Jurnal Sarjana Institut Teknologi Bandung Bidang Teknik Elektro dan Informatika Volume 1, Number 2, Juli 2012

Model Manajemen Risiko pada Penerapan Cloud Computing untuk Sistem Informasi di Perguruan Tinggi Menggunakan Framework COSO ERM dan FMEA (studi kasus: ITB)
Niki Tsuraya Yaumi
Sistem dan Teknologi Informasi Institut Teknologi Bandung nikitsuraya@gmail.com

Surendro, Kridanto
Kelompok Keahlian Sistem Informasi Institut Teknologi Bandung surendro@gmail.com Di sisi lain, hadir TI baru yang lebih inovatif, dinamis, dan memiliki manfaat secara ekonomi, dengan proses implementasi yang lebih cepat, yaitu cloud computing. TI ini mampu menjawab masalah dan tantangan di atas yang dihadapi PT. Cloud computing mengubah cara bagaimana layanan TI disediakan dan disebarkan, sehingga institusi memiliki kesempatan untuk mengakses keahlian yang sebelumnya tidak dimiliki dengan kegesitan dan ketangkasan dalam menambah maupun mengurangi kapasitas atau layanan TI [3]. Melalui TI ini, diharapkan pendidikan di PT mendapat performa optimal, karena institusi dapat lebih fokus pada proses utama yang seharusnya dilakukan dibanding mengelola TI secara ekstensif. Di samping kebutuhan akan teknologi informasi, organisasi juga menghadapi beragam peluang dan risiko yang mungkin mempengaruhi secara positif ataupun negatif terhadap pencapaian tujuan mereka. Risiko juga muncul terutama ketika akan menerapkan suatu TI baru ke dalam suatu organisasi. Apalagi cloud computing merupakan ekstensi terbaru dari outsourcingmemanfaatkan sumber daya dari pihak ketiga. Pernyataan ini diperkuat oleh Mircea dan Andreescu (2011) yang menyatakan bahwa pengambilan keputusan untuk menggunakan cloud computing perlu memperhitungkan risiko terkait implementasi solusi. Oleh karena itu, agar dapat menangani risiko-risiko ini secara memadai, merupakan suatu prasyarat untuk merancang dan menerapkan sistem manajemen risiko yang disesuaikan dengan cerminan atribut spesifik dan karakteristik dari organisasi tertentu, serta memperhitungkan risk appetite [5]. Maka untuk mencapai tujuan PT yang didukung oleh TI, perlu ada manajemen risiko yang tepat untuk penerapan cloud computing guna meningkatkan performa PT. Oleh karena itu, pada makalah ini, akan dirancang suatu model manajemen risiko pada penerapan teknologi cloud computing untuk sistem informasi di PT. II. DASAR TEORI

Abstract Kebutuhan organisasi akan peningkatan efektivitas dan efisiensi bisnis berbasiskan teknologi informasi (TI) semakin tak terelakkan. Begitu pula dengan Perguruan Tinggi (PT) yang membutuhkan dukungan TI dalam rangka bersaing untuk menjadi PT yang unggul. Namun, dengan kondisi krisis finansial yang melanda dan kebijakan yang terus berubah-ubah, PT perlu mencari solusi TI yang lebih inovatif, dinamis, dan bermanfaat secara ekonomi. Kehadiran cloud computing dapat menjawab tantangan tersebut. Cloud computing merupakan inovasi yang memungkinkan penggunaan TI berdasarkan utilitas secara ondemand. Akan tetapi, penerapan suatu TI baru memunculkan beragam risiko. Apalagi dengan menggunakan layanan cloud computing artinya PT melibatkan pihak ketiga atau outsourcing. Oleh karena itu, perlu ada manajemen risiko yang tepat dalam mengidentifikasi, menilai, dan memitigasi risiko terkait penerapan cloud computing. Pada makalah ini, telah berhasil dirancang sebuah model manajemen risiko pada penerapan cloud computing untuk sistem informasi di PT berdasarkan framework COSO Enterprise Risk Management (ERM) yang didukung oleh Failure Mode and Effects Analysis (FMEA) pada komponen penilaian risiko. Kemudian model diimplementasikan pada tempat studi kasus, yaitu Institut Teknologi Bandung (ITB). Kata kunci: Manajemen risiko, COSO ERM, FMEA, cloud computing, outsourcing

I.

