concern, dilakukan langkah - langkah berikut ini : 1.
dengan menggunakan Information Asset Risk
Environment
Maps,
lakukan
review
dari
kontainer yang telah kita buat untuk membuat diskusi tentang Area of Concerns potensial. 2.
dokumentasikan setiap Area of Concern yang diidentifikasikan kedalam
Risk Worksheet. Langkah 5 – Mengidentifikasi Skenario Ancaman Latar Belakang dan Definisi
Information Asset
50
•
Ancaman
-
Ancaman
adalah indikasi
dari
kemungkinan
munculnya kejadian yang tidak diharapkan. ancaman mengacu kepada situasi (atau skenario) dimana seseorang dapat melakukan tindakan yang tidak diharapkan (seorang penyerang memulai DDoS terhadap server email Bina Nusantara) atau kejadian alam dapat menyebabkan hasil yang tidak diinginkan (sebagai contoh kebakaran yang merusak perangkat keras sistem informasi perusahaan). sebuah ancaman diciptakan ketika seorang aktor mengeksploitasi celah kelemahan.
•
Skenario ancaman – Skenario ancaman adalah situasi dimana aset informasi dapat terancam bahaya. Skenario ancaman biasanya disusun dari
aktor, motif, alat (akses), dan hasil yang tidak
diinginkan. Skenario ancaman adalah cara yang disederhanakan untuk menentukan apakah sebuah risiko yang dapat mempengaruhi aset informasi.
•
Threat tree - sebuah tree structure yang digunakan untuk memvisualisasikan barisan dari scenario ancaman. Threat tree membantu kita untuk memikirkan ancaman potensial secara luas kepada aset informasi kita sebagai basis untuk menentukan ancaman.
Catatan Pada langkah 4, sebelumnya sudah didokumentasikan Area of
Concern yang dapat mempengaruhi aset informasi. Pada langkah ini, Areas of Concern dikembangkan ke dalam scenario ancaman yang
51
menjelaskan detail atribut dari sebuah risiko. Untuk mengembangkan
Areas of Concern menjadi scenario ancaman, kita harus terlebih dahulu mengerti komponen dasar yang menyusun sebuah risiko. risiko memiliki atribut - atribut sebagai berikut : 1. Aset - suatu hal yang memiliki nilai bagi perusahaan 2. Akses/alat : bagaimana aset diakses oleh aktor (arti teknis, akses fisik). Akses hanya berlaku kepada aktor manusia. 3. Aktor - siapa saja atau apa saja yang dapat melanggar persyaratan keamanan (kerahasiaan, integritas, ketersediaan) dari suatu aset 4. Motif - tujuan dari aktor (sengaja atau tidak disengaja). motif hanya berlaku kepada aktor manusia 5. Hasil – hasil (pengungkapan, modifikasi, kerusakan, kerugian, gangguan) dari dilanggarnya persyaratan keamanan dari sebuah aset
Panduan and Aktivitas Langkah 5 Aktivitas 1 pada aktivitas ini, diidentifikasikan Threat scenario tambahan yang belum dicakup dalam Area of Concern. dalam melakukan hal ini,
Appendix C – Threat Scenarios Questionnaires digunakan. terdapat satu kuisioner untuk tiap kontainer (teknis, fisik, dan orang-orang). Setiap kuisioner terdiri dari beberapa skenario yang diikuti oleh
52
pertanyaan yang dirancang untuk mengidentifikasikan ancaman tambahan.
Langkah 5 Aktivitas 2 pada aktivitas ini, akan dilengkapi Information Asset Risk
Worksheets
untuk
tiap
skenario
ancaman
umum
yang
diidentifikasikan.
Langkah 5 Aktifitas 3 aktivitas ini bersifat opsional untuk semua profil risiko asset informasi. Langkah ini perlu dilakukan untuk semua profil yang ada jika diputuskan untuk melakukannya. pada langkah ini, telah ditentukan probabilitas kedalam deskripsi
Threat scenario yang telah dibuat pada Information Asset Risk Worksheets.
Langkah 6 – Mengidentifikasi Risiko Latar Belakang dan Definisi Pernyataan dampak - pernyataan deskriptif yang menjelaskan bagaimana Bina Nusantara terkena dampak akan terjadinya skenario ancaman. Pernyataan dampak adalah konsekuensi dari realisasi dari skenario ancaman.
