Rancangan IT Security
Content
Rancangan IT security Policy
Bisnis sangat memerlukan keamanan informasi seiring dengan semakin meningkatnya ancaman pada keamanan sistem informasi pada akhir-akhir ini dan kemajuan teknologi yang semakin pesat. Dalam perancangan suatu IT Security Policy, konsep yang efektif adalah dengan membuat dokumen kebijakan (policy) yang mencakup semua informasi yang berdasarkan keamanan, hal ini mencakup pengguna (user) tertentu dan membuat proses yang efisien untuk semua orang. Banyak metode bisa digunakan dalam perancangan IT security policy, banyak faktor yang perlu dipertimbangkan termasuk pengguna (user) dan bisnis perusahaan serta ukuran perusahaan tersebut. Berikut ini adalah pembahasan singkat (dasar) mengenai apa saja yang perlu dipertimbangkan dalam rancangan IT security Policy. Tujuan dasar dari suatu kebijakan (Policy); 1. Melindungi pengguna (user) dan informasi 2. Membuat aturan sebagai arahan untuk pengguna (user), sistem administrator, manajemen dan petugas keamanan sistem informasi (IT security) 3. Menetapkan petugas keamanan untuk pengawasan, penyelidikan atau pemeriksaan 4. Membantu mengurangi resiko yang mungkin akan muncul 5. Membantu arahan kepatuhan pada peraturan dan undang-undang 6. Menetapkan peraturan resmi perusahaan mengenai keamanan Siapa yang akan menggunakan IT security Policy; 1. Manajemen – pada semua tingkatan 2. Technical staff – sistem administrator dan lainny 3. Pengguna (user) Keamanan data akan sangat membantu user untuk pengawasan dan memastikan informasi tersebut aman dari gangguan ataupun ancaman dari pihak yang tidak berhak. Ada 3 aspek mengenai data security, sebagai berikut; Confidentiality; melindungi informasi dari orang luar yang tidak berhak, atau penghapusan informasi. Integrity; melindungi informasi dari modifikasi yang tidak berhak dan memastikan informasi tersebut akurat dan lengkap Availability; memastikan informasi tersedia ketika dibutuhkan Data-data tersebut disimpan dalam tempat yang beragam seperti server, PC, laptop, CDROM, Flash disk, Media backup dan lainnya. Kemungkinan yang bisa menjadi penyebab data-data tersebut hilang adalah
1. 2. 3. 4. 5.
Natural Disaster (seperti kebakaran, banjir, dan lainnya) Virus Kesalahan manusia (human errors) Software malfunction (kesalahan software) Hardware dan software malfunction
Dalam pembuatan kebijakan, berikut contoh topik yang termasuk dalam isi IT Security Policy adalah sebagai berikut A. Kebijakan untuk pengguna umum (end users)
• • • •
Penggunaan CD, Flash disk Password Backup File
B. Kebijakan untuk Departemen
• • •
Tentang prosedur keamanan tempat kerja, telephone alarm pengetahuan tentang keamanan sistem informasi
C. Kebijakan untuk Administrator
• • • • • • • • •
Pembelian hardware Pengawasan hak akses Jaringan komputer Operating System (OS) Software Cyber crime Backup LAN Perlindungan terhadap virus
D. Kebijakan untuk DBA
• • •
Transfer dan perubahan data Penyimpanan data Database
Contoh sederhana IT Policy (bag. 1)
Berikut adalah contoh IT policy pada perusahaan kecil – menengah IT POLICY
PENDAHULUAN IT Policy ini ditujukan untuk memastikan perlindungan yang efektif dan pemakaian system computer yang benar di <nama perusahaan> Pelanggaran terhadap IT Policy dapat mempengaruhi operasional dari <nama perusahaan> dan semua pelanggaran akan di tanggapi secara serius BAB I – SISTEM KOMPUTER A. AKSES KE JARINGAN KOMPUTER (NETWORK ACCESS) Manajemen jaringan komputer, administrasi dan perawatannya di <nama perusahaan> adalah tanggung jawab dari divisi IT. Akses ke dan pemakaian server dibatasi hanya untuk pegawai atau orang-orang yang mempunyai hak akses. Penanggung Jawab: Divisi IT B. PERANGKAT KERAS (HARDWARE) a. Pemakaian pribadi untuk system komputer (Personal use of Computer System) i. PC dan komputer notebook tidak boleh ditinggal tanpa ditunggu untuk waktu yang lama dengan kondisi signed-on. Pemakai harus mematikannya atau meng-aktifkan password dari screen saver pada saat meninggalkan PC nya ii. PC dan komputer notebook digunakan hanya untuk keperluan bisnis, pemakaian untuk personal hanya dalam batas-batas tertentu yang bisa diterima. Pemakain untuk personal yang tidak diizinkan adalah seperti
• •
Pemakaian yang bertentangan dengan user job description Dapat mengganggu performance komputer atau jaringan komputer
iii. Pegawai tidak boleh menggunakan system <nama perusahaan> atau internet untuk kegiatan perdagangan yang tidak ada hubungannya dengan bisnis <nama perusahaan>Aktifitas yang terlarang adalah seperti Jual-beli lewat internet, transaksi mata uang asing, menjual barang-barang pribadi Penanggung Jawab: Semua karyawan b. Komputer bersama (Sharing PCs) i. Komputer bersama disediakan untuk karyawan yang tidak mempunyai komputer seperti supir, petugas kebersihan di kantor pusat ii. Semua peraturan IT policy dan prosedur berlaku terhadap komputer ini
Penanggung Jawab: Semua karyawan c. Notebook i. Tindakan pencegahan harus diambil untuk melindungi peralatan dari kerusakan, kehilangan atau kecurian. Peralatan tidak boleh ditinggal tanpa ditunggu di tempat umum. Kerusakan, kehilangan atau kecurian harus segera dilaporkan ke divisi IT ii. Software Anti-virus harus di install di semua komputer notebook
iii. Data harus di back up secara berkala dan pemakai notebook harus memastikan bahwa data dalam komputer notebooknya sudah di lakukan back up iv. Notebook atau Laptop pribadi dilarang digunakan di lingkungan kantor <nama perusahaan> karena alasan kerahasiaan data dan system v. Karyawan harus memberitahukan divisi IT jika mau meminjam notebook atau laptop dengan persetujuan manager yang bersangkutan Penanggung Jawab: Semua karyawan yang mempunyai notebook C. PERANGKAT LUNAK (SOFTWARE DAN SOFTWARE APPLICATIONS) i. Software tidak boleh di gandakan, dihapus atau di transfer ke pihak ketiga atau kepada peralatan bukan organisasi seperti PC pribadi tanpa izin tertulis dari <nama perusahaan> ii. Hanya software yang telah diizinkan oleh divsi IT dapat digunakan dalam PC dan komputer notebook dan dihubungkan ke jaringan komputer <nama perusahaan> iii. Downloading dari file executables (.exe) atau software dari internet adalah terlarang tanpa ada izin tertulis dari IT manager. iv. Peninjauan ulang terhadap software akan dilakukan secara berkala dan software yang tidak diizinkan akan di selidiki. <nama perusahaan> mempunyai hak untuk menghapus semua file atau data dari system IT termasuk semua informasi yang tidak sah (illegal ) Penanggung Jawab: Semua karyawan D. DATA / INFORMASI ELEKTRONIK / KERAHASIAAN i. Data rahasia yang disimpan dalam media komputer (seperti floppy disk) harus di simpan secara aman pada saat tidak digunakan
ii. PC atau notebook yang akan di disposal, data dalam hard disk harus dihapus sebelum di distribusikan keluar <nama perusahaan> Penanggung Jawab: Divisi IT E. DATA BACK UP Data harus di back-up ke dalam jaringan komputer secara teratur dan pemakai notebook harus memastikan bahwa data dalam notebook mereka sudah dilakukan back-up Penanggung Jawab: Divisi IT untuk server dan karyawan yang bertanggung jawab terhadap aplikasi tersebut (seperti Accurate Accounting System) F. ANTI VIRUS i. Kerusakan data atau software dalam PC atau notebook yang disebabkan oleh software jahat (seperi virus komputer atau worm) harus dilaporkan ke IT division ii. Pemakai tidak diizinkan untuk mematikan atau menghapus software antivirus dalam kondisi apapun iii. Screen saver yang tidak layak tidak diizinkan digunakan, karena bisa menjadi potensial virus komputer. Jika merasa ragu hubungi divisi IT Penanggung Jawab: Semua Karyawan BAB II – PEMAKAI KOMPUTER (COMPUTER USERS) A. USER IDENTIFICATIONS AND PASSWORDS i. Setiap pemakai mempunyai user name dan password pribadi. Password digunakan untuk logon dan tidak boleh di tulis atau diperlihatkan kepada orang lain. Pemilik user name dan password akan bertanggung jawab terhadap semua hal yang terjadi atau dilakukan dengan menggunakan user name tersebut. ii. Permintaan untuk Account atau pemakai komputer yang baru dan untuk pemutusan account computer yang ada harus diketahui oleh IT Manager. Permintaan penambahan akses untuk bisnis aplikasi tertentu seperti Financial account harus diketahui secara tertulis oleh IT Manager dan dengan pemilik aplikasi tersebut. iii. Karyawan yang pindah ke posisi baru atau lokasi baru harus memberitahukan IT Manager. Hal ini diperlukan untuk mempersiapkan akses email yang tepat dan file server yang sesuai. iv. Line manajemen harus memberitahukan IT Manager untuk setiap perubahan pegawai yang mempunyai efek dengan keamanan system.