PENDAHULUAN

PT merupakan sebuah organisasi akademis, institusi yang memiliki peran dan posisi strategis dalam pencapaian tujuan pendidikan secara makro yang perlu melakukan upaya perbaikan secara terus menerus untuk mewujudkan sumber daya manusia yang berkualitas. Untuk mencapai tujuan tersebut, PT juga membutuhkan dukungan TI dalam menjalankan kegiatan-kegiatannya. Namun, dengan kondisi krisis finansial ekonomi yang melanda, pemotongan anggaran kemungkinan besar terjadi dan berpengaruh pada bidang TI di suatu universitas [9]. Selain itu, terjadi perubahan secara terus menerus terkait kebijakan mengenai PT. Oleh karena itu, PT perlu mencari cara untuk mengoptimalkan efektivitas dan efisiensi dari semua operasi internal maupun interaksi dengan pemangku kepentingan.

A. Cloud Computing Cloud computing merupakan sebuah model bayar-sesuaipenggunaan (pay-per-use) dalam menggunakan sumber daya komputasi (jaringan, server, penyimpanan, aplikasi, layanan)

yang selalu tersedia, mudah diakses, dan bergantung pada jaringan (on-demand) yang dapat diakses oleh banyak pengguna; yang dapat secara cepat dipakai dan dilepaskan dengan usaha manajemen atau interaksi penyedia (provider) layanan yang minimal [8]. Berdasarkan NIST, Ada lima karakteristik cloud computing, yaitu: On demand self-service, Broad Network Access, Resource Pooling, Rapid Elasticity, dan Measured Service. Ada tiga model layanan yang ditawarkan oleh cloud computing, berdasarkan level abstraksi dari kemampuan yang disediakan dan model layanan dari penyedia seperti yang terlihat pada Gambar 1, yaitu: Infrastructure as a Service (IaaS) IaaS menyediakan sumber daya virtualisasi (komputasi, penyimpanan, dan komunikasi) sesuai permintaan. Kemampuan yang diberikan kepada konsumen ialah penyediaan pemrosesan, penyimpanan, jaringan, dan sumber daya komputasi fundamental lainnya, sehingga konsumen dapat menyebarkan dan menjalankan perangkat lunak tertentu meliputi perangkat lunak dan aplikasi. 2. Platform as a Service (PaaS) Cloud platform menyediakan lingkungan agar pengembang bisa membuat dan menyebarkan aplikasi tanpa perlu mengetahui jumlah processor atau jumlah memori yang dibutuhkan oleh aplikasi tersebut [12]. 3. Software as a Service (SaaS) Kemampuan yang diberikan kepada konsumen ialah menggunakan aplikasi penyedia yang berjalan di atas infrastruktur cloud. Aplikasi dapat diakses dari berbagai perangkat klien, baik melalui antarmuka thin client, seperti web browser, atau antarmuka program [8]. 1.

organisasi yang memiliki perhatian atau kepedulian yang sama. 3. Public cloud Infrastruktur cloud yang disediakan terbuka untuk masyarakat umum. Lokasi infrastruktur berada di tempat penyedia cloud. 4. Hybrid cloud Infrastruktur cloud ini merupakan kombinasi dari dua atau lebih infrastruktur awan yang berbeda (private, community, public) yang tetap unik untuk masing-masing entitasnya, namun terikat bersama oleh teknologi standar yang memungkinkan portabilitas data dan aplikasi. B. Risiko dan Manajemen Risiko Risiko memiliki arti yang bermacam-macam sesuai konteks yang dirujuk atau sudut pandang yang digunakan. HM Treasury mendefinisikan risiko sebagai ketidakpastian dari suatu hasil, apakah peluang positif atau ancaman (threat) negatif dari aksi maupun kejadian. Risiko harus dapat dinilai mematuhi kombinasi dari semua kemungkinan dari hal yang akan terjadi dan dampak yang akan muncul bila hal tersebut terjadi [6]. Stoneburner dkk (2002) menyebutkan bahwa risiko adalah dampak negatif yang diakibatkan dengan adanya kerentanan (vulnerability), berdasarkan pertimbangan dari probabilitas maupun dampak kejadian. Dari beberapa pengertian yang telah disebutkan, risiko dapat diartikan sebagai dampak negatif dari suatu ancaman yang mengeksploitasi kerentanan yang apabila terjadi, akan merugikan. Risiko terkait TI merupakan adalah suatu pengukuran kuantitatif dari kerugian atau kerusakan yang disebabkan oleh ancaman (threat), vulnerability, atau oleh suatu kejadian (event: malicious atau non malicious) yang berpengaruh pada kumpulan aset TI yang dimiliki oleh organisasi [7]. Menurut HM Treasury, mengidentifikasi dan menilai risiko (risiko turunan atau yang melekat) serta merespon terhadap hal tersebut merupakan hal-hal yang termasuk dalam manajemen risiko [6]. Sedangkan COSO mendefinisikan manajemen risiko sebagai suatu proses, yang dilakukan oleh entitas dewan direksi, manajemen, dan personil lainnya, diterapkan dalam pengaturan strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat mempengaruhi entitas, dan mengelola risiko agar berada di dalam risk appetite, untuk menyediakan keyakinan memadai tentang pencapaian tujuan entitas [2].

