This Paper A short summary of this paper 30 Full PDFs related to this paper
Kegunaan sistem informasi dalam mendukung proses bisnis organisasi semakin nyata dan meluas. Sistem informasi membuat proses bisnis suatu organisasi menjadi lebih efisien dan efektif dalam mencapai tujuan. Sistem informasi bahkan menjadi key-enabler (kunci pemungkin) proses bisnis organisasi dalam memberikan manfaat bagi stakeholders. Maka dari itu, semakin banyak organisasi, baik yang berorientasi profit maupun yang tidak, mengandalkan sistem informasi untuk berbagai tujuan. Di lain pihak, seiring makin meluasnya implementasi sistem informasi maka kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem informasi semakin meningkat. Kesadaran ini muncul karena munculnya berbagai kasus yang terkait dengan gagalnya sistem informasi, sehingga memberikan akibat yang sangat mempengaruhi kinerja organisasi. Terdapat beberapa resiko yang mungkin ditimbulkan sebagai akibat dari gagalnya pengembangan suatu sistem informasi, antara lain:
Mengingat adanya beberapa resiko tersebut diatas yang dapat memberikan dampak terhadap kelangsungan organisasi maka setiap organisasi harus melakukan review dan evaluasi terdapat pengembangan sistem informasi yang dilakukan. Review dan evaluasi ini dilakukan oleh internal organisasi ataupun pihak eksternal organisasi yang berkompeten dan diminta oleh organisai. Kegiatan review dan evaluasi ini biasanya dilakukan oleh Auditor Sistem Informasi. Selain wawasan, pengetahuan dan ketrampilan diatas seorang spesialis audit sistem informasi juga dituntut memenuhi syarat akreditasi pribadi terkait suatu sistem sertifikasi kualitas yang diakui secara internasional. Salah satu sertifikasi profesional sebagai standar pencapaian prestasi dalam bidang audit, kontrol, dan keamanan sistem informasi yang telah diterima secara internasional adalah CISA® (Certified Information Systems Auditor) yang dikeluarkan oleh ISACA (Information Systems Audit and Control Association). Audit sistem informasi dilakukan untuk menjamin agar sistem informasi dapat melindungi aset milik organisasi dan terutama membantu pencapaian tujuan organisasi secara efektif. Contohnya : Teknologi informasi memiliki peranan penting bagi setiap organisasi baik lembaga pemerintah maupun perusahaan yang memanfaatkan teknologi informasi pada kegiatan bisnisnya, serta merupakan salah satu faktor dalam mencapai tujuan organisasi. Peran TI akan optimal jika pengelolaan TI maksimal. Pengelolaan TI yang maksimal akan dilaksanakan dengan baik dengan menilai keselarasan antara penerapan TI dengan kebutuhan organisasi sendiri. Semua kegiatan yang dilakukan pasti memiliki risiko, begitu juga dengan pengelolaan TI. Pengelolaan TI yang baik pasti mengidentifikasikan segala bentuk risiko dari penerapan TI dan penanganan dari risiko-risiko yang akan dihadapi. Untuk itu organisasi memerlukan adanya suatu penerapan berupa Tata Kelola TI (IT Governance) (Herawan, 2012). Pemanfaatan dan pengelolaan Teknologi Informasi (TI) sekarang ini sudah menjadi perhatian di semua bidang dikarenakan nilai aset yang tinggi yang mempengaruhi secara langsung kegiatan dan proses bisnis. Kinerja TI terhadap otomasi pada sebuah organisasi perlu selalu diawasi dan dievaluasi secara berkala agar seluruh mekanisme manajemen TI berjalan sesuai dengan perencanaan, tujuan, serta proses bisnis organisasi. Selain itu, kegiatan pengawasan dan evaluasi tersebut juga diperlukan dalam upaya pengembangan yang berkelanjutan agar TI bisa berkontribusi dengan maksimal di lingkungan kerja organisasi. COBIT (Control Objectives for Information and Related Technology) adalah standar internasional untuk tata kelola TIyang dikembangkan oleh ISACA (Information System and Control Association) dan ITGI (IT Governance Institute) yang bisa dijadikan model pengelolaan TI mulai dari tahap perencanaan hingga evaluasi.