Contoh: Seorang yang mempunyai akses ke client informasi yang rahasia dan kemudian pindah ke tempat baru dimana akses tersebut tidak diperlukan. v.Semua pemakai atau user harus mengikuti peraturan password sebagai berikut;
• • • • •
Minimum panjang password adalah 8 character Menggunakan kombinasi dari Alpha dan numeric User diharuskan mengganti passwordnya setiap 6 bulan User tidak boleh mengulang kode password yang pernah digunakan Account akan di lock setelah 3 kali melakukan login yang salah
B. AKSES KE INFORMASI PERUSAHAAN (ACCESS TO COMPANY INFORMATION) 1. Semua informasi yang ada dalam jaringan komputer termasuk email, file system dan database adalah milik dari <nama perusahaan> dan pegawai tidak mempunyai hak milik atas data-data tersebut 2. <nama perusahaan> mempunyai hak untuk mengawasi file-file yang disimpan, email dan akses internet untuk tujuan system performance perawatan, auditing, keamanan data atau investigasi terhadap fakta-fakta dari pelanggaran hukum atau gangguan terhadap peraturan <nama perusahaan> 3. Permintaan untuk akses ke account komputer pegawai yang tidak masuk kantor harus ditujukan ke IT Manager secara tertulis dengan sepengetahuan manager yang bersangkutan. Akses yang diberikan akan merubah password dari users dan memberikan akses ke Manager yang berhak atau rekannya untuk mengakses account tersebut secara langsung. 4. Semua pegawai dilarang memberikan informasi apa saja kepada pihak ketiga kecuali mempunyai izin untuk itu 5. User hanya diizinkan untuk mengakses informasi electronic dan data yang mereka perlukan untuk menjalankan pekerjaannya 6. Jika ada informasi rahasia yang hilang, apakah karena notebook nya hilang, media backup, atau pelanggaran keamanan lainnya, maka divisi IT harus diberitahu segera 7. Semua komputer harus di matikan pada akhir hari kecuali server Penanggung Jawab: Semua Karyawan BAB III – EMAIL / INTERNET A. EMAIL 1. User email harus berhati-hati dengan external attachment selain yang diterima dari sumber yang dipercaya karena attachment ini bisa berisi virus komputer 2. Software email yang di install di <nama perusahaan> akan digunakan hanya untuk bisinis dan terlarang untuk tujuan pribadi
3. User email harus mengerti dengan resiko yang mungkin timbul akibat dari mengirim informasi rahasia atau sensitif informasi 4. User harus yakin bahwa dokumen yang dilampirkan melalui email bukan dilindungi oleh hak cipta 5. Isi dari Email harus yang sewajarnya dan professional 6. Email yang sifatnya menfitnah tidak diizinkan 7. Users harus mengetahui tanggung jawabnya dalam perlindungan data dan tidak boleh menggunakan email untuk mengirim data ke pihak ketiga 8. Semua email yang dikirim keluar harus mengikutsertakan standar <nama perusahaan> disclaimer. User tidak diizinkan mengirim disclaimer mereka sendiri melalui email Penanggung Jawab: Semua Karyawan B. INTERNET 1. Semua pegawai harus bertanggung jawab untuk pemakaian Internet secara professional, etika dan sah secara hukum. 2. Pegawai harus berhati-hati ketika melakukan pembayaran dengan internet, karena keamanan dari credit card yang tidak dapat dijamin. <nama perusahaan> tidak mempunyai kewajiban karena masalah yang muncul akibat pemakaian financial personal (seperti nomor credit card) melalui internet 3. Semua akses ke internet melalui jaringan komputer <nama perusahaan> akan melalui channel yang telah disetujui dan aman dengan menggunakan firewall 4. User dianjurkan tidak menggunakan password yang sama untuk website internet dengan system internal dari <nama perusahaan> 5. <nama perusahaan> mempunyai hak untuk meninjau ulang, audit, menangkap, akses atau menutup semua akses ke internet. Hal ini termasuk mengirim email dan menerima email dan file yang didownload dari internet Penanggung Jawab: Semua Karyawan BAB IV – PELANGGARAN TERHADAP IT POLICY DAN PROSEDUR 1. Karyawan yang melanggar Policy ini akan mendapat hukuman dari IT, termasuk pengurangan atau penghapusan secara sementara atau selamanya untuk sebagian atau semua hak pakai atau akses IT 2. Karyawan bisa dikenakan tuntutan kejahatan, civil liability, atau keduanya untuk pelanggaran pemakaian yang melanggar hokum terhadap semua system IT 3. Karyawan harus membayar sejumlah uang dari data yang hilang dan di klaim oleh seseorang atau pihak ketiga 4. Karyawan harus membayar sejumlah uang dari PC atau notebook yang hilang atau kecurian Dengan ini, saya telah membaca dan memahami isi IT Policy ini.
Jakarta, ….