Gambar 1. Model Layanan Cloud Computing [12]

Ada empat model deployment cloud computing yang didefinisikan oleh NIST, [8] yaitu: 1. Private cloud Infrastruktur cloud ditetapkan untuk penggunaan eksklusif oleh satu organisasi yang terdiri dari beberapa konsumen (misalnya, unit bisnis). Cloud ini mungkin dimiliki, dikelola, dan dioperasikan oleh organisasi, pihak ketiga, atau beberapa kombinasi dari keduanya dan bisa on atau off premise. 2. Community cloud Infrastruktur cloud ditetapkan untuk penggunaan eksklusif oleh komunitas tertentu dari konsumen suatu

Kouns dan Minoli mendefinisikan manajemen risiko TI (manajemen risiko keamanan informasi) sebagai proses untuk mengurangi risiko TI (proses adalah aktivitas yang berkelanjutan dan didefinisikan dengan baik). Manajemen risiko merupakan proses yang berkelanjutan, fundamental dan kompleks, sebagai bagian dari keamanan informasi [7]. Kemudian National Institute of Standards and Technology (NIST) sendiri mendefinisikan manajemen risiko sebagai proses yang memperkenankan manajer TI untuk menyeimbangkan biaya operasional dan ekonomis untuk ukuran-ukuran protektif dan mencapai keuntungan pada kapabilitas misi dengan menjaga sistem TI dan data yang mendukung misi organisasi mereka [11].

Dari semua pengertian yang ada, manajemen risiko merupakan suatu proses yang berkelanjutan dalam menilai, memitigasi, dan mengevaluasi risiko. Hal ini dilakukan untuk meningkatkan efektivitas biaya yang dikeluarkan guna memastikan keamanan dari sistem teknologi informasi yang digunakan pada organisasi. Sehingga semua aset TI yang dimiliki oleh organisasi aman dari segala gangguan maupun ancaman yang dapat mengenainya. C. COSO ERM COSO mendefinisikan Enterprise Risk Management (ERM) sebagai proses yang dipengaruhi oleh entitas dewan direksi, manajemen dan personil lainnya, diterapkan pada pengaturan strategi dan di seluruh perusahaan yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat mempengaruhi entitas, dan mengelola risiko untuk tetap berada pada risk appetite-nya, untuk memberikan keyakinan yang memadai mengenai pencapaian tujuan entitas [10]. Framework COSO ERM merupakan kubus 3-dimensi, selain sisi depan yang terdiri dari 8 komponen, sisi atas merupakan objektif manajemen risiko dan sisi samping kubus merupakan komponen entitas organisasi seperti yang terlihat pada Gambar 2. ERM versi COSO terdiri dari 8 komponen yang saling terkait, yaitu: Lingkungan Internal (Internal Environment), Penetapan Tujuan (Objective Setting), Identifikasi Kejadian (Event Identification), Penilaian Risiko (Risk Assessment), Respon Risiko (Risk Response), Aktivitas Pengendalian (Control Activities), Informasi dan komunikasi (Information and Communication), Pemantauan (Monitoring). D. FMEA Failure Mode and Effects Analysis (FMEA) adalah pendekatan yang proaktif, berbasiskan tim, dan sistematis untuk mengidentifikasi kemungkinan kegagalan suatu proses atau desain, mengapa hal tersebut mungkin gagal, dan bagaimana cara agar membuatnya lebih aman [1]. Metode yang digunakan pada FMEA ialah dengan melakukan kalkulasi terhadap risk priority numbers (RPN) untuk setiap tipe kegagalan. RPN merupakan hasil akumulasi dari severity, opportunity, dan detection untuk mengklasifikasikan efek dari tipe potensi kegagalan. Hasil dari analisis ialah tabel FMEA yang mendaftarkan semua tipe kegagalan bersamaan dengan kemungkinan efek pada sistem atau subsistem yang dikategorikan berdasarkan tiga karakteristik tersebut di atas. Istilah yang sering digunakan terkait FMEA ada 3, yaitu: 1. Failure cause Proses secara fisik atau kimiawi, cacat pada desain, cacat pada kualitas, kesalahan aplikasi komponen, atau proses lain yang menjadi dasar penyebab suatu kegagalan atau yang menginisiasikan proses fisik menjadi semakin buruk hingga gagal (past-yang lalu). 2. Failure effects Konsekuensi dari failure mode kepada operasi, fungsi, atau status dari sistem atau peralatan (future-yang akan datang). 3. Failure mode Cara kegagalan diamati, mendeskripsikan terjadinya kegagalan, dan dampaknya terhadap peralatan operasional (present-yang terjadi saat ini).

