Ulasan Jurnal Manajemen Proyek Dan Resiko "2"

MANAJEMEN RISIKO KEAMANAN INFORMASI DENGAN MENGGUNAKAN METODE OCTAVE (OPERATIONALLY CRITICAL THREAT, ASSET, AND VULNERABILITY EVALUATION)

 Untuk mencapai tujuan bisnis keamanan informasi, seringkali perusahaan atau organisasi menggunakan Teknologi Informasi (TI) dalam mengelola informasi sebagai basis dalam penciptaan layanan yang berkualitas ataupun dalam optimalisasi proses bisnisnya. Meningkatnya tingkat ketergantungan organisasi pada sistem informasi sejalan dengan  resiko yang mungkin timbul.

  Salah satu risiko yang timbul adalah risiko keamanan informasi, dimana informasi menjadi suatu yang penting yang harus tetap tersedia dan dapat digunakan, serta terjaga keberadaannya dari pihak yang tidak berwenang yang akan menggunakannya untuk kepentingan tertentu atau akan merusak informasi tersebut. teknologi Informasi merupakan sebuah aset penting bagi organisasi yang perlu dilindungi dan diamankan oleh perusahaan dan organisasinya.

  Aset informasi (hardware, software, sistem, informasi dan manusia) merupakan aset yang penting bagi suatu organisasi yang perlu dilindungi dari risiko keamanannya baik dari pihak luar dan dalam organisasi. Keamanan informasi tidak bisa hanya disandarkan pada tools atau teknologi keamanan informasi, melainkan perlu adanya pemahaman dari organisasi tentang apa yang harus dilindungi dan menentukan secara tepat solusi yang dapat menangani permasalahan kebutuhan keamanan informasi). Untuk itu butuh pengelolaan keamanan informasi yang sistemik dan komprehensif. Aspek kebutuhan keamanan informasi harus memuat 3 unsur penting yakni :

1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.

2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), harus terjaga keakuratan dan keutuhan informasi serta

3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait bilamana diperlukan.

  Tiga aspek keamanan rawan terhadap ancaman serangan-serangan yang mengancam keberadaanya baik serangan terhadap sumber-sumber informasi baik secara fisik dan melalui akses secara jaringan.

 Untuk mengatasi risiko keamanan butuh kemampuan dalam pengelolaan/manajemen risiko keamanan informasi untuk itu dibutuhkan pendekatan ilmu manajemen.

1. Framework Manajemen Keamanan Risiko Sistem Informasi

  Evaluasi kegiatan mempertimbangkan apa yang terjadi selama evaluasi, ketika sebuah organisasi yang melakukan evaluasi risiko keamanan informasi, maka untuk melakukan kegiatan :

a) Identifikasi

Mengidentifikasi risiko keamanan informasi (merekam profil risiko dan informasi organisasi)

b) Analisis

Menganalisis risiko untuk menvaluasi risiko dan menentukan prioritas.

c) Monitor

Memantau kemajuan dan efektifitas, kegiatan ini meliputi pemantauan risiko untuk setiap perubahan.

d) Control

Mengontrol pelaksanaanya telah sesuai dengan tindakan korektif, dengan cara menganalsis data, membuat keptusan dan meneksekusi hasil keputusan yang dibuat.

2. Metode OCTAVE

  Untuk mengelola risiko keamanan informasi adalah mengenali apakah risiko organisasi yang menerapkannya. Setelah risiko diidentifikasi, organisasi dapat membuat rencanapenanggulangan dan mengurangi/mitigasi risiko terhadap masing-masing risiko yang telah diketahui. Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) yang dikembangkan Software Engineering Institute, Carnegie Mellon University, 1999 memungkinkan organisasi melakukan hal di atas.

 OCTAVE adalah sebuah pendekatan terhadap evaluasi risiko keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi risiko keamanan informasi. Kriteria OCTAVE memerlukan eveluasi yang harus dilakukan oleh sebuah tim interdisipliner yang terdiri dari personil teknologi informasi dan bisnis organisasi.

 Metode OCTAVE memberikan panduan secara sistemik dan komprehensif dalam manajemen risiko keamanan informasi. Metode ini lebih menekankan pengelolaan risiko berbasis ancaman (threat) dan kelemahan (vulnerability) terhadap aset-aset informasi organisasi meliputi perangkat keras, lunak, sistem, informasi dan manusia diantara semua sistem keamanan informasi pasti memiliki kelemahan dan ancaman yang akan terjadi pada semua aset perangkat yang ada di sistem tersebut.