(Wibowo, 2008). DAFTAR PUSTAKA Fanani, M. F. (2012, September 24). Implementasi COBIT Di PT PERTAMINA. Retrieved November 27, 2012, from http://www.slideshare.net: http://www.slideshare.net/fananifaiz/cobit-pertamina#btnNext Herawan, R. (2012, April 4). Implementasi COBIT pada PT Transindo. Retrieved 11 27, 2012, from http://dosenindonesia.wordpress.com: http://dosenindonesia.wordpress.com/tag/cobit/ Meidyanto, Riky (2009, Juni 19). Audit Sistem Informasi dengan Menggunakan COBIT (Control Objectives For Information And Related Technology). Retrieved November 27, 2012, from http://krikkrikx.blog.binusian.org: http://www.krikkrikx.blog.binusian.org/files/2009/06/untuk-blog221.doc Susanto, Erdi (2012, November). Kerangka Kerja COBIT (Control Objectives For Information And Related Technology). Retrieved November 28, 2012, from http://erdi-susanto.blogspot.com: http://erdi-susanto.blogspot.com/2012/11/kerangka-kerja-cobit-control-objectives.html Wibowo, M. P. (2008, Agustus 9). Analisis Tingkat Kematangan (Maturity Level) Pengawasan dan Evaluasi Kinerja Teknologi Informasi Otomasi Perpustakaan dengan COBIT (Control Objective For Information And Related Technology): Studi Kasus Di Perpustakaan Universitas Indonesia. Retrieved November 27, 2012, from http://sangprabu.multiply.com: http://sangprabu.multiply.com/journal/item/27 Wikipedia. COBIT. Retrieved November 27, 2012, from http://www.wikipedia.org: http://en.wikipedia.org/wiki/COBIT Save the publication to a stack Like to get better recommendations The publisher does not have the license to enable download
Resiko adalah suatu umpan balik negatif yang timbul dari suatu kegiatan dengan tingkat probabilitas berbeda untuk setiap kegiatan[4]. Pada dasarnya resiko dari suatu kegiatan tidak dapat dihilangkan akan tetapi dapat diperkecil dampaknya terhadap hasil suatu kegiatan. Proses menganalisa serta memperkirakan timbulnya suatu resiko dalam suatu kegiatan disebut sebagai manajemen resiko. Seiring dengan berkembangnya teknologi informasi yang bergerak sangat cepat dewasa ini, pengembangan unit usaha yang berupaya menerapkan sistem informasi dalam organisasinya telah menjadi kebutuhan dasar dan semakin meningkat dari tahun ke tahun. Akan tetapi pola pembangunan sistem informasi yang mengindahkan faktor resiko telah menyebabkan beberapa organisasi mengalami kegagalan menerapkan teknologi informasi tersebut, atau meningkatnya nilai investasi dari plafon yang seharusnya, hal ini juga dapat menghambat proses pencapaian misi organisasi. Pada dasarnya, faktor resiko dalam suatu perencanaan sistem informasi, dapat diklasifikasikan ke dalam 4 kategori resiko, yaitu : a. Catastrophic (Bencana) b. Critical (Kritis) c. Marginal (kecil) d. Negligible (dapat diabaikan) Adapun pengaruh atau dampak yang ditimbulkan terhadap suatu proyek sistem informasi dapat berpengaruh kepada a) nilai unjuk kerja dari sistem yang dikembangkan, b) biaya yang dikeluarkan oleh suatu organisasi yang mengembangkan teknologi informasi, c) dukungan pihak manajemen terhadap pengembangan teknologi informasi, dan d) skedul waktu penerapan pengembangan teknologi informasi. Suatu resiko perlu didefinisikan dalam suatu pendekatan yang sistematis, sehingga pengaruh dari resiko yang timbul atas pengembangan teknologi informasi pada suatu organisasi dapat diantisipasi dan di identifikasi sebelumnya. Mendefinisikan suatu resiko dalam pengembangan teknologi informasi pada suatu organisasi terkait *** dengan Siklus Hidup Pengembangan Sistem (System Development Life Cycle [SDLC]), dimana fase-fase penerapan SDLC dalam pengembangan teknologi informasi di spesifikasikan analisa resiko. Pola Pendekatan System Development Life Cycle [SDLC] adalah suatu tahapan proses perancangan suatu sistem yang dimulai dari tahap investigasi; pembangunan; implementasi; operasi/perawatan; serta tahap penyelesaian [4]. Dari dasar tersebut di atas, strategi penerapan manajemen resiko perlu mempertimbangkan dampak yang mungkin timbul dengan tingkat probabilitas yang berbeda untuk setiap komponen pengembangan sistem informasi. Pola pendekatan manajemen resiko juga perlu mempertimbangkan faktor-faktor pada System Development Life Cycle (SDLC) yang terintegrasi, yaitu Mengindentifikasikan faktor-faktor resiko yang timbul dan diuraikan disetiap tahap perancangan sistem, yang tersusun sebagai berikut :