Gambar 2. Framework COSO ERM [2]

III.

MODEL MANAJEMEN RISIKO CLOUD COMPUTING

A. Program Pendidikan Perguruan Tinggi Berdasarkan Peraturan Pemerintah (PP) RI No. 17 Tahun 2010 dan No. 66 Tahun 2010, pendidikan tinggi ialah jenjang pendidikan pada jalur pendidikan formal setelah pendidikan menengah yang dapat berupa program pendidikan diploma, sarjana, magister, spesialis, dan doktor, yang diselenggarakan oleh Perguruan Tinggi. Pada PP RI No. 17 Tahun 2010 pasal 84 dinyatakan bahwa pendidikan tinggi berfungsi mengembangkan atau membentuk kemampuan, watak, dan kepribadian manusia melalui pelaksanaan: 1 dharma pendidikan untuk menguasai, menerapkan, dan menyebarluaskan nilai-nilai luhur, ilmu pengetahuan, teknologi, seni, dan olahraga; 2 dharma penelitian untuk menemukan, mengembangkan, mengadopsi, dan/atau mengadaptasi nilai-nilai luhur, ilmu pengetahuan, teknologi, seni, dan olahraga; dan 3 dharma pengabdian kepada masyarakat untuk menerapkan nilai-nilai luhur, ilmu pengetahuan, teknologi, seni, dan olahraga dalam rangka pemberdayaan masyarakat. Ketiga hal inilah yang menjadi dasar sebagai Tri Dharma Perguruan Tinggi. Pembahasan pada makalah ini fokus pada dharma pendidikan. Proses bisnis pendidikan Perguruan Tinggi digambarkan oleh value chain seperti pada Gambar 3.
Pengadaan: Proses pengadaan sumber daya (fasilitas dan peralatan belajar mengajar) Sumber Daya Manusia: Pengaturan SDM (penerimaan, pengelolaan, dan pemberhentian karyawan dan dosen) Teknologi Informasi: Pengelolaan TI dan SI (hardware, software, network, dll) Infrastruktur Organisasi: Pengelolaan sarana dan prasarana dan fungsi-fungsi lain yang mendukung kegiatan organisasi Pemasaran & Logistik Masukan Operasi Logistik Keluaran Layanan Penjualan
Penerimaan Mahasiswa Baru; Perencanaan Kurikulum; Perencanaan Kebijakan Kompetensi;

Operasional Akademik

Penyelenggaraan Kelulusan Mahasiswa;

Promosi Alumni

Layanan Alumni; Sentral Karir;

Gambar 3. Value Chain Perguruan Tinggi

Saat ini, teknologi informasi menjadi kebutuhan utama bagi tiap Perguruan Tinggi (PT) dalam usaha persaingan untuk menjadi world class university. Hal ini diperkuat dengan pernyataan yang ada pada Peraturan Pemerintah RI No. 17 Tahun 2010 Pasal 59 bahwa dalam menyelenggarakan dan mengelola pendidikan, satuan dan/atau program pendidikan

mengembangkan dan melaksanakan sistem informasi pendidikan berbasis teknologi informasi dan komunikasi. Sistem informasi pendidikan yang dimaksud memberikan akses informasi administrasi pendidikan dan akses sumber pembelajaran kepada pendidik, tenaga kependidikan, dan peserta didik. Oleh karena itu, kebutuhan Perguruan Tinggi terhadap TI diperlihatkan oleh Tabel I.
TABEL I. MATRIKS KEBUTUHAN TI BERDASARKAN PROSES PENDIDIKAN DI PT Pemanfaatan TI Proses Administrasi Pengajaran Penerimaan Mahasiswa Baru SI Registrasi Mahasiswa Operasional Akademik e-Learning Penyelenggaran Kelulusan SI Akademik Mahasiswa Promosi Alumi Layanan Alumni (Sentral SI Alumni Karir)

mahasiswa S1, S2, maupun S3. Visi ITB ialah Menjadi Perguruan Tinggi yang unggul, bermartabat, mandiri, dan diakui dunia serta memandu perubahan yang mampu meningkatkan kesejahteraan bangsa Indonesia dan dunia. Sedangkan misi ITB ialah Menciptakan, berbagi dan menerapkan ilmu pengetahuan, teknologi, seni dan kemanusiaan serta menghasilkan sumber daya insani yang unggul untuk menjadikan Indonesia dan dunia lebih baik.