Virtual Office
February 25, 2011 by heri sutrisno Leave a Comment Jika anda termasuk orang yang mau memulai suatu usaha, salah satu bagian yang menjadi pertimbangan adalah kantor. Dengan adanya kantor maka anda akan mempunyai alamat yang jelas serta bisa dihubungi oleh pelanggan atau calon pelanggan anda. Tetapi biaya sewa kantor yang permanen tentunya membutuhkan biaya yang tidak sedikit, sedangkan usaha anda belum berjalan dengan semestinya, belum termasuk biaya pegawai, alat-alat kantor dan sebagainya. Virtual Office atau kantor virtual akan menjadi solusi anda, dimana pengaturan suatu kantor virtual memungkinkan pemilik bisnis dan karyawan untuk bekerja dari lokasi manapun dengan menggunakan teknologi seperti komputer laptop, ponsel dan akses internet. Sebuah kantor virtual dapat memberikan penghematan yang signifikan dan fleksibilitas dibandingkan dengan menyewa ruang kantor tradisional. Memiliki ruang kantor virtual akan bermanfaat untuk pemilik usaha kecil atau pengusaha dengan satu atau dua staf yang tidak memerlukan akomodasi dari kantor pengaturan skala penuh. Individu yang menggunakan kantor virtual dapat memilih untuk mempekerjakan karyawan yang bekerja dari rumah serta membayar layanan penjawab telepon untuk menangani semua panggilan bisnis. Banyak orang yang bekerja di luar kantor virtual menggunakan laptop untuk lebih memobilisasi pekerjaan mereka dan memanfaatkan kantor virtual bisnis yang ditawarkan seperti OFIS 3 (lihat www.ofis3.com) Sebuah kantor virtual menawarkan ruang untuk mengadakan rapat dengan klien, yang merupakan nilai tambah bagi bisnis yang memiliki klien dengan kontak pribadi sebagai faktor penting ketika melakukan interaksi bisnis. Rapat dapat dilakukan melalui konferensi telekonferensi dan video, dan dokumen dapat ditransmisikan secara elektronik. Beberapa perusahaan bahkan memberikan layanan kantor virtual untuk memberikan kantor virtual prestise yang berhubungan dengan kantor fisik, seperti alamat-penting terdengar, layanan telepon-penjawab profesional dan bahkan sesekali sewa ruang kantor dan ruang pertemuan. Sebuah kantor virtual memadukan rumah dan bekerja untuk mendapatkan efisiensi dalam keduanya. Beban kantor rendah, sedangkan profesionalisme yang mempertahankan citra kantor tradisional dengan biaya tinggi. Seorang pengguna kantor virtual dapat mengurangi dampak lingkungan negatif mereka, dengan bolak-balik setiap hari. Klien kantor virtual memiliki fleksibilitas untuk menyesuaikan pengeluaran dengan fluktuasi pendapatan langsung, karena biasanya biaya variabel. Sebuah kantor virtual dapat memungkinkan ekspansi murah tanpa komitmen jangka panjang.
Beberapa contoh pengusaha yang memanfaatkan kantor virtual adalah sebagai berikut; 1. 2. 3. 4. Pengusahan yang berbasis di rumah Akuntan Pengacara Perusahaan Hukum
5. Perdagangan (Home industri jasa: Atap, listrik, Instalasi, konstruksi, perbaikan / merombak, dll) 6. 7. 8. 9. Dokter / Dokter Gigi Therapist Konsultan bisnis Mediator / resolusi konflik
10. Perusahaan asing 11. Kamar Dagang 12. Real estate 13. perusahaan hipotek 14. Broker saham / perencana keuangan 15. Koleksi lembaga 16. Jaringan kelompok Salah satu penyedia kantor virtual adalah OFIS 3 (www.ofis3.com) , dengan beberapa manfaat seperti berikut • • • • Tidak memerlukan modal besar Tidak perlu membayar gaji pegawai Indentitas bisnis prestisius layanan pribadi handal dan terpercaya
Memulai sebuah bisnis diperlukan sarana pendukung yang tepat. OFIS 3 dengan keunggulannya hadir sebagai mitra profesional yang membuat anda dapat lebih fokus pada bisnis anda. OFIS 3 ( www.ofis3.com ) adalah mitra bagi: • • Pengusaha bisnis online Pengguna ruang rapat yang berlokasi di pusat bisnis Jakarta
• Pebisnis yang tidak memiliki ruang kantor fisik, namun memerlukan meeting point bagi para relasi • Individu yang bekerja di rumah tetapi memerlukan identitas resmi
• Pebisnis yang memerlukan identitas kantor resmi tetapi tidak memiliki anggaran untuk kantor fisik • Pebisnis yang baru memulai usaha, masih dalam tahap menguji pasar dan belum dapat mengeluarkan biaya untuk mendirikan sebuah kantor permanen *** dari berbagai sumber Filed under IT Management
Deskripsi Pekerjaan (Job Description) untuk IT Manager (contoh)
February 25, 2011 by heri sutrisno Leave a Comment 1. TUJUAN / PURPOSE a. Untuk mengelola pekerjaan Teknologi Informasi (TI) dalam operasional sehari-hari dalam lingkungan perusahaan b. Memberikan solusi dan konsultansi teknologi untuk mencapai tujuan dan strategi bisnis perusahaan 2. DIMENSI / DIMENSION a. Bertanggung jawab langsung pada Direktur …..
b. Bekerja sama dengan pimpinan bisnis unit lain dalam memberikan konsultansi, rekomendasi tentang rencana kerja yang akan datang dan pengembangan sumber daya teknologi seperti hardware, infrastruktur, telekomunikasi, dan lainnya. c. d. Jumlah staff = ………. Orang Dimensi area = ………..(sebutkan berapa jumlah kantor cabang yang di support)
3. TUGAS DAN TANGGUNG JAWAB / DUTIES AND RESPONSIBILITIES a. Mengelola Teknologi Informasi dan sistem komputer
i. Bertanggung jawab pada kesiapan dan ketersediaan sistem komputer / aplikasi dalam lingkungan perusahaan ii. Membuat dan/atau implementasi semua sistem dan aplikasi
iii. Merancang, mengelola dan mengawasi serta meng-evaluasi operasional dari sistem informasi (software dan aplikasi) dan pendukungnya (hardware, infrastruktur, telekomunikasi) iv. Membuat dan mengimplementasikan kebijakan dan prosedur TI (IT policy) termasuk kebijakan keamanan TI (IT security policy) v. Berkerja sama dengan TI vendor untuk merancang , membuat dan mengimplementasikan sistem atau aplikasi jika diperlukan vi. b. Membuat dan mengawasi anggaran TI (budget) dan expenditures Memberikan solusi Teknologi Informasi
i. Bertanggung jawab pada penyediaan layanan infrastruktur termasuk aplikasi, jaringan komputer (LAN / WAN), keamanan Teknologi Informasi dan telekomunikasi ii. Memberikan rekomendasi tentang solusi sistem informasi dan pendukungnya
iii. Memberikan orientasi kepada pegawai baru mengenai aplikasi atau sistem yang digunakan saat ini dan rencana atau strategi TI secara umum iv. v. c. Merancang dan membuat TI DRP (Disaster Recovery Plan) Memberikan arahan pada bawahan mengenai penggunaan dan solusi teknologi Pengawasan dan perawatan Teknologi Informasi
i. Bekerja sama dengan senior manajemen untuk membuat, merancang pelayanan TI dalam dokumen Service Level Agreements ii. Memberikan laporan bulanan kepada Direktur Keuangan mengenai semua aspek dari departemen TI (Teknologi Informasi) 4. FAKTOR KEBERHASILAN / KEY SUCCESS FACTOR Seorang IT manager dianggap berhasil dalam pelaksaan tugasnya, dengan memiliki keahlian dan pengetahuan sebagai berikut; a. Pengetahuan
i. Berpengalaman dalam perancangan dan pengembangan infrastruktur TI ii. Memiliki pengetahuan dalam mengelola departemen TI (managing the IT Department) iii. b. Memiliki pengetahuan tentang Project Management Process Keahlian
i. Mempunyai keahlian kepemimpinan yang kuat (management dan supervisory skill) ii. Mengetahui secara umum instalasi dan administrasi hardware, software dan jaringan iii. iv. v. vi. c. Mempunyai kemampuan berkerja secara tim (team work) Mempunyai kemampuan analisa dan penyelesaian masalah Mempunyai kemampuan dalam pembuatan keputusan (decision making) Kemampuan berkomunikasi secara verbal maupun tulisan Personal
i. Kemampuan dalam melaksanakan tugas dalam tekanan kerja yang tinggi ii. Jujur dan dapat dipercaya iii. Felsibel terhadap kondisi dan lingkungan kerja iv. Memiliki kepedulian dan sensitif terhadap kebutuhan bisnis 5. HUBUNGAN KERJA / WORKING RELATIONSHIP
a.