Setelah pola pendekatan manajemen resiko di definisikan dalam masing-masing tahap SDLC, maka tahap selanjutnya adalah menilai manajemen resiko dalam metodologi tertentu. Upaya memberikan penilaian atas dampak resiko dalam pengembangan sistem informasi, perlu dilakukan karena dapat memberikan gambaran atas besar atau kecilnya dampak ancaman yang mungkin timbul selama proses pengembangan sistem. Metodologi Penilaian Resiko Untuk menentukan kemungkinan resiko yang timbul selama proses pengembangan sistem informasi berlangsung, maka organisasi yang bermaksud mengembangkan sistem informasi perlu menganalisa beberapa kemungkinan yang timbul dari pengembangan sistem informasi tersebut. Adapun metodologi penilaian resiko pengembangan sistem informasi dapat diuraikan dalam 9 langkah[4], yang tersusun sebagai berikut : a. Menentukan karakteristik dari suatu sistem b. Mengidentifikasikan ancaman-ancaman c. Mengidentifikasikan kelemahan sistem d. Menganalisa pengawasan e. Menentukan beberapa kemungkinan pemecahan masalah f. Menganalisa pengaruh resiko terhadap pengembangan sistem g. Menentukan resiko h. Merekomendasikan cara-cara pengendalian resiko i. Mendokumentasikan hasil keputusan Tahap ke dua, tiga, empat dan enam dari langkah tersebut di atas dapat dilakukan secara paralel setelah langkah pertama dilaksanakan. Adapun dari setiap langkah tersebut adalah sebagai berikut : Langkah 1. Menentukan Karakterisasi Sistem Pada langkah pertama ini batasan suatu sistem yang akan dikembangan di identifikasikan, meliputi perangkat keras, perangkat lunak, sistem interface, data dan informasi, sumber daya manusia yang mendukung sistem IT, tujuan dari sistem, sistem dan data kritis, serta sistem dan data sensitif. Beberapa hal tambahan yang dapat diklasifikasikan pada karakteristik sistem selain hal tersebut di atas seperti bentuk dari arsitektur keamanan sistem, kebijakan yang dibuat dalam penanganan keamanan sistem informasi, bentuk topologi jaringan komputer yang dimiliki oleh organisasi tersebut, Manajemen pengawasan yang dipakai pada sistem TI di organisasi tersebut, dan hal lain yang berhubungan dengan masalah keamanan seputar penerapan Teknologi Informasi di organisasi yang bermaksud mengembangkan sistem informasi. Adapun teknik pengumpulan informasi yang dapat diterapkan pada langkah ini meliputi :
Hasil output dari langkah pertama ini akan menghasilkan Penaksiran atas karakteristik sistem IT, Gambaran tentang lingkungan sistem IT serta gambaran tentang batasan dari sistem yang dikembangkan. Langkah 2. Mengidentifikasikan ancaman-ancaman Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Timbulnya ancaman dapat dipicu oleh suatu kondisi dari sumber ancaman. Sumber ancaman dapat muncul dari kegiatan pengolahan informasi yang berasal dari 3 hal utama, yaitu (1) Ancaman Alam; (2) Ancaman Manusia, dan (3) Ancaman Lingkungan. Ancaman yang berasal dari manusia memiliki karakteristik tersendiri, serta memiliki alasan tersendiri dalam melakukan gangguan terhadap sistem informasi yang ada. Adapun alasan yang timbul dari ancaman manusia ini dapat di definisikan dalam tabel berikut :
Organisasi yang membutuhkan daftar dari sumber ancaman, perlu melakukan hubungan dengan badan-badan atau sumber-sumber yang berhubungan dengan keamanan, seperti misalnya sumber ancaman dari alam diharapkan hubungan dengan BMG yang menangani masalah alam, atau pihak intelijen atau media massa yang dapat mendeteksi sumber ancaman dari manusia. Hasil output dari ancaman ini merupakan pernyataan atau daftar yang berisikan sumber ancaman yang mungkin dapat mengganggu sistem secara keseluruhan. Langkah 3. Identifikasi kelemahan Cacat atau kelemahan dari suatu sistem adalah suatu kesalahan yang tidak terdeteksi yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh sumber ancaman yang mencoba menyusup terhadap sistem tersebut. Pada beberapa vendor besar, informasi atas kelemahan sistem yang dibuat oleh vendor tersebut ditutup atau dihilangkan dengan penyediaan layanan purna jual dengan menyediakan hot fixes, service pack, pathces ataupun bentuk layanan lain. Penerapan metode proaktif atau tersedianya karyawan yang bertugas untuk melakukan sistem test dapat di pakai untuk mencek kelemahan sistem secara efisien, dimana hal tersebut tergantung kepada keberadaan sumber daya atau kondisi IT yang bersifat kritis. Metode tes yang diterapkan dapat berbentuk :