B. Solusi Cloud Computing yang Ditawarkan Saat ini, banyak organisasi yang mencari efisiensi melalui skala ekonomi pada penyediaan layanan TI dan kapasitas TI yang sesuai permintaan serta mencari perbaikan melalui ekologi yang dinamis dari inovasi. Salah satu caranya ialah dengan melakukan outsourcing, yaitu mendapatkan layanan atau produk dari pihak ketiga. Hasil pemetaan solusi cloud computing untuk Perguruan Tinggi berdasarkan prioritas aktivitas dan data diperlihatkan pada Tabel II.
TABEL II SOLUSI CLOUD COMPUTING UNTUK PERGURUAN TINGGI Penyelenggar Penerimaan Operasional Akademik aan Kelulusan Model Siswa Baru Mahasiswa Layanan SI Registrasi SI Akademik; SaaS Mahasiswa SI Akademik SI e-learning SI Akademik Lingkungan untuk pengembangan atau PaaS penggunaan perangkat lunak untuk kegiatan belajar mengajar Sumber daya komputasi atau IaaS penyimpanan (storage)
Aktivitas

Gambar 4 Model Manajemen Risiko pada Penerapan Cloud Computing di PT

Proses pendidikan di ITB dibantu oleh layanan TI. Untuk proses adminiatrasi akademik, ada sistem informasi SI-X, sedangkan proses pengajaran dibantu oleh sistem kuliah dan sistem blended learning. Sesuai dengan Tabel II, ITB juga membutuhkan SI Registrasi Mahasiswa, SI Akademik, dan SI e-learning. SI registrasi akademik dan SI akademik akan disebut sebagai SI akademik sebagai satu kesatuan sistem. Kedua sistem, yaitu SI akademik dengan SI e-learning akan menggunakan model layanan SaaS. Model deployment untuk SI akademik ialah private cloud, sedangkan SI e-learning ialah public cloud. Kedua SI ini menjadi objek yang akan dikaji untuk diterapkan pada model manajemne risiko cloud computing. Penerapan model akan dijelaskan pada masing-masing subbab sesuai pembahasan komponen yang tertera pada Gambar 6. A. Lingkungan Internal Input dari proses ini ialah objek yang telah ditentukan di atas. Dua hal yang akan ditentukan pada komponen lingkungan internal ialah filosofi manajemen risiko dan risk appetite. ITB tidak menyatakan filosofi manajemen risiko yang digunakan secara eksplisit. Namun, melalui penjelasan Visi dan Misi ITB pada Surat Keputusan Senat Akademik No. 09/SK/I1SA/OT/2011, filosofi manajemen risiko untuk seluruh ITB bisa diekstraksi dan dirumuskan. Pada surat ini dinyatakan bahwa ITB dituntut untuk meningkatkan kinerja institusi agar lebih terpandang pada tatanan global. Lebih lanjut, ITB ditantang untuk mampu membangun dan menjalankan semangat entrepreneurial, khususnya dalam menjalankan pada program pendidikan, penelitian, dan pengabdian kepada masyarakat. Semangat ini tidak hanya diajarkan kepada mahasiswa, tetapi juga diterapkan oleh ITB secara institusi. Semangat entrepreneurial yang tercermin dari cara berpikir analitis, kritis dan futuristik, berani menghadapi tantangan, serta berani

C. Perancangan Model Manajemen Risiko Cloud Computing Model yang diusulkan untuk manajemen risiko pada penerapan cloud computing di Perguruan Tinggi diperlihatkan oleh Gambar 6. Seperti yang terlihat pada gambar, untuk masing-masing komponen ada input dan output. Selain input yang didapat dari komponen sebelumnya, ada input tambahan seperti hasil analisis FMEA yang digunakan pada komponen penilaian risiko. IV. PENERAPAN MODEL MANAJEMEN RISIKO CLOUD COMPUTING

Model manajemen risiko cloud computing diterapkan pada tempat studi kasus, yaitu Institut Teknologi Bandung (ITB). Institut Teknologi Bandung (ITB) merupakan sebuah Perguruan Tinggi Teknik pertama di Indonesia yang berlokasi di Kota Bandung. ITB didirikan pada tahun 1920 oleh pemerintah Belanda. Pada tahun 1959, ITB diresmikan oleh Presiden Indonesia yang pertama. Seperti Perguruan Tinggi pada umumnya, ITB memberikan layanan akademik untuk

