BAB2 LANDASAN TEORI 2.1. Pengertian Manajemen Risiko Menurut Siahaan (2007, p22), manajemen risiko adalah suatu proses dengen metode-metode tertentu supaya suatu organisasi mempertimbangkan risiko yang dihadapi setiap kegiatan organisasi dalam mencapai tujuan organisasi, atau risiko portofolio kegiatan organisasi. Menurut Christopher dan Dorofee (2008, p8) “Risk management is an on going proccess in identifying risk and implementing plans to their appoint ”. Menurat Djojosoedarso (2005, p2), manajemen risiko merupakan berbagai cara penanggulangan risiko. Fokus manajemen risiko adalah mengenal pasti risiko dan mengambil tindaken tepat terhadap risiko. Tujuannya adalah secara terus menerus menambah_nilai maksimum dalam semua kegiatan operasional. Dengan manajemen risiko diungkap pemahaman tentang adanya potensi risiko upside dan downside dengan segala faktor-faktor yang dapat meningkatkan probabilitas keberhasilan, dan mengurangi probabilitas kegagalan atau ketidak pastian dalam pencapaian tujuan organisasi secara keseluruhan, Oleh Karena itu, dapat dikatakan bahwa setiap orang harus selalu berusaha untuk mencegah terjadinya risiko, artinya bahwa adanya upaya untuk meminimumkan tisiko yang terjadi. Dan pencegahan risiko tersebut dapat dilakukan dengan berbagai cara.2A 10 Karakteristik Risiko Risiko selalu dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan yang tidak diduga/tidak diinginkan, Dengan demikian risiko mempunyai karakteristik sebagai berikut: 1 2. 2.1.2. 2.1.3. Merupakan ketidak pastian atas terjadinya suatu peristiwa, Merupakan ketidakpastian bila terjadi akan menimbulkan kerugian, Wujud Risiko ‘Wujud dari risiko dapat bermacam-macam, antara lain: Berupa kerugian atas harta milik/kekayaan atau penghasilan. Berupa penderitaan seseorang. Berupa tanggung jawab hukum, misalnya risiko dari perbuatan atau peristiwa yang merugikan orang lain. Berupa kerugian karena perubahan keadaan pasar. Macam-Macam Risiko Menurut Djojosoedarso (2005, p.3) risiko dapat dibedakan dengan berbagai macam cara, antara lain: Menurnt sifatnya risiko dapat dibedakan ke dalam: a, _Risiko yang tidak disengaja (risiko mumi), adalah risiko yang apabila terjadi tentu menirbulkan kerugian dan terjadinya tanpa disengaja.ul Risiko yang disengaja (risiko spekulatif), adalah risiko yang sengaja ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya. Risiko fundamental, adalah risiko yang penyebabnya tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang. Risiko khusus, adalah risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya. Risiko dinamis, adalah risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi, seperti risiko penerbangan Ivar angkasa. Dan sebaliknya disebut risiko statis, seperti risiko heri tua, risiko kematian, dan sebagainya 2. Dapat-tidaknya risiko tersebut dialihkan kepada pihak Jain, maka risiko dapat dibedakan ke dalam: Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan suatu objek yang akan terkena tisiko kepada perusahaan asuransi, dengan membayar sejumlah premi asuransi, sehingga semua kerugian menjadi tanggungan pihak perusahaan asuransi, Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan); umumnya meliputi semua jenis risiko spekulatif. 3. Menurut sumber/penyebab timbulnya, risiko dapat dibedakan ke dalam: a. Risiko intem yaitu risiko yang berasal dari dalam perusahaan itu sendiri, seperti kerusakan aktiva karena ulah karyawan sendiri, kecelakaan kerja, kesalahan manajemen, dan sebagainya,12 b. —_Risiko ekstern yaitu risiko yang berasal dari Iuar perusahaan, seperti risiko pencurian, penipuan, persaingan, fluktasi harga, perubahan kebijakan pemerintah, dan sebageinya. 2.1.4. Upaya Penanggulangan Risiko Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan untuk meminimumkan risiko kerugian, antara lain: a. Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun gedung dengan bahan-bahan yang anti terbakar, memagari mesin-mesin untuk menghindari kecelakaan kerja, dan sebagainya. Melakukan retensi, artinya mentolerir membiarkan terjadinya keragian, dan untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut disediakan sejumiah dana untuk menanggulanginya. Melakukan pengendalian terhadap risiko, contohnya melakukan hedging (perdagangan berjangka) untuk menanggulangi risiko kelangkaan dan fluktasi harga bahan baku/pembantu yang diperlukan. Mengalihkan/memindahkan risiko kepada pihak lain, yaita dengan cara mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi terhadap risiko tertente, dengan membayar sejumlah premi asuransi yang telah ditetapkan, sehingga perusahaan asuransi akan mengganti kerugian apabila betul terjadi kerugian yang sesuai dengan perjanjian.13, 2.2, Pengertian Teknologi Informast Teknologi informasi merupakan sebuah bentuk umum yang menggambarkan setiap teknologi yang membantu menghasilkan, memanipulasi, menyimpan, mengkomunikasikan, dan atau menyampaikan informasi (Williams, Sawyer, 2005). Menurut Haag, Cummings, dan Cuberry (2005, p14), “ Jnformation technology is any computer-based devices used person (people) to work with information and supporting information and information processing needs of an organization”. Dari kedua pengertian diatas, dapat disimpulkan bahwa teknologi informasi merupakan alat-alat atau perangkat komputer yang digunakan oleh sebuah organisasi melalui proses menerima, mengolah, serta menyimpan informasi perusahaan yang mendukung kinerja sistem informasi. 2.2.1. Infrastruktur Teknologi Informasi Menurut Haag, Cummings, dan Cuberry (2005, p15), ada dua kategori dasar dalam teknologi informasi, yaitu hardware dan software. 221.1. Hardware Menurut O°Brein (2005, p702), hardware adalah : 1 Mesin dan media 2. Perlengkapan fisik, kebaliken dari program computer atau metode penggunaan, 3. Peralatan mekanis, magnetis, elektrik, elektronik, atau optikal.14 Dari pernyataan diatas dapat disimpulkan bahwa hardware adalah seperangkat peralatan fisik computer yang membentuk suatn sistem dengan segala perlengkapannya, Hardware terdiri dati 6 kategori, yaitu: 1. Input device adalah peralatan yang digunakan untuk meng-input informasi dan perintah yang terdiri dari keyboard, mouse, touch screen, game controller, dan bar code reader. 