53
Risiko - risiko adalah kemungkinan terkena kerugian atau kerusakan. risiko mengacu pada situasi dimana seseorang dapat melakukan suatu tindakan yang tidak dinginkan atau kejadian alam dapat menyebabkan hasil yang tidak diinginkan, yang berdampak negatif. Risiko disusun atas : sebuah kejadian, sebuah konsekuensi, dan ketidakpastian.
Catatan Dengan mengidentifikasikan bagaimana perusahaan terkena dampak dari risiko, kita sudah melengkapi persamaan risiko. yang dapat digambarkan sebagai berikut :
Ancaman(kondisi) + dampak(konsekuensi) = risiko |langkah 4 dan 5| + |Langkah 6| = risiko Panduan and Aktivitas Langkah 6 aktivitas 1 Pada aktivitas ini ditentukan bagaimana skenario ancaman yang telah dicatat dalam tiap Information Asset Risk Worksheet dapat memberikan dampak bagi perusahaan.
Langkah 7 – Menganalisa Risiko Latar Belakang dan Definisi Nilai dampak - nilai kualitatif yang diberikan untuk menggambarkan jangkauan dari dampak yang diberikan terhadap Bina Nusantara ketika suatu scenario ancaman dan hasil dari scenario ancaman tersebut menjadi kenyataan. Nilai dampak berasal dari kriteria pengukuran risiko.
54
Catatan Pada langkah 7, diberikannya nilai kualitatif kepada jangkauan sejauh mana Bina Nusantara dipengaruhi oleh ancaman dengan cara menghitung nilai risiko untuk tiap risiko terhadap tiap aset informasi. Penilaian
ini
digunakan
untuk
menentukan
risiko
mana
yang
membutuhkan langkah mitigasi secepatnya dan untuk memprioritasikan tindakan mitigasi pada langkah 8. Analisis risiko adalah kegiatan yang kompleks. pada penilaian risiko terstruktur, akan dilakukan aktivitas yang memberikan langkah sistematis untuk menganalisa bagaimana Bina Nusantara terpengaruh oleh suatu risiko, namun aktivitas - aktivitas ini tidak dapat meliputi semua hal. Pada aktivitas ini akan dihasilkan nilai risiko relatif. Nilai risiko relatif dihasilkan dari menghitung jangkauan dari dampak yang dihasilkan suatu risiko terhadap perusahaan terhadap nilai relatif kepentingan pada macam - macam impact area. Dengan kata lain, jika area "reputasi" merupakan area terpenting dari perusahaan dan konsekuensi dari risiko menghasilkan dampak yang besar bagi area reputasi, harus diambil tindakan yang memastikan risiko ini dimitigasi. Dengan menggunakan kriteria - kriteria ini, pastikan bahwa risiko diberikan nilai yang mengacu pada organizational drivers.
Panduan and Aktivitas Terdapat 2 aktivitas pada step 7 ini. aktivitas ini harus dilakukan terhadap tiap Information Asset Risk Worksheet.
Langkah 7 Aktivitas 1
55
Mulai aktivitas ini dengan mereview risk measurement criteria yang diciptakan pada langkah 1, aktivitas 1. Fokus terhadap bagaimana definisi dampak tinggi, menengah, dan rendah untuk perusahaan. Mulai dengan risk worksheet yang pertama, lakukan review dari pernyataan konsekuensi yang telah kita catat.
Langkah 7 Aktivitas 2 Pada langkah ini nilai risiko relatif akan dihitung. Nilai risiko relatif dapat digunakan untuk menganalisa risiko dan membantu Bina Nusantara untuk memutuskan strategi terbaik dalam menghadapi risiko.
Langkah 8 – Memilih Pendekatan Pengurangan Latar Belakang dan Definisi Pendekatan pengurangan - Cara yang dipilih oleh Bina Nusantara dalam menangani risiko. Bina Nusantara memiliki tiga pilihan yaitu :
•
Terima (accept) - keputusan yang dibuat pada saat analisis risiko untuk tidak mengambil tindakan dalam penanganan risiko dan untuk menerima konsekuensi yang ditimbulkan. Risiko yang diterima biasanya memiliki dampak yang kecil kepada organisasi.