Kata kunci : teknologi informasi, aset, risiko

Sumber : http://jurnal.unimus.ac.id/index.php/ME/article/view/480/529

Ulasan Jurnal Manajemen Proyek Dan Resiko

Penerapan Cloud

Computing untuk Sistem Informasi di Perguruan

Tinggi Menggunakan Framework COSO ERM dan

FMEA

   Kebutuhan organisasi akan peningkatan efektivitas dan efisiensi bisnis berbasiskan teknologi informasi (TI) semakin tak terelakkan. Begitu pula dengan Perguruan Tinggi (PT) yang membutuhkan dukungan TI dalam rangka bersaing untuk menjadi PT yang unggul. Namun, dengan kondisi krisis finansial yang melanda dan kebijakan yang terus berubah-ubah, PT perlu mencari solusi TI yang lebih inovatif, dinamis, dan bermanfaat secara ekonomi. Kehadiran cloud computing dapat menjawab tantangan tersebut. 

   Cloud computing merupakan inovasi yang memungkinkan penggunaan TI berdasarkan utilitas secara ondemand. Akan tetapi, penerapan suatu TI baru memunculkan beragam risiko. Apalagi dengan menggunakan layanan cloud computing artinya PT melibatkan pihak ketiga atau outsourcing. Oleh karena itu, perlu ada manajemen risiko yang tepat dalam mengidentifikasi, menilai, dan memitigasi risiko terkait penerapan cloud computing. Pada makalah ini, telah berhasil dirancang sebuah model manajemen risiko pada penerapan

cloud computing untuk sistem informasi di PT berdasarkan framework COSO Enterprise Risk Management (ERM) yang didukung oleh Failure Mode and Effects Analysis (FMEA) pada komponen penilaian risiko. Kemudian model diimplementasikan pada tempat studi kasus yang bersangkutan.

  Perguruan Tinggi (PT) merupakan sebuah organisasi akademis, institusi yang memiliki peran dan posisi strategis dalam pencapaian tujuan pendidikan secara makro yang perlu melakukan upaya perbaikan secara terus menerus untuk mewujudkan sumber daya manusia yang berkualitas. Untuk mencapai tujuan tersebut, PT juga membutuhkan dukungan TI dalam menjalankan kegiatan-kegiatannya. Namun, dengan kondisi krisis finansial ekonomi yang melanda, pemotongan anggaran kemungkinan besar terjadi dan berpengaruh pada bidang TI di suatu universitas. Selain itu, terjadi perubahan secara terus menerus terkait kebijakan mengenai PT. Oleh karena itu, PT perlu mencari cara untuk mengoptimalkan efektivitas dan efisiensi dari semua operasi internal maupun interaksi dengan pemangku kepentingan.

   Di samping kebutuhan akan teknologi informasi, organisasi

juga menghadapi beragam peluang dan risiko yang mungkin mempengaruhi secara positif ataupun negatif terhadap pencapaian tujuan mereka. Risiko juga muncul terutama ketika akan menerapkan suatu TI baru ke dalam suatu organisasi. Apalagi cloud computing merupakan ekstensi terbaru dari outsourcing—memanfaatkan sumber daya dari pihak ketiga. Pernyataan ini diperkuat oleh Mircea dan Andreescu (2011) yang menyatakan bahwa pengambilan keputusan untuk menggunakan cloud computing perlu memperhitungkan risiko terkait implementasi solusi. Oleh karena itu, agar dapat menangani risiko-risiko ini secara memadai, merupakan suatu prasyarat untuk merancang dan menerapkan sistem manajemen risiko yang disesuaikan dengan cerminan atribut spesifik dan karakteristik dari organisasi tertentu, serta memperhitungkan risk appetite.

   Maka untuk mencapai tujuan PT yang didukung oleh TI, perlu ada manajemen risiko yang tepat untuk penerapan cloud computing guna meningkatkan performa PT. Oleh karena itu, pada makalah ini, akan dirancang suatu model manajemen risiko pada penerapan teknologi cloud computing untuk sistem informasi di PT.

A. Cloud Computing

  Cloud computing merupakan sebuah model bayar-sesuai penggunaan

pay-per-use) dalam menggunakan sumber daya komputasi (jaringan, server, penyimpanan, aplikasi, layanan) Jurnal Sarjana Institut Teknologi Bandung Bidang Teknik Elektro dan Informatika Volume 1, Number 2, Juli 2012 yang selalu tersedia, mudah diakses, dan bergantung pada jaringan (on-demand) yang dapat diakses oleh banyak pengguna; yang dapat secara cepat dipakai dan dilepaskan dengan usaha manajemen atau interaksi penyedia (provider)layanan yang minimal. Berdasarkan NIST, Ada lima karakteristik cloud computing, yaitu: On demand self-service, Broad Network Access, Resource Pooling, Rapid Elasticity, dan Measured Service.