2. Output device adalah peralatan yang digunakan untuk melihat, mendengar, atau sebaliknya mengenali hasil dari permintaan proses informasi yang terdiri dari printer, monitor dan speaker. 3. Storage device adalah peralatan yang digunakan untuk menyimpan informasi yang digunakan di lain waktu terditi atas hard disk, flash memory card, dan DVD. 4. CPU dan RAM. CPU adaleh hardware yang mengartikan dan menjalankan sistem serta instroksi-instruksi aplikasi software dan mengatuc pengoperasian dari keseluruhan hardware. RAM adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya system, dan instruksi aplikasi software yang dibutuhkan oleh CPU sekarang ini. 5. Telecommunication device adalah peralatan yang digunakan untuk mengirim dan menerima informasi dari orang atau komputer lain dalam satu jaringan. 6. Connecting device termasuk hal-hal_ seperti terminal paralel__yang menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal paralel den peralatan penghubung internal yang sebagian besar termasuk15 alat pengantar untuk perjalanan informasi dari satu bagian hardware ke bagian Jainnya. 2.21.2. Software Menurut O’Brein (2005, p713), Software adalah program dan prosedur computer yang berkaitan dengan operasi system informasi. Dapat disimpulkan bahwa software merupakan kumpulan instruksi-instruksi, program, dan prosedur computer yang saling berkaitan untuk menyelesaikan tugas tertentu, ‘Ada 2 tipe utama dari software, yaitu: 1. 2.2.2, Application software memungkinkan untuk menyelesaikan masalah-masalah spesifik atau menampilkan tugas-tugas spesifik. Sistem software : menangani tugas-tugas spesifik untuk mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan teknologi. Didalam system software terdapat operating system software dan utility software. operating system software adalah software system yang mengendalikan software aplikasi dan mengelola bagaimana peralatan hardware bekerja secara bersama Utility software adalah software yang menyediakan tambahan fungsionalitas untuk mengoperasikan sistem software seperti anti-virus, screen savers, disk optimization. Jaringan Komputer Menurut O’Brien (2006, p276), ada berbagai jenis jaringan yang berfungsi sebagai infrastruktur telckomunikasi untuk internet serta intranet dan ekstranet perusahaan berbasis internet. Akan tetapi, dari sudut pandang pemakai akhir, hanya ada16 beberapa tipe dasar, seperti jaringan area Tuas dan jaringan area lokal, serta jaringan rekan-ke-rekan, Klien/server, dan komputasi jaringan. 2.2.2.1. WAN (Wide Are Network) Menurut O’Brien (2006, p276), Jaringan area luas (wide area network - WAN) merupakan jaringan telekomunikasi yang mencakup area geografis yang luas. Jaringan yang mencakup area kota yang Ivas atau metropolitan (metropolitan area network) dapat juga termasuk dalam Kategori ini. Jaringan Iuas seperti ini telah menjadi kebutuhan untuk melakukan aktivitas sehari-hari dari banyak bisnis dan organisasi pemerintah serta pemakai akhir. 2.2.2.2. LAN (Local Area Network) Jaringan area lokal (local area network - LAN) menghubungkan komputer dan alat pemrosesan informasi Jainnya pada area fisik yang terbatas, misalnya kantor, ruang kelas, gedung, pabrik manufaktur, atau tempat kerja lainnya. LAN telah menjadi sesuatu yang umum bagi banyak organisasi untuk menyediakan jaringan telekomunikasi yang menghubungkan pemakai akhir dengan kantor, departemen, dan kelompok kerja lainnya. LAN menggunakan berbagai media telekomunikasi, seperti kabel telepon atau bahkan radio nirkabel dan sistem inframerah, untuk saling menghubungkan tempat kerja mikrokomputer dengen periferal komputer. Untuk berkomunikasi dalam jaringan, setiap komputer biasanya memiliki papan sirkuit yang disebut Kartu interface jaringan, Kebanyakan LAN menggunakan mikrokomputer yang berdaya lebih tinggi dengan kapasitas hard disk yang besar, disebut server file atau server jaringan, yang berisikan17 program sistem operasional jaringan yang mengendalikan komunikasi dan saling berbagi sumber daya jaringan. 2.2.2.3. Intranet, Ekstranet, Internet Menurut O’Brien (2006, p705), intranet merupakan jaringan seperti internet di dalam organisasi. Software penjelajah Web memberikan akses mudah ke situs Web internal yang dibuat oleh berbagai unit bisnis, tim, dan individu, serta sumber daya jaringan dan aplikasi lainnya. Menurut O’Brien (2006, p704), Internet adalah jaringan komputer yang tumbuh cepat dan terdiri dari jutaan jaringan perusahaan, pendidikan serta pemerintah yang menghubungkan ratusan juta komputer serta pemakainya di lebih dari 200 negara, Menurut O’Brien (2006, p700), ekstranet merupakan jaringan yang menghubungkan sumber daya tertentu dari suatu perusahaan dengan pelanggan, pemasok, dan mitra bisnis lainnya, dengan menggunakan internet atau jaringan pribadi untuk menghubungkan intranet organisasi. 2.2.3. Topologi Jaringan Menurut O°Brien (2006, p293), Ada beberapa jenis dasar dari fopologi atau struktur jaringan dalam jeringan telekomunikasi. Topologi-topologi tersebut diantaranya adalah: 1. Topologi BUS Topologi jaringan BUS adalah suatu jaringan dimana prosesor lokal menggunakan bus bersama, atau saluran komunikasi bersama. Karakteristik Topologi BUS, yaitu:18 a, Node ~ node dibubungkan secara serial sepanjang kabel, dan pada kedua ujung kabel ditutup dengan terminator. b. Sangat sederhana dalam instalasi ¢. Sangat ekonomis dalam biaya. 4. Paket-paket data saling bersimpangan pada suatu kabel e. Tidak diperlukan hub, yang banyak diperlukan adalah Teonnector pada setiap ethernet card. £ Problem yang sering terjadi adalah jika salah satu node rusak, maka jaringan keseluruhan dapat down, sehingga seluruh node tidak bisa berkomunikasi dalam jaringan tersebut. P02 Bus Topology Gambar 2.1 Topologi BUS 2. Topologi Star Topologi jaringan bintang mengikat komputer pemakai akhir ke satu komputer pusat. Karakteristik Topologi Star, yaitu: a. Setiap node berkomunikasi langsung dengan konsentrator (HUB)19 b. Bila setiap paket data yang masuk ke consentrator (HUB) kemudian di broadcast keseluruh node yang terhubung sangat banyak (misalnya memakai hub 32 port), maka kinerja jaringan akan semakin turun, ¢. Sangat mudah dikembangkan d. Jika salah satu ethemet card rusak, atau salah satu kabel pada terminal putus, maka keseluruhan jaringan masih tetap bisa berkommunikasi atau tidak