General Business Environment Makalah Kecil Technology Environment : Information Technology
Pengelolaaan Risiko Sistem TI Dosen : Dr. Jazi Eko Istiyanto, M.Sc.
Oleh :
Franseda 08/271238/PEK/12636 Reguler 21
PROGRAM STUDI MAGISTER MANAJEMEN FAKULTAS EKONOMIKA DAN BISNIS UNIVERSITAS GADJAH MADA JAKARTA
2009
Abstrak Lingkungan teknologi informasi (TI) merupakan lingkungan di luar bisnis yang memiliki karakteristik perkembangan yang cepat sehingga dapat digunakan sebagai sumberdaya strategis perusahaan. Pengelolaan sistem TI agar tetap dapat bekerja dengan optimal membutuhkan sebuah penanganan terhadap risiko kegagalan sistem. Pengelolaan
tersebut terdiri dari beberapa tahapan yang
dimulai dari identifikasi sampai tujuh kerangka kerja pengelolaan risiko TI. Pengelolaan yang baik akan memberikan perusahaan sebuah sistem yang dapat berjalan baik serta antisipasi terhadap kemungkinan buruk yang dapat terjadi.
Latar Belakang Lingkungan teknologi merupakan salah satu faktor yang dapat mempengaruhi aktivitas bisnis, baik dari segi teknologi pengolahan atau teknologi produksi, serta teknologi informasi (TI). Lingkungan teknologi khususnya pada ruang lingkup teknologi informasi merupakan lingkungan yang memiliki fungsi penting dalam mendukung aktivitas bisnis. Karakteristik utama dari lingkungan teknologi ialah perubahan serta perkembangan yang cepat. Karakter ini membawa keuntungan bersaing bagi perusahaan yang menggunakan sistem teknologi informasi termutakhir. Sebagai sumber daya yang memiliki peran strategis, manajemen TI merupakan salah satu prioritas yang harus dilakukan sebuah perusahaan. Pengelolaan teknologi informasi yang baik oleh sebuah perusahaan dapat diterapkan salah satunya melalui manajemen risiko TI. Gangguan di dalam teknologi informasi memiliki berbagai macam sumber dan penyebab. Sebagai contoh sebuah gangguan seperti bencana kebanjiran dapat mengganggu sebuah pusat data perusahaan yang berada di lantai bawah gedung perusahaan. Risiko terjadinya gangguan tersebut dapat dikurangi atau dihindari melalui manajemen risiko TI seperti memindahkan pusat data ke lantai atas, atau memindahkan ke gedung di luar daerah banjir. Contoh sederhana tersebut memberi gambaran bahwa konsep manajemen risiko TI digunakan untuk mengantisipasi risiko gangguan, kerusakan, dan kegagalan operasional yang dapat terjadi pada lingkungan teknologi informasi.
Manajemen Risiko Manajemen risiko TI
ialah proses menyeluruh dalam mengidentifikasi,
mengendalikan, dan mengurangi risiko yang berkaitan dengan sistem informasi (menurut Stoneburner, Goguen, dan Feringa, 2002). Risk is the likelihood that a threat will occur (Rainer, Turban, Potter, 2007). Manajemen risiko dibentuk dengan memperhatikan dua hal lain yaitu gangguan ancaman (threat) serta konsekuensi (consequences), dan lebih dalam lagi ancaman dapat dijabarkan lagi menjadi beberapa komponen pembentuk ancaman. Gambar 1. Bagan Pengelolaan Risiko dalam Sistem TI.
RISK
THREAT
CONSEQUENCES
THREAT SOURCE THREAT EVENT THREAT CATEGORY LIKELIHOOD
Sumber ancaman pada umumnya bersumber pada tiga hal yaitu :
•
Alamiah. Sumber ancaman alamiah ialah ancaman yang bersumber dari kejadian – kejadian di luar kendali dari manusia seperti bencana alam atau kebakaran.
•
Teknis. Sumber ancaman teknis bersumber dari kegagalan perangkat hardware atau infrastruktur TI dalam bekerja serta kesalahan penulisan kode maupun logika program dari sistem yang bekerja atas hardware TI.