B. Risiko dan Manajemen Risiko

   Risiko memiliki arti yang bermacam-macam sesuai konteks yang dirujuk atau sudut pandang yang digunakan. HM Treasury mendefinisikan risiko sebagai ketidakpastian dari suatu hasil, apakah peluang positif atau ancaman (threat) negatif dari aksi maupun kejadian. Risiko harus dapat dinilai mematuhi kombinasi dari semua kemungkinan dari hal yang akan terjadi dan dampak yang

akan muncul bila hal tersebut terjadi. Stoneburner dkk (2002) menyebutkan bahwa risiko adalah dampak negatif yang diakibatkan dengan adanya kerentanan (vulnerability), berdasarkan pertimbangan dari probabilitas maupun dampak kejadian. Dari beberapa pengertian yang telah disebutkan, risiko dapat diartikan sebagai dampak negatif dari suatu ancaman yang mengeksploitasi kerentanan yang apabila terjadi, akan merugikan. Risiko terkait TI merupakan adalah suatu pengukuran kuantitatif dari kerugian atau kerusakan yang disebabkan oleh ancaman (threat), vulnerability, atau oleh suatu kejadian (event: malicious atau non malicious) yang berpengaruh pada kumpulan aset TI yang dimiliki oleh organisasi.

C. COSO ERM

   COSO mendefinisikan Enterprise Risk Management (ERM) sebagai proses yang dipengaruhi oleh entitas dewan direksi, manajemen dan personil lainnya, diterapkan pada pengaturan strategi dan di seluruh perusahaan yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat mempengaruhi entitas, dan mengelola risiko untuk tetap berada pada risk appetite-nya, untuk memberikan keyakinan yang memadai mengenai pencapaian tujuan entitas. Framework COSO ERM merupakan kubus 3-dimensi, selain sisi depan yang terdiri dari 8 komponen, sisi atas merupakan objektif manajemen risiko dan sisi samping kubus merupakan komponen entitas. ERM versi COSO terdiri dari 8 komponen yang saling terkait, yaitu: Lingkungan Internal (Internal Environment), Penetapan Tujuan (Objective Setting), Identifikasi Kejadian (Event Identification), Penilaian Risiko (Risk Assessment), Respon Risiko (Risk Response), Aktivitas Pengendalian (Control Activities), Informasi dan komunikasi (Information and Communication), Pemantauan (Monitoring).

D. FMEA

   Failure Mode and Effects Analysis (FMEA) adalah pendekatan yang proaktif, berbasiskan tim, dan sistematis untuk mengidentifikasi kemungkinan kegagalan suatu proses atau desain, mengapa hal tersebut mungkin gagal, dan bagaimana cara agar membuatnya lebih aman. Metode yang digunakan pada FMEA ialah dengan melakukan kalkulasi terhadap risk priority numbers (RPN) untuk setiap tipe kegagalan. RPN merupakan hasil akumulasi dari severity, opportunity, dan detection untuk mengklasifikasikan efek dari tipe potensi kegagalan. Hasil dari analisis ialah tabel FMEA yang mendaftarkan semua tipe kegagalan bersamaan dengan kemungkinan efek pada sistem atau subsistem yang dikategorikan berdasarkan tiga karakteristik tersebut di atas. Istilah yang sering digunakan terkait FMEA ada 3, yaitu:

1. Failure cause

   Proses secara fisik atau kimiawi, cacat pada desain, cacat pada kualitas, kesalahan aplikasi komponen, atau proses lain yang menjadi dasar penyebab suatu kegagalan atau yang menginisiasikan proses fisik menjadi semakin buruk hingga gagal (past-yang lalu).

2. Failure effects

   Konsekuensi dari failure mode kepada operasi, fungsi, atau status dari sistem atau peralatan (future-yang akan datang).

3. Failure mode

   Cara kegagalan diamati, mendeskripsikan terjadinya kegagalan, dan dampaknya terhadap peralatan operasional (present-yang terjadi saat ini).

Kata kunci: Manajemen risiko, COSO ERM, FMEA.

sumber : https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=12&ved=0CDEQFjABOAo&url=http%3A%2F%2Fwww.kelair.bppt.go.id%2FJtl%2Findex.html&ei=XAP9ULP3LsXrrQe894CQDw&usg=AFQjCNHZyXLu_XhBhejB0pgp0T5l3ibXfg&bvm=bv.41248874,d.bmk&cad=rja