terjadi down pada jaringan keseluruhan tersebut. ¢. Tipe kabel yang digunakan biasanya jenis UTP. Star Topology Gambar 2.2 Topologi Star 3. Topologi Ring Topologi jaringan cincin mengikat prosesor komputer lokal dalam cincin dengan dasar yang lebih setara. Karakteristik Topologi Ring, yaitu :a 20 Node-node dihubungkan secara serial di sepanjang kabel, dengan bentuk jaringan seperti lingkaran. . Sangat sederhana dalam layout seperti jenistopologi bus. . Paket-paket data dapat mengelir dalam satu arah (kekiri atau kekanan) sehingga collision dapat dihindarkan. |. Problem yang dihadapi sama dengan topologi bus, yaitu: jika salah satu node tusak maka seluruh node tidak bisa berkomunikasi dalam jaringan tersebut. . Tipe kabel yang digunakan biasanya kabel UTP atau Patch Cable (IBM tipe ) Ring Topology Gambar 2.3 Topologi Ring 4, Topologi Mesh Topologi wingan mesh menggunakan saluran komunikasi langsung untuk saling menghubungkan beberapa atau semua komputer dalam cincin.21 Karakteristik topologi mesh, yaitu: a. Topologi mesh memiliki hubungan yang berlebihan antara_peralatan- peralatan yang ada, b. Susunannya pada setiap peralatan yang ada didalam jaringan saling terhubung satu sama lain. . jika jumlah peralatan yang terhubung sangat banyak, tentunya ini akan sangat sulit sekali untuk dikendalikan dibandingkan hanya sedikit peralatan saja yang terhubung. Mesh Topology Gambar 2.4 Topologi MeshPengertian Leasing Beberapa pengertian sewa guna usaha atau dikenal dengan istilah Leasing yang dikemukakan oleh beberapa sumber adalah sebagai berikut: Financial Accocunting Standard Board (FASB 13) Leasing adalah suatu perjanjian penyediaan barang-barang modal yang digunakan untuk suatu jangka waktu tertentu. The International Accounting Standard (IAS 17) Leasing adalah suatu perjanjian dimana pemilik aset atau perusehaan sewa guna usaha (Jessor) menyediakan barang atau aset dengan hak penggunaan kepada penyewa guna usaha (Jesse) dengan imbalan pembayaran sewa untuk suatu jangka waktu tertentu. The Equipment Leasing Association (ELA-UK) Leasing adalah suatu kontrak antara lessor dengan lessee untuk penyewaan suatu jenis barang atau aset tertentu secara langsung, dari pabrik atau agen penjual oleh lessee. Hak kepemilikan barang tersebut tetap berada pada lessor. Lessee memiliki hak pakai atas barang tersebut dengan membayar sewa dengan jumlah dan jangka waktu yang telah ditetapkan. Dari segi pandangan hukum. Kegiatan leasing memiliki empat citi, yaitu: Perjanjian antara lessor dengan pihak lessee. Berdasarkan perjanjian leasing, lessor mengalihkan hak penggunaan barang kepada pihak lessee. Lessee membayar kepada lessor wang sewa atas penggunaan barang atau aset.23.1, 2B Lessee mengembalikan barang atau aset tersebut kepada lessor pada akhir periode yang ditetapkan lebih dahulu dan jangka waktunya kurang dari umur ‘ekonomi barang tersebut. Mekanisme Leasing Menurut Totok Budisantoso (2006, p191), dalam transaksi leasing sekurang- kurangnya melibatkan 4 pihak yang berkepentingan, antara lain: Lessor Lessor adalah perusahaan leasing atau pihak yang memberikan jasa pembiayaan kepada pihak lessee dalam bentuk barang modal. Dalam finance lease, lessor bertujuan untuk mendapatkan Kembali biaya yang telah dikeluarkan untuk membiayai penyediaan barang modal dengan mendapatkan keuntungan. Sedangkan dalam operating lease, lessor bertujuan untuk mendapatkan Keuntungan dari penyediaan barang dan pemberian jasa-jasa yang berkenaan dengan pemeliharaan dan pengoperasian barang modal tersebut. Lessee Lessee adalah pihak yang memperolch pembiayaan dalam bentuk barang modal dari lessor. Dalam finance lease, lessee bertajuan mendapatkan pembiayaan berupa barang atau peralatan dengan cara pembayaran angsuran, Sedangkan dalam operating lease, lessee bertujuan dapat memenuhi kebutuhan peralatannya disamping tenaga operator dan perawatan alat tersebut tanpa risiko bagi lessee terhadap kerusakan.24 3. Pemasok Pemasok yaitu perusahaan atau pihak yang mengadakan atau menyediakan barang untuk dijual kepada Jessee dengan pembayaran secara tunai oleh lessor. Dalam finance lease, pemasok langsung menyerahkan barang kepada lessee tanpa melalui pihak /essor sebagai pihak yang memberikan pembiayaan. Sedangkan dalam operating lease, pemasok menjual barangnya langsung kepada lessor dengan pembayaran sesuai dengan kesepakatan kedua belah pihak secara tunai maupun secara berkala. 4. Bank atau kreditor Dalam suatu perjanjian atau kontrak leasing, pihak bank atau kreditor tidak terlibat secara langsung dalam kontrak tersebut tetapi bank memegang peranan dalam hal penyediaan dana kepada lessor. 2.3.2. Penggolongan Perusahaan Leasing Menurut Sigit Triandara dan Totok Budisantoso (2006, p193), dalam menjalankan kegiatan usahanya, perusahaan Jeasing dapat digolongkan kedalam 3 kelompok, antara lain: 1. Independent Leasing Company Perusahaan leasing jenis ini mewakili sebagian besar dari industri leasing dimana perusahaan ini berdiri sendiri atau independen dari pemasok yang mungkin dapat memnuhi kebutuhan barang modal nasabahnya (lessee). Selain2.3.3. 25 itu, perusahaan dapat membelinya dari berbagai pemasok yang kemudian disewa kepada pemakai. Captive lessor Captive lessor sering disebut two party lessor yang melibatkan dua pihak, yaitu: © Pihak pertama terdiri atas perusahaan induk dan anak perusahaan leasing (subsidiary) + Pihak kedua adalah Jesse atau pemakai barang Captive lessor ini akan terjadi apabila pemasok mendirikan perusahaan leasing sendiri untuk membiayai produk-produknya. Lease broker atau packager Packager berfungsi untuk mempertemukan calon lessee dengan pihak lessor yang membutuhkan suatu barang modal dengan cara Jeasing namun packager ini tidak memiliki barang atau peralatan untuk menangani transaksi leasing untuk atas namanya. Teknik-Teknik Pembiayaan Leasing Menurut Sigit Triandaru dan Totok Budisantoso (2006, p194), teknik pembiayaan leasing dilihat dari jenis transaksinya, dapat dibagi dalam dua kategori: Finance Lease Dalam sewa guna usaha, lessor adalah pihak yang membiayai penyediaan barang modal. Lessee biasanya memilih barang modal yang dibutuhkan dan, atas nama perusahaan sewa guna usaha, sebagai pemilik barang modal tersebut melakukan pemesanan dan pemeriksaan serta