Internal
i. Bekerja sama dengan pimpinan binis unit lain dalam perancangan, rekomendasi dan konsultasi terhadap solusi teknologi ii. Bekerja sama dengan senior manajemen dalam perancangan strategi TI untuk mendukung keberhasilan tujuan perusahaan iii. Bekerja sama dengan HR dalam pengembangan karir staff serta pemilihan staff TI baru iv. v. b. i. Bekerja sama dengan tim Legal dan HR dalam pembuatan kebijakan TI Bekerja sama dnegan procurement dalam pengadaan inventory TI Eksternal Bekerja sama dengan vendor dalam pembuatan aplikasi (jika diperlukan)
ii. Bekerja sama dengan konsultan dalam pengembangan, solusi serta peningkatan kinerja departmen TI (Teknologi Informasi) iii. Bekerja sama dengan Internet provider dalam pengelolaan internet dan telekomunikasi 6. INFORMASI LAIN / ADDITIONAL INFORMATION a. b. Kompetensi teknikal / Technical Competencies – 30 % Kompetensi manajerial / Management Competencies – 70%
Filed under IT Management
IT Disaster Recovery Plan
April 22, 2010 by heri sutrisno Leave a Comment Selama tahun 1980-an, istilah Disaster Recovery (DR) menjadi terkenal sebagai definisi untuk membangun ulang dan pemulihan akibat bencana. Sedangkan focus utama daripada disaster recovery dapat disimpulkan dalam satu kata, yaitu rebuilding atau pembangunan ulang. Dalam tahun 1988, the Disaster Recovery Institute International (DRII) dibuat dan kemudian mengeluarkan daftar dari praktek professional untuk perencanaan disaster recovery . Tujuannya untuk membantu organisasi dengan rencana mereka untuk
memastikan bahwa mereka bisa membangun kembali dan memulihkan fasilitas mereka dan peralatan akibat dari bencana. Bencana atau gangguan yang menyebabkan sumber daya kritikal informasi menjadi tidak bisa dijalankan dalam periode tertentu sangat berpengaruh pada operasional organisasi. Ancaman yang paling besar terhadap kelangsungan organisasi apapun terpusat pada kelangsungan financial mereka. Salah satu yang perlu diperhatikan dari semua kondisi yang telah diukur adalah sebagai berikut;
• • • •
Organisasi tidak melanggar perjanjian kemitraan yang penting Investor tidak mengurangi stok nya dengan melakukan penjualan murah dan cepat Pelanggan tetap melanjutkan bisnis tanpa ragu-ragu atau membatalkan pesanannya Rekan bisnis tetap melanjutkan pekerjaannya dengan persyaratan sebelumnya sesuai dengan kontrak tanpa meminta persyaratan baru atau menunda pelayanan
Kegagalan dari kondisi tersebut bisa melemahkan struktur organisasi dan kemampuan manajemen untuk melanjutkan operasional. Kebanyakan semua aktifitas dalam Disaster Recovery (DR) fokus dalam pembangunan ulang untuk menyamakan reputasi bisnis sebelum bencana. Tetapi semua itu bisa menjadi sia-sia tanpa pelanggan anda dan aliran penghasilan yang dibuat karena pemebelian mereka. Bencana dapat disebabkan oleh bencana alam, seperti gempa bumi, banjir, tornado, kebakaran yang dapat mengakibatkan kerusakan pada fasilitas secara umum. Bencana lain juga bisa disebabkan oleh gangguan yang terjadi pada pelayanan seperti sumber listrik, telekomunikasi, persedian gas, atau pelayanan lain yang tidak bisa diberikan pada perusahaan karena bencana alam atau sebab lainnya. Tidak sama dengan Disaster Recovery (DR), fokus Business continuity (BC) adalah revenue. Selama organisasi mempunyai waktu dan uang, organisasi tersebut dapat melanjutkan fungsinya. Business continuity fokus pada memasukkan banyak uang di bank, walaupun jika bisnis tidak mengirim produk. Tujuan utama dari business continuity (BC) adalah untuk memastikan bahwa fungsi bisnis utama dapat dijalankan dengan cara minimal atau tanpa hambatan. Secara umum, konsep Business Continuity (BC) adalah sama dengan gabungan dari disaster recovery planning ditambah dengan business continuity. Tergantung dengan kompleksitas perusahaan, bisa jadi satu atau lebih rencana untuk mencatat beberapa aspek dari business continuity dan disaster recovery.Walaupun dengan proses yang sama dari organisasi yang sama bisa saja dibedakan oleh lokasi geografi. Solusi yang disarankan bisa berbeda. Business Continuity Planning (BCP) adalah sebuah proses yang dirancang untuk mengurangi resiko bisnis pada organisasi yang muncul dari gangguan yang tidak diharapkan. Hal ini termasuk sumber daya manusia atau material yang mendukung
kritikal fungsi atau operasional dan kepastian dari kelangsungan pelayanan, paling tidak pada tingkat yang minimal. Langkah pertama dalam persiapan rencana business continuity baru adalah mengidentifikasi bisnis proses dari strategi yang penting, dimana proses utama tersebut adalah ber tanggung jawab pada perkembangan dari bisnis dan untuk memenuhi tujuan bisnis. Business Continuity Planning (BCP) adalah tanggung jawab utama dari senior manajemen, sehingga mereka dipercaya dengan mengamankan asset dan kelangsungan organisasi. Business Continuity secara umum diikuti oleh bisnis dan unit pendukung untuk memberikan pelayanan minimum pada saat ada gangguan dan ketika pemulihan dilakukan. Rencana harus mencakupi semua fungsi dan asset yang diperlukan untuk melanjutkan kelangsungan organisasi. Business continuity planning mempunyai beberapa pertimbangan sebagai berikut;
• •
Kritikal operasional yang sangat penting untuk kelangsungan organisasi Sumber daya manusia dan material yang mendukung nya
Selain perencanaan untuk kelangsungan operasional, BCP termasuk;
• •
Disaster Recovery Plan yang digunakan untuk memperbaiki fasilitas yang tidak bisa dioperasikan, termasuk relokasi operasional ke lokasi yang baru Rencana perbaikan yang digunakan untuk mengembalikan operasional ke kondisi normal dimana akan dioperasikan di lokasi baru
Bencana (Disaster) adalah gangguan yang menyebabkan sumber daya informasi tidak bisa dioperasikan selama waktu tertentu dan mempunyai dampak yang tidak baik dalam operasional organisasi. Disaster Recovery (DR) adalah bagian dari business continuity, dan berhubungan dengan pengaruh langsung dari bencana. DR biasanya mempunyai beberapa tahapan perencanaan, walaupun kadang-kadang tahapan tersebut menjadi kabur dalam implementasinya karena situasi selama krisis hampir sangat berbeda dengan rencana. Disaster recovery mencakupi penghentian dampak dari bencana secepat mungkin dan menjalankan alternatif lain segera. Seperti halnya mematikan server yang terkena gangguan, evaluasi sistem yang terkena dampak seperti banjir atau gempa bumi dan menetapkan cara yang terbaik dalam pelaksanaannya. Berikut ini adalah siklus dari perencanaan, implementasi dan penilaian yang menjadi bagian daripada siklus perawatan BC/DR .