mengambil risiko. Pernyataan berani mengambil risiko ini lah yang mungkin dijadikan suatu dasar filosofi manajemen risiko yang diusung oleh ITB. ITB juga menyiapkan diri untuk memanfaatkan TIK dalam proses pendidikan dan pengajaran. ITB menyatakan TI perlu dikuasai dengan baik, diterapkan dan dimanfaatkan seluasluasnya untuk memperkuat pembinaan serta mendukung pengembangan pendidikan dan pembangunan nasional. Oleh karena itu, berdasarkan fakta-fakta di atas, dapat dinyatakan bahwa dalam konteks penerapan cloud computing untuk proses akademikadministrasi maupun pengajaranITB siap untuk memanfaatkannya, berani mengambil risiko yang mengikutinya. B. Penentuan Tujuan Rangkuman komponen penentuan tujuan risiko diperlihatkan oleh relasi antara misi, tujuan, risk appetite dan risk tolerance pada Gambar 7.
Misi Menjadi Perguruan Tinggi yang unggul, bermartabat, mandiri, dan diakui dunia melalui pembelajaran yang unggul yang didukung oleh teknologi informasi (TI) Strategi Tujuan Strategis Masuk ke dalam jajaran papan atas Perguruan Tinggi di Asia dari segi pelayanan administrasi dan keunggulan pengajaran Ukuran Ranking ITB di dunia, se-Asia, maupun seIndonesia Menerapkan dan memanfaatkan sistem dan teknologi informasi bagi proses akademis

Daftar risiko yang dikaji pada makalah ini diperlihatkan oleh Tabel III. Daftar risiko ini diambil dari penelitian yang dilakukan oleh ENISA.
TABEL III DAFTAR RISIKO CLOUD COMPUTING [4] Nama Kategori No. Tipe Nama Tipe R.1 Lock-In R.2 Loss of Governance Risiko Kebijakan dan R.3 Compliance Challenges Organisasional R.5 Cloud service termination or failure R.6 Cloud provider acquisition R.9 Isolation failure R.10 Cloud provider malicious insider R.11 Management interface compromise R.12 Intercepting data in transit R.13 Data leakage on up/download, intra-cloud Risiko Teknis R.14 Insecure or ineffective deletion of data R.15 Distributed denial of service (DDoS) R.16 Economic denial of service (EDOS) R.17 Loss of encryption keys R.18 Undertaking malicious probes or scans R.22 Risk from changes of jurisdiction Risiko Hukum R.23 Data protection risks R.24 Licensing risks R.25 Network breaks R.26 Network management (ie, network congestion) R.27 Modifying network traffic Risiko tidak R.30 Loss or compromise of operational logs spesifik kepada R.31 Loss or compromise of security logs cloud R.32 Backups lost, stolen R.33 Unauthorized access to premises R.34 Theft of computer equipment R.35 Natural disasters

Risk Appetite ITB dapat menerima risiko selama tidak memberhentikan proses administrasi atau pun proses pengajaran yang sedang berlangsung di waktu kritis. Waktu kritis: pendaftaran, ujian

Tujuan terkait Memanfaatkan layanan cloud computing untuk sistem informasi (SI) terkait proses akademik di ITB Proses administrasi akademik lebih cepat dan efektif Meningkatkan jumlah mahasiswa yang menggunakan SI Meningkatkan jumlah mata kuliah yang secara aktif menggunakan SI Meningkatkan produktivitas pendidikan Transparan dan akuntabel dalam penggunaan layanan TI Keamanan SI administrasi akademik dan pengajaran Ukuran Jumlah pengguna aktif Jumlah mata kuliah yang aktif Waktu pemrosesan administrasi akademik Produktivitas pendidikan Kualitas dari laporan penggunaan layanan TI Jumlah ganggungan keamanan SI

Toleransi Risiko Ukuran Jumlah pengguna aktif Jumlah mata kuliah yang aktif Waktu pemrosesan administrasi akademik Produktivitas pendidikan* Kualitas laporan TI Jumlah ganggungan keamanan SI Ranking ITB di Indonesia, se-Asia, di dunia Target 15,000 mahasiswa 3000 mata kuliah Real-time Naik 0,5% untuk setiap tingkat Lengkap setiap bulan Tidak ada 1 10 100 Toleransi dan Rentang yang dapat Diterima -3000/+3000 mahasiswa -100/+100 mata kuliah Terhenti 4 jam 0,1%-1,0% Selambat-lambatnya 2 bulan 1 dalam 1 tahun 2 atau 3 10 sampai 15 100 sampai 200

Keterangan: Produktivitas pendidikan merupakan nilai perbandingan antara jumlah lulusan dengan jumlah populasi mahasiswa. Data terakhir menyatakan produktivitas pendidikan ITB pada tahun 2011 ialah: S1: 21,34% S2: 35,73% S3: 11,68% Jumlah ini menurun dari tahun sebelumnya, karena jumlah penerimaan mahasiswa semakin meningkat.