pemeliharaan barang modal yang menjadi23.4, 26 objek transaksi sewa guna usaha. Selama masa sewa guna usaha, penyewa guna usaha melakukan pembayaran sewa guna usaha secara berkala dengan jumlah seluruhnya ditambah dengan pembayaran nilai sisa atau nilai residu yang akan mencakup pengembalian harga perolehan barang modal yang dibiayai serta bunganya, yang merupakan pendapatan perusahaan sewa guna usaha. Operating Lease Dalam teknik operating lease, pihak pemilik objek leasing atau lessor membeli barang modal dan disewagunausahakan kepada lessee. Pembayaran periodik yang dilakukan oleh lessee tidak mencakup biaya yang dikeluarkan oleh lessor untuk mendapatkan barang modal tersebut dan bunganya, Harapan keuntungan dari operating lease tergantung pada penjualan barang yang sudah selesai disewagunausahakan, /essor harus memiliki keahlian khusus untuk memasarkan Kembali barang modal tersebut. Manfaat Leasing Pembiayaan melalui /easing memberikan keuntungan sebagai berikut: 1. Menghemat modal 2. Diversifikasi sumber-sumber pembiayaan 3. Persyaratan yang kurang ketat dan lebih fleksibel 4, Biaya lebih murah 5. Diluarneraca 6. Menguntungkan arus kas 7. Proteksi inflasi27 8. Perlindungan akibat kemajuan teknologi 9. Sumber pelunasan kewajiban 10. Kapitalisasi biaya IL. Risiko keusangan 12. Kemudahan penyusunan anggaran 13, Pembiayaan proyek skala besar 2.3.5. Asuransi Dalam Kegiatan Leasing Untuk menghindari risiko kerugian yang besar dalam Kegiatan leasing, dilibatkan asuransi dalam proses Jeasing. Oleh karenanya dalam perjanjian kontrak, ditegaskan adanya asuransi yang biasanya ditanggung oleh lessee. 2.3.6. Pembayaran Sewa Guna Usaha Menurut Sigit Triandaru dan Totok Budisantoso (2006, p198), pembayaran sewa Gapat dilakukan derigan menggunakan dua cara, yaitu: 1, Pembayaran di muka (payment in advance) Pembayaran angsuran pertama dilakukan pada saat realisasi. Angsuran ini hanya mengurangi utang pokok Karena saat itu belum dikenakan bunga, 2. Pembayaran sewa di belakang (payment in arrears) ‘Angsuran dilakukan pada periode berikutnya setelah realisasi. Angsuran ini mengandung unsur bunga dan cicitan pokok.2.4. Resiko Teknologi Informasi Menurut Hughes (2006, p.36), dalam penggunaan teknologi informasi berisiko techadap kehilengan informasi potensial dan pemulihannya tercakup dalam enam kategori, yaitu : 1 Keamanan Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berotoritas. Ini termasuk kejahatan komputer, kebocoran internal dan terorisme oyber. Ketersediaan Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem, karena kesalahan manusia, perubahan konfigurasi, Kurangnya pengurangan arsitektur atau akibat lainnya. Daya Pulih Risiko di mana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup -setelah sebuah kejadian keamanan atau ketersediaan seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau bencana alam. Performa Risiko di mana informasi tidak tersedia saat diperlukan yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam. Daya Skala Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif.29 6. Ketaatan Risiko yang manajemen atau penggunaan informasinya melanggar keperluan regulator. Yang dipersalahkan dalam hal ini mencakup regulasi pemerintah, panduan pengaturan korporat dan kebijakan intemal 2.4.1, Kelas-Kelas Risiko Teknologi Informasi Menurut Jordan dan Silcock (2005, p.49), risiko-risiko teknologi didefinisikan dalam tujuh kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan kesalahan, teteapi Konsekuensi-konsekuensinya dapat berakibat negatif bagi bisnis. Kelas-kelas risiko tersebut antara lain ialah: 1. Projects — failing to deliver Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari gagalnya penyampaian proyek adalah: menyelesaikan proyek yang ada telat atau tidak pada waktunya, sumber daya dan biaya yang dikonsumsi dalam penyelesaian proyek besar sehingga tidak efisien, menggangu proses bisnis selama proses implementasi, dan juga fungsi dari proyek tidak sesuai dengan Keinginan dari yang diharapkan user. 2. ID’service continuity when business operating go off the air Risiko ini berhubungan dengan pelayanan TI yang ketinggalan jaman dan tidak dapat diandalkan sehingga mengganggu proses bisnis yang sedang berjalan, Biasanya berhubungan dengan sistem operasional dan produksi perusahaan serta kemampuan mereka untuk menyediakan kebutuhan dari user.30 Information assets — failing to protect and preserve Risiko ini berhubungan khusus dengan kerusakan, kehilangan, dan eksploitasi aset informasi yang ada dalam sistem. Dampaknya bisa sangat fatal bagi perusahaan, contohnya informasi yang penting bisa dicuri oleh perusahaan kompetitor, detail dari kartu kredit dapat dilihat oleh pihak yang tidak berwenang, sehingga dengan demikian akan merusak hubungan antara pelanggan dengan perusahaan. Ini tentunya akan sangat merugikan perusahaan. Service provider and vendors — breaks in the IT value chain Risiko ini berhubungan dengan dari provider dan vendor. Bila mereka gagal dalam meyediaken pelayanan yang baik bagi kita, maka akan berdampak signifikan bagi sistem TI perusahaan, Dampak lainnya berhubungan dengan dampak jangka panjang seperti kekurangan dalam penyediaan layanan TI bagi user perusahaan tersebut. Applications — flaky systems Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi biasanya berinteraksi dengan user dan dalam suatu perusahaan biasanya terdapat Kombinasi antara software paket dan sofware buatan yang diintegrasikan menjadi satu, Infrastructure — shaky foundations Risiko ini berhubungan dengan kegagalan dalam infrastruktur TI. Infrastruktur adalah suatu nama yang umum bagi komputer maupun jaringan yang sedang dipakain dan berjalan dalam perusahaan tersebut. Di dalam infrastruktur juga termasuk software, seperti sistem operasi dan database management system.2.4.2, 31 Kegagalan infrastruktur TI dapat bersifat permanen, ketika suatu komponen terbakar, dicuri, rusak, maupun apabila koneksi jaringannya sedang putus, maka dampak dari kegagalan tersebut tergantung dari ketahanan sistem yang ada. Apabila terdapat sistem yang sudah tidak kompatibel dengan model yang baru, maka sistem tersebut harus diganti. Apabila risiko ini dapat ditangani secara rutin, maka itu merupakan suatu perencanaan jangka panjang yang baik. ‘Strategic