•
Kurangi (mitigate) - keputusan yang dibuat pada saat analisis risiko untuk menangani risiko dengan cara mengembangkan dan mengimplementasikan kontrol untuk menentang ancaman yang ada atau untuk meminimalisasi hasil dari dampak yang ditimbulkan.
56
Risiko yang dimitigasikan adalah risiko yang memiliki dampak menengah hingga tinggi kepada organisasi.
•
Defer - situasi dimana risiko tidak diterima atau dimitigasi berdasarkan keinginan Bina Nusantara untuk mengumpulkan informasi tambahan dan melakukan analisis tambahan. Risiko yang ditangguhkan dimonitor dan direvaluasi pada masa yang akan datang. Risiko yang ditangguhkan biasanya risiko yang tidak memiliki dampak yang signifikan kepada organisasi.
Risiko residual - risiko residual adalah risiko yang tetap tinggal ketika pendekatan mitigasi telah dikembangkan dan dimplementasikan untuk sejumlah risiko yang mempengaruhi aset informasi. Risiko residual yang tetap ada harus diterima oleh organisasi.
Catatan Pada langkah 8, kita menentukan risiko mana yang dimitigasi dan bagaimana caranya. Hal ini dilakukan dengan cara memberikan nilai prioritas kepada risiko, memutuskan pendekatan dalam hal mitigasi risiko yang didasari oleh faktor - faktor Bina Nusantara, dan mengembangkan strategi mitigasi yang mencakup nilai dari aset dan tempat dimana aset tersebut diletakkan. Keputusan untuk menerima risiko, mitigasi, atau penangguhan didasari oleh beberapa faktor penting. Nilai dampak yang diberikan merupakan penggerak utama, tapi kemungkinan terjadinya suatu risiko juga penggerak utama. Jika sebuah risiko dapat secara serius atau signifikan memberikan dampak yang besar kepada Bina Nusantara, namun
57
memiliki kemungkinan yang terjadi kecil, mitigasi mungkin tidak perlu dilakukan. Sayangnya, tidak ada jalur pasti untuk diikuti dalam penentuan risiko mana yang perlu dimitigasi. seringkali, keputusan seperti ini yang diputuskan oleh individu – individu yang terlibat dalam penilaian risiko dan pengetahuan mereka tentang Bina Nusantara. Ketika keputusan telah dibuat untuk memitigasi risiko, kita harus mengembangkan strategi yang efektif dan effisien. memutuskan bagaimana memitigasi risiko adalah perkerjaan yang sulit dan mungkin membutuhkan diskusi dengan staf ahli yang lain didalam Bina Nusantara. Fakta bahwa pemilik aset informasi dan penjaga aset informasi merupakan dua orang yang berbeda berarti bahwa mereka berdua harus berkolaborasi dalam strategi terbaik untuk memberi perlindungan secara keseluruhan.
Panduan and Aktivitas Langkah 8 Aktivitas 1 Aktivitas pertama dalam langkah 8 adalah untuk mensortir tiap tiap risiko yang telah diidentifikasikan berdasarkan nilai risiko mereka. Pengelompokan risiko ke dalam urutan tertentu dapat membantu dalam pengambilan keputusan dalam status mitigasi risiko - risiko tersebut.
Langkah 8 Aktivitas 2 Berikan
pendekatan
mitigasi
kepada
tiap
-
tiap
risiko.
Pertimbangkan untuk menggunakan hal berikut sebagai pedoman, namun ingat bahwa keputusan tentang pendekatan mitigasi sangat tergantung kepada keadaan unik operasional Bina Nusantara, jadi
58
jangan hanya mengandalkan grafik ini untuk menentukan dalam penangan risiko yang telah teridentifikasi.
Langkah 8 Aktivitas 3 Untuk semua profil risiko yang telah diputuskan untuk dimitigasi, harus dikembangkan strategi mitigasi. Harus dicatat tindakan yang dapat dilakukan untuk memitigasi risiko, mulailah memikirkan strategi mitigasi kepada tiap risiko yang telah diputuskan untuk dimitigasi sebagai berikut : 1. Catat kontainer mana kontrol akan diterapkan. 2. Jelaskan kontrol yang akan diterapkan dan risiko residual terhadap aset setelah kontrol diimplementasikan.