Penggunaan tools untuk mencek kelemahan sistem diterapkan pada grup perusahaan dengan kelengkapan jaringan komputer yang memadai, yang digunakan untuk memindai beberapa servis sistem yang disinyalir lemah (seperti : Diperbolehkannya anonymous FTP, sendmail automatis, dll). Strategi ST&E merupakan metode tes yang di terapkan pada saat proses penilaian atas resiko dilakukan. Metode ini diterapkan saat pengembangan dan eksekusi atas Sistem Informasi berjalan yaitu pada bagian test plan. Kegunaan dari metode ini adalah untuk melihat efektifitas dari kontrol atas sekuriti dari sistem IT terimplementasikan dalam kondisi sistem beroperasi. Penetrasi tes merupakan metode yang digunakan sebagai pelengkap dalam memeriksa kontrol atas sekuriti dan menjamin tidak adanya masalah sekuriti yang mungkin timbul pada sistem IT. Bentuk keluaran yang timbul pada langkah ketiga ini memungkinkan pihak penilai resiko mendapatkan daftar dari kelemahan sistem yang dapat dianggap sebagai potensi dari sumber ancaman di kemudian hari. Langkah 4. Analisa pengawasan Tujuan yang diharapkan pada langkah ini adalah untuk menganalisa penerapan kontrol yang telah diimplementasikan atau yang direncanakan. Bagi organisasi langkah ini perlu untuk meminimalisasi atau bahkan mengeliminasi probabilitas kemungkinan yang timbul dari sumber ancaman atau potensi kelemahan atas sistem. Metode pengawasan Metode pengawasan terdiri atas metode yang bersifat teknis maupun non teknis. Metode pengawasan secara teknis merupakan salah satu upaya perlindungan kepada organisasi dalam hal perlindungan terhadap perangkat keras komputer, perangkat lunak maupun mekanisme akses kontrol yang digunakan, sedangkan metode nonteknis lebih ditekankan kepada pengawasan atas manajemen dan operasional penggunaan sistem IT di organisasi tersebut, seperti penerapan policy keamanan, prosedur operasional, maupun manajemen personel yang ada. Kategori pengawasan Kategori pengawasan baik secara teknis maupun non teknis dapat diklasifikasikan dalam 2 pendekatan yaitu pendekatan preventif atau detektif. Pendekatan preventif adalah upaya untuk mencegah upaya pelanggaran atas policy keamanan seperti pengaksesan atas sistem IT atau tindakan lain misalnya dengan cara mengenkripsi informasi atau menerapkan otentifikasi atas informasi. Pendekatan detektif adalah cara untuk memperingati pengguna atas terjadinya pelanggaran atau percobaan pelanggaran atas policy keamanan yang ada, metode ini contoh pada Microsoft Windows dengan menggunakan teknik audit trails, metode deteksi penyusupan atau teknik checksum. Teknis analisa pengawasan Analisa pengawasan atas policy keamanan dapat menggunakan teknik checklist pengguna yang mengakses sistem IT atau dengan penggunaan checklist yang tersedia untuk memvalidasi keamanan, hal paling penting pada tahap ini adalah mengupdate terus menerus atas checklist pengguna sistem untuk mengontrol pemakai. Hasil yang diharapkan muncul pada tahap ini adalah tersedianya daftar kontrol yang digunakan dan yang sedang direncanakan oleh sistem IT untuk memitigasi kemungkinan adanya kelemahan atas sistem dan memperkecil dampak yang mungkin timbul atas penerapan policy keamanan. Langkah 5. Menerapkan beberapa kemungkinan Pada langkah ini, semua skalabilitas kemungkinan yang mungkin timbul dari kelemahan sistem didefinisikan. Terdapat beberapa faktor yang perlu dipertimbangkan dalam upaya mendefinisikan skalabilitas seperti :
Adapun level skalabilitas dari ancaman menurut Roger S. Pressman [3], dapat di definisikan dalam 4 kategori yang didefinisi dalam tabel berikut :