Filed under IT Management
IT Department YANG Efektif
February 22, 2010 by heri sutrisno 3 Comments Untuk mengimplementasikan manajemen efektif untuk departemen IT, diperluakan kepimpinan yang benar dan perjanjian serta dukungan dari senior atau Top manajemen. Berikut ini adalah langkah-langkah yang bisa sebagai contoh untuk membuat IT Departemen lebih efektif serta pada akhirnya akan membantu pencapain tujuan bisnis. Jika saat ini Departemen IT anda dirasakan belum efektif, mungkin langkah perbaikan berikut ini bisa membantu. 1. Meningkatkan manajemen IT a. Implementasikan IT Steering Committee, untuk memberikan arahan pada IT direktur b. Upgrade manajemen IT dengan mengangkat IT direktur yang baik c. Bersihkan struktur organisasi IT; berikan batas yang jelas antara aplikasi manajemen dan operasional d. Setiap staff IT harus mempunyai tugas dan tanggung jawab yang jelas 2. Project Management yang disiplin a. Buat dokumentasi master untuk daftar projek-projek IT b. Tentukan ROI untuk tiap projek c. Projek yang tidak memberikan hasil revenue, pengurangan biaya atau menigkatkan pengawasan bisnis, bisa dibatalkan d. Prioritaskan projek berdasarkan manfaat, kesulitan, dan kecukupan dari sistem yang ada 3. Pengaturan Vendor a. Tentukan vendor yang baik, rekan bisnis yang baik akan membantu meningkatkan produktivity b. Negosiasi dengan vendor untuk mendapatkan harga yang baik, dan awasi mereka selama dan sesudah pekerjaan untuk support c. Tanya vendor, bagaimana dia mengukur kepuasan pelanggan 4. Fiscal Management / Budget a. Tentukan bahwa perusahaan akan mendapatkan (contoh) Rp 100.000 untuk setiap pengeluaran Rp 10.000 dari pengeluaran IT b. Jika ada perbedaan budget, secara proaktif jelaskan pada senior manajemen c. Bangun hubungan yang baik dengan CFO 5. Tingkatkan hubungan kerja dengan bisnis
a. Hindari saling tunjuk antara IT dan bisnis, dengan cara staff IT duduk dengan bisnis yang di support sekali seminggu b. IT direktur melakukan makan siang dengan bisnis unit manajer , manajer operasional atau anggota IT Steering Committe. c. Tugaskan IT Business manager untuk mempelajari lebih dalam mengenai bisnis dan solusinya Filed under IT Management
Pentingkah Tata Kelola Keamanan Informasi?
February 22, 2010 by heri sutrisno Leave a Comment Tata kelola keamanan Informasi (Information Security Governance) adalah bagian dari tata kelola perusahaan yang memberikan arahan strategi, memastikan bahwa tujuan perusahaan dicapai, mengelola resiko, menggunakan sumber daya organisasi secara bertanggung jawab, dan megawasi berhasil atau gagalnya program keamanan. Tujuan utama dari Tata Kelola keamanan informasi adalah untuk mengurangi dampak yang merugikan perusahaan sampai pada tingkatan yang bisa diterima oleh perusahaan. Keamanan informasi mencakup semua jenis informasi, baik pisik dan elektronik; tidak peduli apakah ada karyawan atau teknologi yang terlibat atau hubungan dengan parner perdagangan, pelanggan dan pihak ketiga. Pada implementasi sehari-hari dalam perusahaan, keamanan informasi melindungi semua aset informasi terhadap resiko kehilangan, pemutusan operasional, salah pemakaian, pemakai yang tidak berhak ataupun kerusakan informasi. Keamanan informasi merupakan proses top-down, artinya inisiatif dan dukungan dimulai dari top management sampaipada tingkat pegawai yang paling rendah, juga memerlukan strategi keamanan yang berhubungan dengan proses dan strategi bisnis perusahaan. Kerangka (framework) daripada Tata kelola keamanan informasi adalah sebagai berikut:
• • • •
Metodologi manajemen resiko keamanan informasi Strategi keamanan informasi yang mendukung tujuan bisnis dan IT Struktur organisasi keamanan yang efektif Kebijakan keamanan mencakupi semua aspek dari strategi, pengawasan dan peraturan
Untuk memastikan elemen-elemen dari keamanan sudah terpenuhi dalam strategi keamanan perusahaan, beberapa standard keamanan telah memberikan panduan, seperti, Control Objectives for Information and Related Technology (COBIT), ISO 17799, FIPS Publication 200 dan NIST 800-53 di US. Dalam hal ini, harapan dari keamanan informasi adalah mencakup :
• • • •
Informasi bisa digunakan dan tersedia ketika diperlukan oleh perusahaan, serta sistem yang menyediakan terlindungi dari serangan atau ancaman (Availability) Informasi digunakan hanya untuk yang berhak dan perlu (Confidentiality) Informasi sudah dilindungi dari kemungkinan perubahan yang tidak berhak (Integrity) Transaksi bisnis dan juga pertukaran informasi antara lokasi atau dengan parner binis diluar dapat dipercaya (authenticity dan non-repudiation)
Filed under IT Management
IT Department TIDAK Efektif (bag. 2)
January 14, 2010 by heri sutrisno Leave a Comment Spending / Budgeting; Pembiayaan yang dilakukan pada IT tidak hanya mengenai bagaimana aktual IT budget, tetapi juga termasuk semua pembiayaan pada teknologi dalam perusahaan, pembiayaan teknologi yang terjadi dalam bisnis unit, tentang teknologi apa saja yang berhubungan dengan pekerja, pelayanan teknologi dari luar, hardware dan software. Gejala-gejala dasar penyebab pembiayaan yang tidak terkendali pada departemen IT dapat dijabarkan sebagai berikut; 1. Ekspansi IT budget yang besar tiap tahunnya tanpa diimbangi dengan peningkatan volume bisnis 2. Pembiayaan keluar yang sangat tinggi, terutama pada pelayanan dan konsultan 3. Perusahaan gagal untuk menutup kelebihan biaya atau capital dari projek IT 4. Manajemen IT kesulitan merencanakan biaya tahunan untuk IT ataupun secara kuartal 5. Perbedaan yang besar dalam budget berjalan (bisa positif atau negatif) dalam departemen IT 6. Infrastruktur teknologi tidak mampu mendukung inisiatif bisnis Projects; Dalam Departemen IT dibagi dalam 2 bagian projek yaitu projek internal IT dimana tidak ada keterlibatan orang lain selain departemen IT; seperti pada projek upgrade server, email system dan lainnya. Bagian yang kedua adalah projek eksternal IT dimana ada kordinasi dan keterlibatan pihak luar departemen IT; seperti pada projek implementasi aplikasi finance, implementasi otomatisasi sales force dan lainnya.