D. Penilaian Risiko Tahap penilaian risiko dibantu dengan metode Failure Mode and Effects Analysis (FMEA). Peringkat severity menunjukkan kehebatan atau keseriusan dari dampak atau efek yang disebabkan oleh risiko. Semakin tinggi peringkatnya (mendekati 10), artinya semakin besar kehebatan/keseriusan dampak yang terjadi. Begitu pula dengan peringkat occurence atau kemungkinan terjadinya suatu risiko. Semakin tinggi kemungkinan terjadinya risiko, semakin tinggi angka peringkat occurence-nya. Sedangkan nilai peringkat detection merepresentasikan seberapa mudah risiko tersebut dideteksi melalui suatu penanganan deteksi dini. Oleh karena itu, semakin tinggi angka peringkatnya, artinya risiko tersebut semakin sulit untuk dideteksi. Dari ketiga komponen di atas (severity, occurence, dan detection) dihasilkan nilai Risk Priority Numbers (RPN) yang merupakan hasil perkalian dari ketiganya. Sebagian rangkuman penilaian risiko dilihat pada Tabel IV. Perbedaan risiko antara kedua objek diperlihatkan oleh nilai risiko yang berwarna hijau. E. Respon Risiko Respon risiko dapat dibagi berdasarkan kategori risiko (tinggi, sedang, rendah). Tabel V memperlihatkan contoh respon risiko berupa mitigasi risiko untuk SaaS public cloud (elearning). F. Aktivitas Pengendalian Pada proses ini ada empat sektor yang perlu diperhatikan, yaitu Separation of duties (memperjelas pihak yang bertanggung jawab atas adopsi TI), Audit trails (ITB

Gambar 5. Relasi antara Misi, Tujuan, Risk Appetite, dan Risk Tolerance

C. Identifikasi Kejadian Kejadian dapat berarti positif, negatif, atau pun keduanya. Kejadian juga dapat diturunkan berdasarkan tujuan-tujuan yang telah disebutkan. Berdasarkan objek yang diteliti, kejadian yang akan dibahas ialah kejadian negatif, yaitu risiko-risiko yang berhubungan dengan cloud computing.

memastikan code of conduct yang jelas), Security and integrity (ITB perlu penanganan khusus untuk keamanan dan integritas TI yang dimiliki), dan Documentation (perlu ada dokumentasi yang jelas untuk sistem informasi yang ada di ITB).
TABEL IV PENILAIAN RISIKO
SaaS Private Cloud (SIA) Occurence Detection Severity RPN Kode Risiko Kemungkinan Risiko (Mode of Failure) SaaS Public Cloud (E-learning) Occurence Detection Severity Kode Risiko RPN

Lock-In Loss of Governance Compliance Challenges Cloud service termination or failure Isolation failure Intercepting data in transit Distributed denial of service (DDoS) Risk from changes of jurisdiction Data protection risks Backups lost, stolen Theft of computer equipment Natural disasters

R.1 R.2 R.3 R.5 R.9 R.12 R.15 R.22 R.23 R.32 R.34 R.35

8 8 8 9 8 7 8 8 7 8 9 9

6 6 7 6 3 5 5 3 6 3 3 3

6 7 6 5 5 5 6 5 5 5 5 5

288 336 336 270 120 175 240 120 210 120 135 135

R.1 R.2 R.3 R.5 R.9 R.12 R.15 R.22 R.23 R.32 R.34 R.35

9 8 8 9 9 8 8 8 8 7 7 7

6 7 7 5 5 6 4 8 7 3 2 3

6 7 7 6 7 6 5 5 5 5 5 5

324 392 392 270 315 288 160 320 280 105 70 105

TABEL V MITIGASI RISIKO

Komponen Risiko Lock-In Tinggi Kategori Risiko Kode Risiko Tindakan Mitigasi Beberapa alternatif yang dapat dilaksanakan: 1. Negosiasi ulang terkait kontrak dengan penyedia layanan cloud 2. Pengadaan dengan penyedia layanan cloud baru (pindah vendor) 3. Membawa kembali layanan ke ITB (back-in-house) 1. Pindah ke penyedia layanan lain atau meminta pertanggung jawaban dari penyedia layanan untuk segera menjalankan layanan dalam waktu yang telah ditentukan. 2. ITB bisa membeli asuransi berupa cyber-risk insurance (CRI). Akan tetapi asuransi ini perlu dibeli jika dan hanya jika ITB memiliki dana yang dialokasikan untuk hal ini dan merasa bahwa data pada sistem tersebut sangat sensitif. 1. Meminta pertanggung jawaban penyedia layanan terkait penerobosan jaringan.