Hasil dari langkah kelima ini adalah terdefinisikan ancaman dalam beberapa tingkat tertentu, yaitu kategori catastrophic, critical, marginal atau negligible Langkah 6. Analisa dampak Analisa dampak merupakan langkah untuk menentukan besaran dari resiko yang memberi dampak terhadap sistem secara keseluruhan. Penilaian atas dampak yang terjadi pada sistem berbeda-beda dimana nilai dari dampak sangat tergantung kepada
Informasi tersebut di atas, dapat diperoleh dari sumber dokumentasi pengembangan sistem di organisasi yang mengembangkan sistem informasi. Analisa dampak bagi beberapa kalangan dapat juga disebut sebagai BIA (Business Impact Analysis) dimana skala prioritas atas sumber daya yang dimiliki memiliki level yang berbeda. Dampak yang ditimbulkan oleh suatu ancaman maupun kelemahan, dapat dianalisa dengan mewawancarai pihak-pihak yang berkompeten, sehingga didapatkan gambaran kerugian yang mungkin timbul dari kelemahan dan ancaman yang muncul. Adapun dampak kerugian yang mungkin timbul dari suatu resiko dikategorikan dalam 3 (tiga) kemungkinan yang mana dampak tersebut dapat berkonsekuensi atas satu atas kombinasi dari ketiga hal tersebut. Dampak yang timbul dapat mengarah kepada : a. Dampak atas Confidentiality (Kenyamanan). Dampak ini akan berakibat kepada sistem dan kerahasiaan data dimana sumber daya indormasi akan terbuka dan dapat membahayakan keamanan data. Penyingkapan atas kerahasiaan data dapat menghasilkan tingkat kerugian pada menurunnya kepercayaan atas sumber daya informasi dari sisi kualitatif, sedang dari sisi kuantitatif adalah munculnya biaya perbaikan sistem dan waktu yang dibutuhkan untuk melakukan recovery atas data b· Dampak atas Integrity (Integritas) Dampak integritas adalah termodifikasikan suatu informasi, dampak kualitatif dari kerugian integrity ini adalah menurunkan tingkat produktifitas kerja karena gangguan atas informasi adapun dampak kuantitatif adalah kebutuhan dana dan waktu merecovery informasi yang berubah. c· Dampak atas Availability (Ketersediaan) Kerugian ini menimbulkan dampak yang cukup signifikan terhadap misi organisasi karena terganggunya fungsionalitas sistem dan berkurangnya efektifitas operasional. Adapun hasil keluaran dari langkah ke 6 ini adalah kategorisasi dampak dari resiko dalam beberapa level seperti dijelaskan pada langkah 5 yang di implementasikan terhadap tingkat CIA tersebut di atas. Langkah 7. Tahap Penentuan Resiko Dalam tahap ini, dampak resiko didefinisikan dalam bentuk matriks sehingga resiko dapat terukur. Bentuk dari matriks tersebut dapat berupa matriks 4 x 4, 5 x 5 yang tergantung dari bentuk ancaman dan dampak yang di timbulkan. Probabilitas dari setiap ancaman dan dampak yang ditimbulkan dibuat dalam suatu skala misalkan probabilitas yang timbul dari suatu ancaman pada langkah ke 5 di skalakan dalam nilai 1.0 untuk tingkat Catastrophics, 0,7 untuk tingkat critical, 0,4 untuk tingkat marginal dan 0,1 untuk tingkat negligible. Adapun probabilitas dampak pada langkah ke 6 yang timbul di skalakan dalam 4 skala yang sama dengan nilai 4 dampak, dimana skala sangat tinggi di definisikan dalam nilai 100, tinggi dalam nilai 70, sedang diskalakan dalam penilaian 40 dan rendah diskalakan dalam nilai 10, maka matriks dari langkah ke 7 ini dapat di buat dalam bentuk :
Langkah 8. Rekomendasi kontrol Setelah langkah mendefinisikan suatu resiko dalam skala tertentu, langkah ke delapan ini adalah membuat suatu rekomendasi dari hasil matriks yang timbul dimana rekomendasi tersebut meliputi beberapa hal sebagai berikut :
Pendefinisian skala rekomendasi yang dibuat berdasarkan skala prioritas dari organisasi tersebut. Langkah 9. Dokumentasi hasil pekerjaan Langkah terakhir dari pekerjaan ini adalah pembuatan laporan hasil investigasi atas resiko bidang sistem informasi. Laporan ini bersifat laporan manajemen yang digunakan untuk melakukan proses mitigasi atas resiko di kemudian hari. Jadi, Pendekatan manajemen resiko dalam pembangunan IT merupakan proses penting untuk menghindari segala kemungkinan-kemungkinan yang terjadi saat IT tersebut dalam proses pengembangan, maupun saat maintenance dari IT dilaksanakan. Proses penganalisaan dampak resiko dapat di susun dalam bentuk matriks dampak untuk memudahkan para pengambil kebijakan pada proses mitigasi resiko. |