•
Manusia. Sumber ancaman manusia dapat bersumber dari usaha – usaha seseorang atau kelompok untuk mengacaukan sistem informasi secara sengaja. Ancaman kegagalan TI yang bersumber dari kesalahan manusia secara tidak sengaja juga dapat terjadi saat kesalahan pengoperasian oleh pemakai sistem.
Pengukuran dan Pengkajian Risiko Stoneburner, et al 2002 mengemukakan sebuah konsep manajemen risiko TI ialah proses melindungi sistem TI dalam mendukung misi perusahaan melalui penyeimbangan biaya operasional serta biaya perlindungan sistem tersebut. Matriks pengukuran dalam manajemen risiko TI dapat dilakukan melalui dua cara yaitu : •
Metode Kuantitatif Metode pengukuran risiko secara kuantitatif ialah pengukuran finansial untuk menyatakan besasran risiko yang dikeluarkan perusahan bila terjadi gangguan terhadap infrastruktur TI. Metode kuantitatif menggunakan prosedur perhitungan
matematis
serta fungsi statistik
khususnya
probabilitas. Metode ini dianggap lebih objektif dan dapat digunakan secara berulang. Kekurangan metode ini ialah kompleksitas perhitungan dan pemrosesan data serta dibutuhkan waktu dan usaha yang lebih dibanding metode kualitatif. •
Metode Kualitatif Metode pengukuran risiko secara kualitatif ialah pengukuran besaran risiko dilihat dari dampak yang ditimbulkan apabila terjadi gangguan terhadap infrastruktur TI dengan
mengkategorikan ke dalam tiga
tingkatan (low, medium, dan, high). Pengkajian risiko ialah perhitungan nilai besaran risiko berdasarkan kemungkinan terjadi sebuah ancaman pada TI serta konsekuensi yang dapat terjadi dari
ancaman
tersebut.
Pengkajian
risiko
dapat
menggunakan
dua
metode
(Stoneburner, et al, 2002) : •
Annualized Loss Expectancy Metode ini didapat dari hasil antara perhitungan persentase kemungkinan terjadinya ancaman tiap tahun (Annualized Rate of Threat Occurrence) dengan nilai akibat dari terjadinya ancaman tersebut (Single Loss Expectancy).
•
Annualized Impact Expectancy Metode ini digunakan dalam menentukan besaran kualitatif dari risiko berdasarkan perhitungan antara komponen persentase kemungkinan terjadinya ancaman tiap tahun (Annualized Rate of Threat Occurrence) dengan nilai dampak dari terjadinya ancaman, yang menggunakan nilai konsekuensi kualitatif.
Pengkajian risiko yang didapat melalui perhitungan – perhitungan tersebut akan digunakan oleh perusahaan dalam menganalisis keputusan yang akan diambil dalam mengelola risiko TI.
Penerapan Manajemen Risiko dalam Teknologi Informasi Stoneburner, et al 2002, mengemukakan tahapan dalam penerapan manajemen risiko TI yang secara umum dalam lingkup manajemen risiko dapat dibagi kedalam tujuh fase kerangka kerja, yaitu : •
Fase I : Kajian Risiko Pada fase kajian risiko ini dilakukan beberapa langkah oleh perusahaan melalui Departemen TI ataupun individu yang bertanggung jawab seperti manajer TI, yaitu :\ o Mengidentifikasi ancaman – ancaman yang mungkin terjadi pada sistem TI perusahaan secara menyeluruh yang dapat bersumber dari gangguan teknis, gangguan alamiah, ataupun gangguan manusia. o Mengidentifikasi bentuk – bentuk kejadian yang mungkin terjadi apabila gangguan – gangguan terhadap sistem TI terjadi. o Mengidentifikasi
konsekuensi
khususnya
pada
operasional
perusahaan, yang ditimbulkan dari kejadian - kejadian tersebut terhadap sistem TI perusahaan. o Menghitung Single Loss/Impact Expectancies atau nilai finansial yang timbul akibat terganggunya operasional bisnis. o Menghitung nilai probabilitas (likelihood) terjadinya ancaman berdasarkan data historis maupun perhitungan statistic lainnya. o Menghitung nilai Annualized Loss/Impact Expectancy yang didapat dari perhitungan antara nilai probabilitas dengan nilai finansial.