and emergent — disabled by IT Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan strategi bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi sangat signifikan dalam pelaksanaan bisnis secara luas. Risiko merupakan kemampuan dari perusahaan untuk terus bergerak maju kearah visi strategi. Untuk tetap kompetitif, dipertukan kemajuan TI untuk dipahami dan dicocokan dengan potensi kesempatan eksploitasi bagi bisnis. Langkah Pemecahan Risiko Teknologi Informasi Menurut Jordan dan Silcock (2005, p7), ada tiga langkah kunci dalam membuat tisiko informasi teknologi berjalan untuk Anda, dalam menempatkan diri Anda dalam satu posisi dimana Anda dapat hidup dengan risiko: 1. ‘Anda peru menempatkan kepemimpinan dan manajemen yang tepat pada tempatnya melalui teknologi informasi dan kerangka cara pengaturan risiko. ‘Anda perlu menggabungkan cara Anda mengurus risiko informasi teknologi dengan mengadopsi sebuah pendekatan manajemen tas surat yang proaktif. ‘Anda pera mengatur kompleksitas dengan secara aktif mengatur setiap jenis risiko informasi teknologi.32 2.5. Manajemen Risiko Teknologi Informasi Menurut Alberts, C dan Dorofee, A (2004, p8), manajemen risiko adalah proses yang berkelanjutan dalam mengenal risiko dan mengimplementasikan rencana untuk menunjuk mereka. Menurut Djojosoedarso (2003, p4), manajemen risiko adalah pelaksanaan fungsi- fungsi manajemen dalam penanggulangan risiko, terutama risiko yang dihadapi oleh organisasi/perusahaan, keluarga dan masyarakat. Jadi mencakup kegiatan merencanakan, mengorganisir, menyusun, memimpin, dan mengawasi (termasuk mengevaluasi) program penanggulangan risiko. Jadi, dapat disimpulkan bahwa manajemen risiko adalah suatu proses pengidentifikasian dan pengukuran risiko serta membuat sebuah strategi untuk dikelola oleh sumber daya yang ada. Strategi yang dapat digunakan diantaranya adalah mentransfer risiko pada pihak Iain, menghindari risiko, mengurangi efek buruk dari risiko, dan menerima sebagian maupun seluruh konsekuensi dari risiko tertentu. 2.5.1. Tahap Manajemen Risiko Teknologi Informasi Menurat Jordan dan Silcock (2005, p62), jalan kehidupan manajemen tisiko terdiri dari beberapa tahap berikut, ditempatkan dengan cara yang berbeda untuk jenis risiko yang berbeda: 1. Pengenalan/penemuan — menaruh risiko teknologi informasi pada radar manajemen.2.6. 2.6.1. 3 Penilaian/analisis ~ mengerti risiko informasi teknologi dalam konteks tas surat keseluruhan risiko informasi teknologi dan menilai kemungkinan munculnya dan pengarubnya pada bisnis. Perawatan — menentukan pilihan terbaik dari beberapa langkah tindakan yang memungkinkan untuk mengatasi risiko, merencanakan, dan menyelesaikan tindakan yang diperlukan. Pengamatan dan peninjauan — menindaklanjuti untuk memastikan apa yang direncanakan itu dikerjakan dan mengerti perubahan yang ada pada tas surat risiko teknologi informasi Metode Pengukuran Resiko Teknologi Informasi OCTAVE (The Operationally Critical Threat Asset and Vulnerability Evaluation) OCTAVE adalah sebueh pendekatan terhadap evaluasi risiko keamanan informasi yang komprehensif , sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi risiko ‘keamanan informasi. Menurut Alberts et al. (2005, pS), OCTAVE berdasar pada 3 tahap yang dideskripsikan dalam kriteria OCTAVE, meskipun nomor dan urutan kegiatan berbeda dari metode OCTAVE yang digunakan. Bagian ini memberikan tinjauan singkat atas tahapan dan kegiatan OCTAVE. Tahapan-tahapan yang berdasarkan pada framework OCTAVE, yaitu:34 Membangun Aset Berbasis Profil Ancaman Tahap satu adalah suatu evaluasi dari aspek organisasi. Selama dalam tahap ini, tim analisis menggambarkan kriteria dampak evaluasi yang akan digunakan nantinya untuk mengevaluasi risiko. Tahap ini juga mengidentifikasi aset-aset organisasi yang penting, dan mengevaluasi praktek keamanan dalam organisasi saat ini, Tim menyelesaikan tugasnya sendiri dan mengumpulkan informasi tambahan hanya ketika diperlukan. Kemudian memilih tiga dari lima aset kritikal untuk menganalisa dasar kedalaman dari hubungan penting dalam organisasi. Akhimya, tim menggambarkan kebutuhan-kebutuhan keamanan dan menggambarkan profil ancaman pada setiap aset. Dimana pada tahap ini terdiri atas dua proses, yaitu: identifikasi informasi organaisasi dan membuat profil ancaman serta memiliki enam aktivitas. ‘Mengidentifikasi Kerentanan Infrastruktur Tahap Kedua yaitu tim analisis melakukan peninjauan ulang level tinggi dari perhitungan infrastruktur organisasi, yang berfokus pada keamanan yang dipertimbangkan pemelihara dan infrastraktur. Tim analis pertama menganalisis, bagaimana orang-orang menggunakan infrastruktur komputer pada akses aset kritis, menghasilkan kunci dari kelas komponen-komponen. Tahap ini memiliki satu proses yaitu memeriksa perhitungan infrastruktur dalam keitannya dengan aset yang kritis dimana terdapat dua aktivitas. Mengembangkan Strategi Keamanan dan Perencanaan, Sclama tahap ketiga tim analisis mengidentifikasi risiko dari aset kritis organisasi dan memutuskan apa yang harus dilakukan mengenainya, Bardasarkan analisis dari kumpulan informasi, tim membuat strategi perlindungan untuk organisasi35 dan rencana mitigraasi risiko yang ditujukan pada aset kritis. Kertas kerja OCTAVE yang digunakan selama tahap ini mempunyai struktur tinggi dan berhubungan erat dengan praktek Katalog OCTAVE, memungkinkan tim untuk menghubungkan rekomendasi-rekomendasinya untuk meningkatkan praktek keamanan dari penerimaan benchmark. 