Saran bagi pengembangan tugas akhir ini adalah sebagai berikut: 1. Proses analisis risiko dapat dilakukan dengan menggunakan metode kuantitatif agar hasil penilaian risiko memberikan gambaran yang lebih komprehensif terhadap biaya yang harus dianggarkan apabila terjadi gangguan atau kerusakan pada layanan TI maupun proses pendidikan. 2. Penerapan model manajemen risiko cloud computing dapat diterapkan pada proses lain di Perguruan Tinggi selain proses pendidikan, misalnya penelitian. 3. Model manajemen risiko yang dibangun dapat dilanjutkan dengan pengembangan program penanggulangan bencana (disaster recovery) dan/atau keberlangsungan bisnis (business continuity) untuk layanan cloud computing dalam menunjang objektif organisasi. 4. Penelitian lanjutan dapat juga membahas mengenai manajemen perubahan (change management) terkait penerapan layanan cloud computing di Perguruan Tinggi. DAFTAR REFERENSI
[1] AFIP. (2004, June). Failure Mode and Efects Analysis (FMEA): An Advisor's Guide. Dipetik Mei 21, 2012, dari FMEA Info Centre: http://www.fmeainfocentre.com/handbooks/FMEA_Guide_V1.pdf [2] COSO. (2004, September). Enterprise Risk Management--Integrated Framework: Executive Summary. Jersey City: Committee of Sponsoring Organisations of the Treadway Commission (COSO). [3] EDUCAUSE. (2011). What Campus Leaders Need to Know About Cloud Computing. EDUCAUSE. Dipetik 11 22, 2011, dari net.educause.edu/ir/library/pdf/PUB4003.pdf [4] ENISA. (2009, November). Cloud Computing: Benefits, Risks, and Recommendations for Information Security. (D. Catteddu, & G. Hogben, Penyunt.) European Network and Information Security Agency (ENISA). [5] Erben, R. F. (2008). Risk Management Standards: Role, Benefits, and Applicability. 2nd European Risk Conference (hal. 22-31). Milan: European Risk Conference Universit Bocconi. [6] HM Treasury. (2004). The Orange Book: Management of Risk-Principles and Concepts. Norwich, UK: HM Treasury on behalf of the Controller of Her Majesty Stationary Office. [7] Kouns, J., & Minoli, D. (2010). Information Technology Risk Management in Enterprise Environment. New Jersey, USA: John Wiley and Sons,Inc. [8] Mell, P., & Grance, T. (2011). The NIST Definition of Cloud Computing. Gaithersburg, Amerika Serikat: National Institute of Standards and Technology (NIST). [9] Mircea, M., & Andreescu, A. I. (2011). Using Cloud Computing in Higher Education: A Strategy to Improve Agility in the Current Financial Crisis. Communications of the IBIMA, 2011 (2011)(875547). [10] Moeller, R. R. (2007). COSO Enterprise Risk Management: Understanding the New Integrated ERM Framework. New Jersey: John Wiley & Sons, Inc. [11] Stoneburner, G., Goguen, A., & Feringa, A. (2002). Risk Management Guide for Information Technology Systems. NIST, U. S. Department of Commerce [12] Voorsluys, W., Broberg, J., & Buyya, R. (2011). Introduction to Cloud Computing. Dalam R. Buyya, J. Broberg, & A. Goscinski, Cloud Computing: Principles and Paradigms (hal. 3-16). New Jersey: John Wiley & Sons, Inc.

R.1

R.5 R.6

Cloud service termination or failure; Cloud provider acquisition

Sedang

R.25 R.27

Network breaks; Modifying network traffic;

Rendah

G. Informasi dan Komunikasi Informasi perlu disampaikan pada semua entitas pada setiap level terutama yang terkait dengan sistem informasi akademik dan e-learning. Komunikasi merupakan kunci dari pembentukan lingkungan internal yang tepat dan mendukung komponen lain pada manajemen risiko enterprise. ITB perlu memutuskan bagaimana menanamkan filosofi manajemen risiko, apakah dengan pendekatan top-down atau bottom-up atau keduanya saling melengkapi. H. Pengawasan Pengawasan manajemen risiko enterprise dapat dicapai melalui aktivitas pemantauan berkelanjutan (on-going), evaluasi terpisah, atau kombinasi keduanya. ITB perlu menentukan langkah pengawasan yang akan dilaksanakan. V. PENUTUP

Kesimpulan yang diperoleh dari pengerjaan tugas akhir ini adalah makalah ini menghasilkan model manajemen risiko pada penerapan cloud computing untuk proses akademik pada sistem informasi di Perguruan Tinggi yang dapat digunakan sebagai acuan dalam menerapkan COSO ERM dan FMEA untuk keperluan tersebut.