•
Fase II : Kajian Opsi Pengendalian Risiko Tahap selanjutya ialah mengidentifikasi pilihan – pilihan yang dapat diambil dan diimplementasikan untuk mengendalikan risiko yang timbul dari gangguan atau ancaman terhadap sistem TI perusahaan. Pilihan yang dapat diambil antara lain : o Risk Acceptance atau menerima risiko tanpa mengambil tindakan apapun. o Risk Avoidance atau menghindari sepenuhnya sebuah risiko. o Risk Reduction atau mengurangi dampak negative dari ancaman sampai pada tingkatan yang dapat diterima. o Risk Transfer atau memindahkan tanggungan dampak negative dari ancaman atau gangguan terhadap sistem TI kepada pihak lain.
•
Fase III : Kajian Efektivitas dan Biaya Pengendalian Risiko Pilihan – pilihan pengendalian risiko yang dapat diambil perusahaan dalam mengendalikan ancaman dapat diidentifikasi lebih lanjut untuk melihat tingkat efektivitas dan efisiensi dalam mengendalikan sebuah risiko. Kajian ini dilakukan dengan melakukan perhitungan biaya yang dibutuhkan untuk mengimplementasikan pilihan pengendalian risiko, kemudian mengukur efektivitas pilihan tersebut dengan membandingkan nilai persentase kemungkinan terjadinya ancaman tiap tahun (Annualized Rate of Threat Occurrence) dari tiap pilihan, dan membandingkan nilai pengurangan risiko untuk tiap opsi, sehingga dipilih nilai Cost Per Unit of Risk Reduction terkecil.
•
Fase IV : Pelaporan Hasil Kajian Risiko Fase pelaporan hasil kajian risiko ialah tahapan memberikan informasi pada eksekutif TI yang bertanggung jawab dalam mengambil keputusan yang berkaitan dengan pemilihan opsi pengendalian risiko TI di dalam perusahaan TI.
•
Fase V : Pemilihan Opsi Pengendalian Risiko Setelah melalui tahapan pelaporan kemudian akan diambil pilihan pengendalian risiko yang akan diimplementasikan oleh perusahaan. Pilihan pengendalian risiko diambil dengan mempertimbangkan hasil kajian risiko TI.
•
Fase VI : Implementasi Pengendalian Risiko Implementasi dari pengendalian risiko dilakukan dengan membuat serangkaian tugas serta prosedur dalam mengendalikan risiko. Pilihan pengendalian dilakukan pada beberapa langkah berikut : o Memprioritaskan kegiatan yang akan dilakukan. o Mengevaluasi pilihan pengendalian o Melakukan perhitungan biaya manfaat o Memilih pilihan o Menentukan pihak yang bertanggung jawab atas tiap kegiatan implementasi o Mengembangkan perencanaan keamanan implementasi
•
Fase VII : Pengawasan Pengendalian Risiko Dalam tahapan pengimplementasian pengendalian risiko, perusahaan mempertimbangkan pengawasan pengendalian risiko melalui kombinasi pengawasan manajerial baik secara teknis dan prosedural untuk mendukung keamanan sistem TI perusahaan. Pengawasan teknis dapat dilakukan dengan menambahkan software keamanan pada sistem TI, sedangkan secara procedural dapat dilakukan dengan menerapkan peraturan keamanan yang dipahami bersama oleh tiap anggota perusahaan.
KESIMPULAN Pengelolaan risiko dalam sistem TI dimulai dari identifikasi kemungkinan ancaman yang dapat menyebabkan kegagalan sistem yang kemudian diukur secara kuantitif serta melakukan serangkaian tindakan berdasarkan beberapa point dalam kerangka kerja. Pengelolaan risiko akan memberikan jalan keluar bagi perusahaan dalam mempersiapkan kemungkinan kegagalan sebuah sistem yang dapat terjadi dan mengakibatkan terganggunya aktivitas bisnis.
REFERENSI Rainer, K., Turban, E., Potter, R.E., 2007, Introduction to Information Systems : Supporting and Transforming Business, John Wiley and Sons, New Jersey Stoneburner G., Gonguen A., Feringa A., 2002, Risk Management Guide for Information Technology Systems, NIST, Virginia http://www.eweek.com/c/a/Security/How-to-Begin-IT-Risk-Management-FiveSteps-to-Getting-What-You-Want/