2.6.2. NIST Special Publication 800-30 NIST (National Institute of Standard and Technology) mengeluarkan rekomendasi melalui publikasi khusus 800 — 30 tentang Risk Management Guide for Information Technology System. Terdapat tiga proses pengelolaan risiko, yaite : 1. Proses Penilaian Risiko a. Karakteristik Sistem Dalam menilai risiko untuk sebuah sistem TI, langkah pertama adalah untuk menentukan cakupan usaha. Pada tahap ini, batas-batas terhadap sistem yang Giidentifikasi, bersama dengan sumber daya dan informasi yang merupakan sistem. Karakteristik sebuah sistem TI membentuk ruang lingkup dari risiko usaha yang menggambarken operasional otorisasi atau akreditasi batas-batas, dan menyediakan informasi (misalnya, perangkat keras, perangkat Iunak, sistem konektivitas, dan divisi yang bertanggung jewab atau dukungan personil) yang penting untuk menentukan risiko. b. —_ Identifikasi Ancaman Identifikasi ancaman yang mungkin menyerang kelemahan sistem TI. Sebuah kelemahan atau» Kerentanan dapat dipicu dari_kesengajaan ataupun ketidaksengajaan, sebuah sumber ancaman tidak akan menghasilkan sebuah36 risiko jika tidak ada kelemahan yang dibiarkan, Dalam mempertimbangkan kemungkinan adanya ancaman, hal yang tidak boleh diabaikan, yaitu : mempertimbangkan sumber ancaman, potensi kerentanan, dan kontrol yang ada. Identifikasi Kerentanan Analisis ancaman untuk sebuah sistem TI harus disertai analisis dari Kerentanan yang terkait dengan sistem lingkungan, Tujuan dari langkeh ini adalah untuk mengetahui kekurangan atau kelemahan dari sistem yang dapat dieksploitasi oleh sumber ancaman. Analisis Pengendalian Tujuan dari langkeh ini adalah menganalisa pengendalian yang telah dilaksanakan atau direncanakan untuk meminimalkan atau menghilangkan kemungkinan-kemungkinan ncaman dari kelemahan atau kekurangan yang ada. Penentuan Kemungkinan / Kecenderungan Untuk menempatkan keseluruhan penilaian terhadap kemungkinan atau kecenderungan yang menunjukkan adanya peluang kelemahan yang dapat dilakukan oleh lingkungan ancaman, Berikut ini faktor-faktor yang harus dipertimbangkan: 1) Motivasi dan Sumber Ancaman, 2) Sifat dan Kerentanan, 3) Keberadaan dan Efektifitas Pengendalian saat ini. Analisis Dampak Menentukan hasil dari dampak paling buruk yang mungkin terjadi dari sebuah ancaman yang timbul, sebelum memulai analisis dampak, diperlukan informasi sebagai:37 1) Sistem Misi (misalnya, proses yang dilakukan oleh sistem T1). 2) Sistem dan Data Kritikal (misalnya, sistem nilai atau pentingnya untuk sebuah organisasi). 3) Sistem dan Sensitivitas Data. Penentuan Risiko Tujuan dari langkah ini adalah untuk menilai tingkat risiko bagi sistem TI. Penentuan tingkat risiko ini merupakan suatu fungsi, yaitu: 1) Kecenderungan suatu sumber ancaman menyerang kerentanan dari sistem TI. 2) Besarnya dampak yang akan terjadi jika sumber ancaman sukses menyerang kerentanan dari sistem TI. 3) Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi dan menghilangkan tisiko. Rekomendasi Pengendalian Selama proses ini, pengendalian yang dapat mengurangi atau mengeliminasi risiko yang diidentifikasi. Tujuan dari rekomendasi pengendalian adalah mengurangi tingkat risiko bagi sistem TI dan data ketingkat yang dapat diterima oleh organisasi,Faktor-faktor yang ars meminimalkan atau mengeliminasirisiko diidentifikasi, yaitu: Keefektifan dari pilihan yang direkomendasikan, perundang-undangan dan peraturan kebijakan organisasi, dampak operasional, keselamatan dan kehandalan.38 2. Dokumentasi Hasil-hasil setelah pengukuran tisiko selesai dilakukan (sumber ancaman, dan kerentanan telah diidentifikasi, penilaian risiko, dan rekomendasi pengendalian tersedia). Hasil-hasil yang ada harus di dokumentasikan dalam laporan resmi. 3. Proses Pengurangan Risiko Terdapat beberapa strategi dalam melakukan pengurangen risiko, yaitu dengan menerima risiko (risk assumption), mencegah terjadinya risiko (risk avoidance), membatasi level risiko (risk limitation), perencanaan risiko (risk plan), penelitian dan pengakuan (research and acknowledgment), mentransfer risiko (risk tranference). Metodologi pengurangan risiko menggambarkan _pendekatan untuk mengimplementasikan pengendalian, yang terdiri dari: memprioritaskan tindaken dalam mengevaluasi pengendalian yang direkomendasikan, dan melakukan Cost-Benefit Analysist, memilih pengendalian, memberikan tanggung jawab, mengembangkan rencana implementasi perlindungan serta implementasi pengendelian yang dipilih. 4. Proses Evaluasi Risiko Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko yang diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko Kembali untuk memastikan keberadaan risiko yang teridentifikasi maupun risiko yang belum teridentifikasi. 2.6.3. FRAP (Facilitated Risk Analysis Process) Menurut Peltier (2001,p.69), FRAP (Facilitated Risk Analysis Process) "Is a process that was developed in an efficient and orderly to ensure the security of information from business processes to be considered and documented risk”. FRAP39 bukan suatu metodologi, tetapi suatu pendekatan terhadap proses penentuan risiko dan dampaknya, proses penentuan prioritas, dan proses penentuan kontrol pengamanan. Selama sesi FRAP, tim mengidentifikasi ancaman yang potensial, kerentanan, dan dampak negatif pada integritas data, kerahasiaan, dan ketersediaan. Dengan menggunkan FRAP diharapkan proses ananlsis risiko dapat dilakukan dalam hitungan hari hingga mingguan, bukan bulanan. Dengan demikian, analisis risiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan (feasible) dan perlu (enabler). 2.6.3.1. Kebutuhan FRAP Analisis risiko sering dianggap sebagai tugas utama yang dibutuhkan dalam peruszhaan, serta mempekerjakan konsultan Iuar dan memerlukan waktu yang panjang. Sering sekali proses analisis risikko membutuhkan waktu berminggu-minggu untuk menyelesaikan dan membutuhkan anggaran dana yang besar. Perusahaan perlu melakukan FRAP agar perusahaan dapat mengidentifikasikan risiko yang terjadi sehingga dalam proses melakukan suatu perubahan, perusahaan dapat mengentisipasi hal-hal buruk yang bersifat fatal atau yang dapat mengancam keberlangsungan perusahaan, Hasil komprehensif FRAP adalah dokumen yang mengidentifikasi ancaman, memprioritaskan ancaman-ancaman, dan mengidentifikasikan kontrol yang dapat membantu mengurangi ancaman-ancaman. Yang paling penting, dengan melibatkan manajer bisnis, FRAP menyediakan Klien atau pemilik yang percaya pada action plan.40 2.6.3.2. Proses FRAP Menurut Peltier (2001,p.70), Proses Analisis Risiko Difasilitasi terdiri dari 4 sesi yang berbeda: 1. Pre FRAP Meeting © ~Memakan waktu sekitar 1 jam © Melibatkan manajer bisnis, pimpinan proyek, dan fasilitator. FRAP Session *) Memakan waktu sekitar 4 jam © Melibatkan sekitar 7 sampai 15 orang, paling banyak 50 orang dan paling sedikit 4 orang. FRAP Analysis dan Report Generation * ~Memakan waktu sekitar 4 sampai 6 hari * Diselesaikan oleh fasilitator dan scribe. Post FRAP Meeting * Memakan waktu sekitar | jam + Dihadiri oleh peserta yang sama dengan Pre FRAP Meeting. 