Gejala-gejala umum pada departemen IT yang mengalami kesulitan dalam project management bisa diuraikan sebagai berikut; 1. Tidak ada target yang jelas pada prek, dan tidak ada catatan dari projek sebelumnya yang sukses dan sudah selesai 2. Terdapat beberapa projek dan tidak ada konsolidasi antara projek tersebut 3. Ada ketidakjelasan antara to-do list dan projek 4. Jumlah projek yang banyak (lebih dari 100) 5. Tidak ada projek charter untuk projek yang sedang berjalan 6. Dokumentasi projek tidak ada atau tidak lengkap Staffing; Gejala umum yang menjadi hambatan dalam departemen IT bisa dijabarkan sebagai berikut; 1. Struktur organisasi yang tidak jelas, seperti operation support dan application support 2. Tidak ada standarisasi tugas dan kewajiban dan tidak dijelaskan dalam job description pada tiap tingkatan di departemen IT 3. Terlalu banyak gosip dalam departemen IT 4. Tidak ada interaksi antara staff IT dengan staff lainnya dalam perusahaan Filed under IT Management
IT Department TIDAK Efektif (bag. 1)
January 14, 2010 by heri sutrisno 4 Comments Salah satu cara untuk memberikan penilaian terhadap efektifitas IT dalam organisasi adalah dengan memetakan tingkatan kepuasan (satisfaction) terhadap kinerja IT. Ada beberapa kriteria yang berpengaruh dalam IT satisfaction, yaitu mengenai tingkatan pelayanan pada pelanggan (customer), pengurangan biaya-biaya dan juga meningkatkan operasional bisnis, seperti pada gambar berikut;
Banyak perusahaan yang harus tetap melakukan investasi pada IT, jika bukan untuk meningkatkan produktifitas, paling tidak untuk meng-imbangi saingan bisnis. Pada gambar, akan menjadi harapan bagi manajemen dan perusahaan untuk selalu berada pada posisi “high-satisfaction” , “low-spending”. Tetapi pada kenyataannya, banyak perusahaan berada pada posisi “high-spending”,”low-satisfaction”. Kombinasi dari ketidakpuasan IT dan pengeluaran biaya yang tinggi telah membuat suatu kritikal program dalam memperbaiki departemen IT. Kendala dalam efektifitas IT yang dihadapi oleh manajer IT dan senior manajemen dalm organisasi menjadi prioritas organisasi saat ini. Ada 4 kategori dari kendala yang bisa menjadi penyebab departemen IT TIDAK efektif, yaitu; 1. Business satisfaction 2. Budgeting 3. Projects 4. Staffing Business Satisfaction; Banyak perusahaan mengalami masalah karena tidak harmonisnya hubungan antara departemen IT dan bisnis sehingga menjadi penilaian yang tidak baik terhadap departemen IT. Ketidakpuasan dari bisnis dapat dijelaskan beberapa hal sebagai berikut; 1. Pimpinan bisnis unit tidak puas dengan performance IT dan dukungan IT dalam operasional sehari-hari 2. Bisnis manajer tidak percaya dengan komitmen IT dalam menyelesaikan tugastugasnya
3. Bisnis tidak percaya bahwa IT mempunyai tujuan yang sama dalam bisnis, ada dugaan bahwa IT tidak peduli untuk mencapai kesuksesan bisnis 4. Bisnis manajer dan user tidak mengetahui / mengerti prioritas dari departemen IT 5. IT menyatakan bahwa bisnis tidak menghargai mereka, dan/atau tidak peduli, dan tidak menyertai IT dalam proses pembuatan keputusan 6. Bisnis unit membawa IT dalam pembuatan keputusan yang berpengaruh pada system pada saat terakhir atau tidak sama sekali 7. Bisnis unit membuat dan menjalankan system atau aplikasi tanpa masukan atau bantuan dari IT 8. bisnis unit menyalahkan IT mengenai kehilangan peluang bisnis atau kegagalan projek
Audit IT Security
January 16, 2010 by heri sutrisno Leave a Comment Audit IT security dilakukan untuk melindungi sistem yang ada dari ancaman keamanan yang mungkin terjadi, termasuk; 1. 2. 3. 4. 5. Akses ke data rahasia Akses yang tidak sah ke komputer departemen Pemakaian password Serangan virus Open ports
Audit juga dilakukan untuk memastikan; 1. Memastikan integrity, confidentiality dan availability dari informasi 2. Pengawasan terhadap semua ukuran keamanan berdasarkan IT Security policy 3. Menyelidiki gangguan keamanan yang tercatat dalam buku log Contoh pertanyaan yang sering diajukan oleh IT Audit; A. Umum 1. Apakah perusahaan / departemen mempunyai kebijakan keamanan IT, standar atau prosedur? 2. Apakah kebijakan, standar atau prosedur tersebut disimpan ditempat yang mudah diakses? dismpan dalam media apa? B. Hardware
1. Apakah perusahaan / departemen mempunyai standar sistem perawatan dan prosedur? 2. Apakah sistem administrator sudah memastikan semua data-data penting sudah dihilangkan sebelum hardware dikirim keluar untuk perbaikan atau penggantian? C. Software 1. Apakah mempunyai disks asli untuk install ulang jika software di hard disk bermasalah? 2. Apakah ada panduan atau prosedur untuk melanjutkan operasional jika pusat pelayanan software bermasalah? D. Environmental 1. Apakah lingkungan kerja aman dan bebas dari kemungkinan bahaya? (seperti, atap bocor, kecukupan listrik, dll) 2. Apakah UPS bisa membantu server dan PC jika ada masalah listrik? E. User login dan Password 1. Apakah ada kebijakan untuk memilih password ? 2. Apakah password diganti? berapa lama? F. Physical Security 1. Apakah ada prosedur untuk mengunci ruang komputer? 2. Apakah ada sistem alarm? 3. Apakah PC bisa dikunci untuk menghindari akses orang lain ke dalam komputer? G. Network dan Configuration Security 1. Apakah perusahaan mempunyai diagram network? 2. Apakah perusahaan bisa melanjutkan operasional ketika ada masalah dengan network? H. Web Server 1. Apakah web server ditentukan hanya untuk port 80? 2. Apakah contoh file, script dan file development sudah dihapus? I. FTP 1. Apakah semua FTP server sudah diatur hanya untuk pengguna yang berhak? 2. Apakah traffic di encrypted / aman? J. Email
1. Apakah email server bisa untuk scan mail dan lampiran dari serangan virus? 2. Apakah akses web ke email aman? K. Disaster Planning 1. Apakah ada contigency plan jika PC tidak bisa jalan? 2. Apakah contigency plan sudah dicoba secara berkala? L. Backup dan Recovery 1. Apakah file / data backup disimpan ditempat yang aman? 2. Apakah file-file yang penting di backup secara berkala? M. Change Management 1. Apakah perusahaan mempunyai version control untuk produk software atau aplikasi? 2. Apakah hanya orang yang sudah terlatih d\yang diizinkan untuk install software? N. Training 1. Apakah pegawai baru membaca dan mengerti tentang keamanan IT? 2. Apakah ada workshop untuk pegawai tentang keamanan IT? O. Firewall 1. Seberapa sering log dilihat? 2. Apakah perusahaan mempunyai teknikal staff untuk menjalankan network firewall? P. Antivirus 1. Apakah PC menggunakan antivirus versi terbaru? 2. Seberapa sering anti virus diganti / update?