2.6.3.3. Pre-FRAP Meeting Menurut Peltier (2001, p.72), Pre-FRAP Meeting adalah kunci sukses dari sebuah proyek. Pertemuan normalnya berkisar sekitar 1 jam dan biasanya bertempat dikantor Klien. Pertemuan ini scharusnya melibatkan manajer bisnis, pimpinan pengembang proyek, dan fasilitator.41 Fasilitator adalah orang yang berperan penting atas keberhasilan proyek FRAP, keablian-keahlian khusus yang harus dimiliki oleh fasilitator FRAP: 1. Mendengarkan 2. Memimpin 3. Membuat refleksi 4. Menyimpulkan Memberikan feedback dan pendapat 6. Memberikan dukungan 7, Mengelola konflik dan krisis, 8. Menjadi penengah 9, Menyelesaikan masalah 10. Menggiring perilaku Sebagai FRAP fasilitator, penting untuk mengembangkan toolkit FRAP, diantaranya: 1. Flipcharts 2. Masking tape dan Push pin 3. Pena warna/marker 4, Tent cards 5, Session agreements Selama 1 jam pertemuan ini, terdapat komponen: 1. Scope Statement (Ruang Lingkup) Pimpinan proyek dan manajer bisnis berkesempatan menentukan ruang lingkup untuk ditinjau. Mereka mengembangkan dalam kata-kata apa yang scbenamya akan ditinjau. 2. Visual Model42 Merupakan tampilan aplikasi yang dipergunakan pada perusahaan, guna ‘meninjau proses yang berjalan. Visual Model digunakan selama sesi FRAP untuk memperkenalkan tim mengenai dimana proses dari aplikasi dimulai dan berakhir. Pembentukan tim FRAP Sclama Pre-FRAP Meeting, manajer bisnis dan pimpinan proyek akan mengidentifikasi siapa yang menjadi tim FRAP, Jumlah dari peserta diantaranya 7 sampai 15 orang. Disarankan dari perwakilan-perwakilan berikut untuk mengikuti FRAP: 1. Pemilik Fungsional 2. Pengguna sistem 3. Sistem Administrator 4. Sistem Analis 5. Sistem Programmer 6. Programmer Aplikasi 7. Database Administrasi 8. HRD 9. Administrasi Jaringan 10. Telekomunikasi Agreement On Defenition Pada tahap ini terdapat lima definisi utama yang perlu dipahami oleh para staf sebelum melakukan FRAP, definisi-definisi tersebut adalah: 1. Risiko ‘Adalah kemungkinan terjadinya tindakan/kejadian yang dapat menimbulkan akibat yang berarti bagi perusahaan atau sistem informasinya8 2. Pengendalian (Control) Adalah sistem yang menjaga, mendeteksi, dan mengkoreksi kejadian yang tidak sesuai peraturan. 3. Integritas (Integrity) Adalah informasi sesuai dengan yang diinginkan tanpa modifikasi atau korupsi. 4, Ketersediaan (Availability) ‘Adalah pengguna yang berwenang dapat mengakses aplikasi atau sistem saat dibutuhkan, 5. Kerahasiaan (Confidentiality) Adalah informasi yang dilindungi dari pihak-pihak yang tidak berwenang atau accidential disclosure. 2.6.3.4. FRAP Session Menurut Peltier (2001, p.78), FRAP Session biasanya berlangsung selama empat jam. Beberapa organisasi memperluas proses hingga berlangsung selama tiga hari, tetapi biesanya dibatasi selama empat jam didasarkan pada fleksibilitas FRAP dan jadwal Kesibukan. Sebelum memulai FRAP Seession, anggota tim FRAP akan melakukan perkenalan diri, nama, jabatan, departement, dan nomor telpon. Pada tahap awal, tim FRAP akan diberikan penjelasan dari proses yang akan mereka analisis. Tim juga akan diberikan penjelasan mengenai ruang lingkup, dan kemudian seorang dari tim teknis akan memberikan gambaran lima menit dari proses yang ditinjau (model visual).44 Setelah tahap awal selesai, maka tim FRAP akan memulai proses brainstroming atau proses untuk menghasilkan ide-ide baru atau proses untuk memecahkan permasalahan. Ini adalah tahap kedua, yang masing-masing review mengambil elemen (integrity, confidentiality, availability) dan identifikasi risiko, ancaman, kekhawatiran, dan masalah untuk setiap elemen. Pada proses brainstroming, fasilitator akan menampilkan definisi dan beberapa contoh risiko. Tim tersebut kemudian diberi waktu tiga menit untuk menuliskan risiko yang memprihatinkan bagi mereka. Fasilitator akan berkeliling ruangan untuk mendapatkan satu risiko dari setiap anggota tim, Banyak dari anggota tim akan memiliki lebih dari satu risiko, tetapi proses ini adalah untuk mendapatkan satu risiko dan kemudian pindah ke orang berikutnya. Dengan cara ini, setiap orang mendapat giliran untuk berpartisipasi. Proses berlanjut hingga seluruh tim telah terselesaikan (tidak ada lagi risiko yang dapat dipikirkan oleh tim). Proses brainstorming berlanjut hingga masing-masing elemen telah selesai diperiksa, Setelah proses ini selesai, tim diberikan istirahat sementara. Ketika anggota tim kembali ke ruang konferensi, mereka diminta untuk memeriksa risiko yang ditemukan dan kemudian membutuhkan beberapa menit untuk membuat salinan yang dianggap tepat. Kemudian tim akan berkonsentrasi_ pada memprioritaskan risiko. Hal ini dilakukan dengan menentukan risiko yang rentan terhadap perusahaan dan dampak pada bisnis jika risiko itu terjadi. Definisi ini disetujui pada FRAP session dan disajikan kepada tim selama pendahuluan, yaitu:45 High Vulnerability: Kelemahan yang sangat besar ada dalam sistem atau operasional rutin dan berpotensi berdampak pada proses bisnis secara signifikan sehingga kontrol harus ditingkatkan. Medium Vulnerability: Ada beberapa kelemahan dan berpotensi berdampak pada proses bisnis secara signifikan, kontrol dapat dan harus ditingkatkan, Low Vulnerability: Sistem sudah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada kontrol tambahan yang dibutuhkan untuk mengurangi kerentanan, Severe Impact (High): Cenderung menempatkan perusahaan diluar dari bisnis atau sangat merusak prospek usaha dan pembangunan. Significant Impact (Medium): Akan menyebabkan Kerusakan yang signifikan dan biaya, namun perusabaan akan bertahan. Minor Impact(Low): Dampak operasional yang diharapkan mampu dikelola sebagai bagian dari business life cycle. Tim akan dibantu dengan menggunakan priority sample matrix yang dipilih sesuai dengan yang ditetapkan pada prioritas risiko. Tanggapan dari tim FRAP adalah sebagai berikut: b. A Corrective action must be implemented B— Corrective action should be implemented46 ce. C= Requires monitoring d D-No action Tabel 2.1 Prioritas Sampel Matriks Business Impact High Medium Low A B c High Vulnerability B B c Medium c c D Low Keterangan untuk Tabel 2.1 adalah: Risk : Actual risk voiced by FRAP team member Type : Integrity, confidentiality, availability risk Priority + Priority level A, B, C, D Controls: Controls identified to help mitigate the risk Kontrol dapat diidentifikasikan secara umum dalam dua cara: a. Fasilitator dapat menganalisa prioritas risiko yang tinggi dan memiliki sejumlah tim risiko bahwa mereka akan membantu mengurangi risiko tersebut. b. __Fasilitator dapat manganalisa risiko dan kemudian membiarkan tim untuk bangkit Kembali dan menuliskan pilihan mereka. Jika risiko yang mereka pilih ih, maka tidak perlu untuk meletakkannya disana lagi.47 Pada FRAP Session, daftar dari identifikasi risiko dan prioritas risiko dilampirkan ke dalam tabel Risk List dan penanggulangan dari risko di lampirkan pada tabel Control List. 2.6.3.5. FRAP Analysis and Report Generation Menurut Peltier (2001, p221), dijelaskan bahwa FRAP Analysis and Report Generation tersebut terdiri dari empat metode perhitungan: 1. Exposure Factor (EF) Merupakan besamya ukuran risiko kerugian atau dampak pada nilai aset, disajikan dalam jangkauan dari 0 sampai 100 persen kerugian timbul dari adanya ancaman, Istilah ini digunakan dalam perhitungan SLE, yang ditentukan kemudian dalam bagian ini. Exposure Factor (EF ) = Loss Asset (Kerugian atas aset) x 100% Value Asset (Nilai aset) Annualized Rate of Occurance (ARO) Merupakan frekuensi ancaman yang terjadi secara tahunan. Sebagai contoh, ancaman terjadi sekali dalam sepuluh tahun memiliki ARO 1/10 atau ancaman terjadi $0 kali pada tahun tertentu memiliki ARO 50/0.6. Single-Time LossExposure Menurut Peltier "When a threat occurs how much the lost of asset value is expected to be in monetary terms” (ketika ancaman itu terjadi, berapa banyak kerugian atas aset yang diperkirakan terjadi dalam hal moneter). Single Loss Exposure = Value Asset x Exposure Factor (EF) Annualized Loss Expectancy or Exposure (ALE) Nilai ini berasal dari algoritma berikut (definisi harapan kerugian tunggal [SLE]) Annuaized Loss Exp. = Single Loss Exp. (SLE) x Annualized Rate of Occurrence Annual Cost Nilai ini berasal dari perhitungan berikut: Annual Cost = Total Unit x Maintenance Cost Validity Year Return On Investment Return On Investment adalah salah satu bentuk dari rasio profitabilitas yang dimaksudkan untuk dapat mengukur kemampuan perusahaan dengan keseluruhan dana yang ditanamkan dalam aktiva yang digunakan untuk operasi perusahaan untuk menghasilkan keuntungan. Jadi, Return On Investment merupakan rasio balik modal atas investasi yang digunakan untuk operasi perusahaan untuk menghasilken keuntungan.49 Untuk melakukan perhitungan tingkat pengembalian modal dari investasi, nilai ini berasat dari pethitungan berikut: ROI = ALE—Annual Cost Annual Cost 2 Counter Measure Tahunan Nilai ini berasal dari berasal dari perhitungan berikut: Counter Measure Tahunan = Total Unit x Maintenance Cost é& Counter Measure Nilai ini berasal dari perhitungan berikut: Counter Measure = ALE Sesudah - Biaya Tahunan - Biaya Counter Measure 2.6.3.6. Post FRAP Meeting Pengumpulan informasi hanya bagian dari proses analisis risiko. Untuk mendapatkan laporan lengkap, manajer bisnis, pimpinan proyek, dan fasilitator harus menyelesaikan: 1. Action Plan Pada proses ini, semua risiko-risiko yang terdapat pada tabel risk list beserta tipe dan prioritasnya dijadikan satu pada tabel action plan seperti tabel 2.2 dengan semua kontrol yang berasal dari table Control List . Tujuannya untuk mengetahui tindakan aksi apa yang dilaksanakan, tindakan dilaksanakan oleh siapa, serta status dari rencana aksi tersebut. Contoh dari tabel action plan :Application : (Aplikasi yang digunakan) —Tanggal == FRAP. (Tanggal Pelaksanaan) Risk # Risk Type | Priority | Controls | _ Owner Action By | When Who 1. Akses internal INT B 18 Memberikan Komp! yang tidak sah password pada setiap it data penting untuk mencegah akses yang tidak dinginkan. 2. Rutinitas tidak INT Cc layak untuk mengedit entri data 3. Kesalahan saat INT A 3,14, 12 Memonitor aktivitas Komp! meng-enty perusahean it data Tabel 2.2 Action Plan Control / Risk Cross-Reference Sheet Pada proses ini, menghabiskan paling banyak waktu untuk diselesaikan oleh fasilitator. Dokumen ini mengambil kontrol masing-masing dan mengidentifikasikan semua risiko yang akan terpengaruh oleh kontrol. Contoh dari tabel Control / Risk Cross-Reference Sheet51 Control | Control Description | Risk | Risk Description | Type | Concern 1 Melaksanakan 7 Akses intemal yang [INT |B pengontrolan akses tidak sah untuk mencegah akses yang tidak sah 7 Kehitangan data INT |B terhadap informasi. Mencakup kemampuan [11 | Informasiperusahaen | INT |B untuk mendeteksi, dan rusak karena upaya pelaporan kebocoran informas! pelanggaran keamanan informasi. 12 | Stafinternal sengaja. | INT |B memodifikasi data untuk keuntungan personal / kelompok 5 Pengungkapan cON |B informasi dan melanggar hukum privasi z Mengembangkan, dokumen, dan 4 Kerusakan pada nT fA pemulihan prosedur program perancangan aplikasi dan informasi dapat | 5 Modifikesi data karena | INT |B diperoleh kembali virus komputer dengan menggunaken prosedur backup. 7 Kehilangan data INT |Bws 8 12 ‘Staf internal sengaja memodifikesi data untuk keuntungan personal / kelompok WT |B 13 pengenalan virus Modifikasi data karena [INT | A Tabel 2.3 Control / Risk Cross — Reference Sheet 2.6.3.7. Perbandingan Pendekatan OCTAVE , NIST dan Pendekatan FRAP Perbandingan OCTAVE NIST FRAP Proses Pendekatan OCTAVE | Manajemenrisiko | Pendekatan FRAP pelaksanaan | dilaksanakan dengan} secara umum dilaksanakan secara secara langsung dilakukan secara bertahap, namun perlu mengimplementasikan | bertahap adanya rapat antara semua tahap yang —_| berdasarkan langkah- | fasilitator, manajer telah ditetapkan pada | langkah yang telah _{ bisnis, dan pimpinan pendekatan OCTAVE. | dibuat tim proyek manajemen risiko. Pihak-pihak | Tim peneliti Pihak-pihek yang Fasilitator , manajer yang terlibat berkepentingan bisnis, dan pimpinan dalam penelitian proyek,53 Tahap-tahap penelitian a. Membangun Aset Berbasis Profil Ancaman b. Mengidentifikasi Kerentanan Infrastruktur ©. Mengembangkan Stralegi Keamanan dan Perencanaan Analisis risiko. Identifikasirisiko. Mencari pengendatian yang tepat atas risiko. a. Pre FRAP Meeting FRAP Session FRAP Analysis and Report Generation Post FRAP Meeting Tabel 2.4 Tabel Perbandingan OCTAVE, NIST, dan FRAP