IT Risk Management
Seperti kita bersama-sama pahami, pemanfaatan Teknologi Informasi (TI) selain mendatangkan benefit bagi perusahaan juga menghadirkan risiko. Risiko ini tentunya dapat mengakibatkan kerugian baik materiil (seperti kerugian finansial) ataupun immateriil (hancurnya image, hilangnya loyalitas pelanggan dll.) bagi bisnis perusahaan. Bahkan tidak mustahil risiko tersebut bisa berdampak pada ditutupnya perusahaan. Risiko yang timbul akibat penggunaan TI ini seringkali tidak dapat dihindari atau
ditiadakan sama sekali, sehingga yang dapat dilakukan adalah bagaimana kita mengelola risiko tersebut sehingga dampaknya masih dapat diterima oleh perusahaan. Di sini fokus dari IT Risk Management, dimana perusahaan berupaya mengelola setiap potensi risiko akibat penggunaan TI dengan mempertimbangkan cost and benefit dari setiap solusi terkait risiko tersebut. Berbagai macam risiko dapat timbul akibat dari penggunaan TI biasanya disebabkan karena adanya sumber ancaman, kesempatan/ancaman itu sendiri dan juga kerentanan (vulnerability) yang dimiliki TI yang diimplementasikan. iValueIT memiliki sumber daya manusia yang memiliki wawasan luas dan berpengalaman dalam membangun dan menerapkan IT Risk Management ini di perusahaan-perusahaan dengan berdasarkan standard/best practices yang berlaku. Pengalaman tersebut antara lain sebagai berikut: Pak Budi, apakah solusi-solusi tadi dijamin dapat menghilangkan semua resiko IT yang ada ?, tanya salah satu peserta Sharing Vision. Pertanyaan seperti ini banyak muncul pada salah satu sesi Sharing Vision Enterprise Risk Management & Information Technology yang diadakan di Hotel Grand Preanger Bandung beberapa waktu lalu. Budi Rahardjo mengatakan bahwa tidak mungkin menghapus atau menghilangkan semua resiko yang ada. Yang dapat dilakukan adalah meminimalisasi segala kemungkinan terjadinya resiko-resiko tersebut. Menurut Budi, proses finansial dan administrasi-lah yang memiliki resiko IT paling tinggi. Lalu datadata penting juga merupakan hal yang rawan akan gangguan. Mengenai data-data penting ini, Budi mencontohkan bahwa pada umumnya seseorang gemar menimbun data seperti email namun tidak dipergunakan, sehingga menumpuk. Data yang menumpuk ini biasanya juga rawan akan gangguan. Budi juga mengingatkan ada beberapa hal penting dalam mempersiapkan atau membangun IT Risk Management yang baik, yaitu cari kelemahan-kelemahan yang ada, lalu kemungkinan-kemungkinan yang terjadi dan kira-kira darimana datangnya resiko tersebut. Pembicara Sharing Vision lainnya Arry Akhmad Arman mengatakan saat membangun IT Risk Management, perusahaan dapat mengadopsi beberapa standar yang ada seperti COBIT dan ISO. “Diambil yang positif-positif saja atau yang sesuai dengan kebutuhan perusahaan, sehingga tercipta standar sendiri“, tambah Arry. (Sharing Vision)
Strategi Pendekatan Manajemen Resiko Dalam Pengembangan Sistem Informasi
Tulisan ini terdiri atas 2 tulisan terpisah yang saling melengkapi, yang merupakan bagian dari perencanaan sistem. Suatu pengembangan sistem yang tidak memperhatikan faktor resiko dan mendefinisikan kemungkinan adanya resiko dalam pengembangan sistem akan menghasilkan sistem yang sarat dengan kelemahan serta kekurangan dalam penerapannya.
1. PENDAHULUAN
Resiko adalah suatu umpan balik negatif yang timbul dari suatu kegiatan dengan tingkat probabilitas berbeda untuk setiap kegiatan[4]. Pada dasarnya resiko dari suatu kegiatan tidak dapat dihilangkan akan tetapi dapat diperkecil dampaknya terhadap hasil suatu kegiatan. Proses menganalisa serta memperkirakan timbulnya suatu resiko dalam suatu kegiatan disebut sebagai manajemen resiko. Seiring dengan berkembangnya teknologi informasi yang bergerak sangat cepat dewasa ini, pengembangan unit usaha yang berupaya menerapkan sistem informasi dalam organisasinya telah menjadi kebutuhan dasar dan semakin meningkat dari tahun ke tahun. Akan tetapi pola pembangunan sistem informasi yang mengindahkan faktor resiko telah menyebabkan beberapa organisasi mengalami kegagalan menerapkan teknologi informasi tersebut, atau meningkatnya nilai investasi dari plafon yang seharusnya, hal ini juga dapat menghambat proses pencapaian misi organisasi. Pada dasarnya, faktor resiko dalam suatu perencanaan sistem informasi, dapat diklasifikasikan ke dalam 4 kategori resiko [3], yaitu : a. Catastrophic (Bencana) b. Critical (Kritis) c. Marginal (kecil) d. Negligible (dapat diabaikan) Adapun pengaruh atau dampak yang ditimbulkan terhadap suatu proyek sistem informasi dapat berpengaruh kepada a) nilai unjuk kerja dari sistem yang dikembangkan, b) biaya yang dikeluarkan oleh suatu organisasi yang mengembangkan teknologi informasi, c) dukungan pihak manajemen terhadap pengembangan teknologi informasi, dan d) skedul waktu penerapan pengembangan teknologi informasi.[1] Suatu resiko perlu didefinisikan dalam suatu pendekatan yang sistematis, sehingga pengaruh dari resiko yang timbul atas pengembangan teknologi informasi pada suatu organisasi dapat diantisipasi dan di identifikasi sebelumnya. Mendefinisikan suatu resiko
dalam pengembangan teknologi informasi pada suatu organisasi terkait *** dengan Siklus Hidup Pengembangan Sistem (System Development Life Cycle [SDLC]), dimana fase-fase penerapan SDLC dalam pengembangan teknologi informasi di spesifikasikan *** analisa resiko.
2. POLA PENDEKATAN
System Development Life Cycle [SDLC] adalah suatu tahapan proses perancangan suatu sistem yang dimulai dari tahap investigasi; pembangunan; implementasi; operasi/perawatan; serta tahap penyelesaian [4]. Dari dasar tersebut di atas, strategi penerapan manajemen resiko perlu mempertimbangkan dampak yang mungkin timbul dengan tingkat probabilitas yang berbeda untuk setiap komponen pengembangan sistem informasi. Pola pendekatan manajemen resiko juga perlu mempertimbangkan faktor-faktor pada System Development Life Cycle (SDLC) yang terintegrasi, yaitu Mengindentifikasikan faktor-faktor resiko yang timbul dan diuraikan disetiap tahap perancangan sistem, yang tersusun sebagai berikut : Tahap 1. Investigasi Tahap ini suatu sistem didefinisikan, menyangkut ruang lingkup pengembangan yang akan dibuat, yang semua perencanaan atas pengembangan sistem di dokumentasikan terlebih dahulu. Dukungan yang dibutuhkan dari manajemen resiko pada tahap ini adalah faktor resiko yang mungkin terjadi dari suatu sistem informasi di identifikasikan, termasuk di dalamnya masalah serta konsep pengoperasian keamanan sistem yang semuanya bersifat strategis. Tahap 2. Pengembangan Tahap ini merupakan tahap dimana suatu sistem informasi dirancang, pembelian komponen pendukung sistem di laksanakan, aplikasi di susun dalam program tertentu, atau masa dimana konstruksi atas sistem di laksanakan. Pada proses ini, faktor resiko diidentifikasikan selama tahap ini dilalui, dapat berupa analisa atas keamanan sistem sampai dengan kemungkinan yang timbul selama masa konstruksi sistem di laksanakan. Tahap 3. Implementasi Tahap ini kebutuhan atas keamanan sistem dikonfigurasikan, aplikasi sistem di uji coba sampai pada verifikasi atas suatu sistem informasi di lakukan. Pada tahap ini faktor resiko di rancang guna mendukung proses pelaksanaan atas implementasi sistem informasi sehingga kebutuhan riil di lapangan serta pengoperasian yang benar dapat dilaksanakan. Tahap 4. Pengoperasian dan Perawatan
Tahap ini merupakan tahap dimana sistem informasi telah berjalan sebagaimana mestinya, akan tetapi secara secara berkala sistem membutuhkan modifikasi, penambahan peralatan baik perangkat keras maupun perangkat lunak pendukung, perubahan tenaga pendukung operasi, perbaikan kebijakan maupun prosedur dari suatu organisasi. Pada tahap ini manajemen resiko lebih menitik beratkan pada kontrol berkala dari semua faktor yang menentukan berjalannya sistem, seperti perangkat keras, perangkat lunak, analisa sumber daya manusia, analisa basis data, maupun analisa atas jaringan sistem informasi yang ada. Tahap 5. Penyelesaian/penyebaran Tahap ini merupakan tahap dimana system informasi yang telah digunakan perlu di lakukan investasi baru karena unjuk kerja atas sistem tersebut telah berkurang, sehingga proses pemusnahan data, penggantian perangkat keras dan perangkat lunak, ataupun berhentinya kegiatan atau kepindahan organisasi ke tempat yang baru. Manajemen resiko yang perlu di perhatikan dalam tahap ini adalah memastikan proses pemusnahan atas komponen-komponen system informasi dapat berjalan dengan baik, terkelola dari segi keamanan. Setelah pola pendekatan manajemen resiko di definisikan dalam masing-masing tahap SDLC, maka tahap selanjutnya adalah menilai manajemen resiko dalam metodologi tertentu. Upaya memberikan penilaian atas dampak resiko dalam pengembangan sistem informasi, perlu dilakukan karena dapat memberikan gambaran atas besar atau kecilnya dampak ancaman yang mungkin timbul selama proses pengembangan sistem.
3. METODOLOGI PENILAIAN RESIKO
Untuk menentukan kemungkinan resiko yang timbul selama proses pengembangan sistem informasi berlangsung, maka organisasi yang bermaksud mengembangkan sistem informasi perlu menganalisa beberapa kemungkinan yang timbul dari pengembangan sistem informasi tersebut. Adapun metodologi penilaian resiko pengembangan sistem informasi dapat diuraikan dalam 9 langkah[4], yang tersusun sebagai berikut : a. Menentukan karakteristik dari suatu sistem b. Mengidentifikasikan ancaman-ancaman c. Mengidentifikasikan kelemahan sistem d. Menganalisa pengawasan e. Menentukan beberapa kemungkinan pemecahan masalah f. Menganalisa pengaruh resiko terhadap pengembangan sistem
g. Menentukan resiko h. Merekomendasikan cara-cara pengendalian resiko i. Mendokumentasikan hasil keputusan Tahap ke dua, tiga, empat dan enam dari langkah tersebut di atas dapat dilakukan secara paralel setelah langkah pertama dilaksanakan. Adapun gambaran dari setiap langkah tersebut adalah sebagai berikut :
Gambar Flowchart metodologi penilaian resiko
Langkah 1. Menentukan Karakterisasi Sistem
Pada langkah pertama ini batasan suatu sistem yang akan dikembangan di identifikasikan, meliputi perangkat keras, perangkat lunak, sistem interface, data dan informasi, sumber daya manusia yang mendukung sistem IT, tujuan dari sistem, sistem dan data kritis, serta sistem dan data sensitif. Beberapa hal tambahan yang dapat diklasifikasikan pada karakteristik sistem selain hal tersebut di atas seperti bentuk dari arsitektur keamanan sistem, kebijakan yang dibuat dalam penanganan keamanan sistem informasi, bentuk topologi jaringan komputer yang dimiliki oleh organisasi tersebut, Manajemen pengawasan yang dipakai pada sistem TI di organisasi tersebut, dan hal lain yang berhubungan dengan masalah keamanan seputar penerapan Teknologi Informasi di organisasi yang bermaksud mengembangkan sistem informasi. Adapun teknik pengumpulan informasi yang dapat diterapkan pada langkah ini meliputi : 1. Membuat daftar kuesinoner. Daftar kuesioner ini di susun untuk semua level manajemen yang terlibat dalam sistem dengan tujuan mengumpulkan informasi seputar keamanan data dan informasi dengan tujuan untuk memperoleh pola resiko yang mungkin dihadapi oleh sistem. 2. Interview. Bentuk lain dari pengumpulan data dengan cara interview terhadap IT Support atau personil yang terlibat dalam sistem informasi. 3. Review atas dokumen. Review atas dokumen pengembangan sistem, Dokumen kebijakan, atau dokumen keamanan informasi dapat memberikan gambaran yang bermanfaat tentang bentuk dari kontrol yang saat ini diterapkan oleh SI maupun rencanan pengembangan dari pengawasan di masa depan. 4. Penerapan Tool. Menggunakan suatu tool aplikasi yang memiliki tujuan untuk mengumpulkan informasi tentang sistem informasi yang digunakan merupakan salah satu cara untuk dapat memetakan sistem secara keseluruhan, seperti penggunakan network monitor, maupun tools lain. Hasil output dari langkah pertama ini akan menghasilkan Penaksiran atas karakteristik sistem IT, Gambaran tentang lingkungan sistem IT serta gambaran tentang batasan dari sistem yang dikembangkan.
Langkah 2. Mengidentifikasikan ancaman-ancaman
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Timbulnya ancaman dapat dipicu oleh suatu kondisi dari sumber ancaman. Sumber ancaman dapat muncul dari kegiatan pengolahan informasi yang berasal dari 3 hal utama, yaitu (1) Ancaman Alam; (2) Ancaman Manusia, dan (3) Ancaman Lingkungan. Ancaman yang berasal dari manusia memiliki karakteristik tersendiri, serta memiliki alasan tersendiri dalam melakukan gangguan terhadap sistem informasi yang ada. Adapun alasan yang timbul dari ancaman manusia ini dapat di definisikan dalam tabel berikut :
Sumber ancaman
• • • • •
Alasan Tantangan Ego Memberontak Perusakan informasi Penyingkapan informasi secara ilegal Keuntungan moneter Merubah data Surat kaleng Perusakan Peledakan Balas dendam Persaingan usaha Mata-mata ekonomi
Hacker, Cracker
Aksi yang timbul • Hacking • Social Engineering • Gangguan sistem
• • • • • • • • • • • • • • • • • • • • •
Kriminal
• • • • • • •
Akses terhadap sistem Tindak Kriminal Perbuatan curang Penyuapan Spoofing Intrusi atas sistem Bom/teror Perang informasi Penyerangan sistem Penembusan atas sistem Tampering sistem Pencurian informasi Social engineering Penembusan atas sistem Surat kaleng Sabotase atas sistem Bug sistem Pencurian/penipuan Perubahan data Virus, trojan, dll Penyalahgunaan komputer
Teroris
Mata-mata
•
Orang dalam Organisasi
• • • • •
Keingintahuan Ego Mata-mata Balas dendam Kelalaian kerja
Organisasi yang membutuhkan daftar dari sumber ancaman, perlu melakukan hubungan dengan badan-badan atau sumber-sumber yang berhubungan dengan keamanan, seperti misalnya sumber ancaman dari alam diharapkan hubungan dengan BMG yang menangani masalah alam, atau pihak intelijen atau media massa yang dapat mendeteksi sumber ancaman dari manusia. Hasil output dari ancaman ini merupakan pernyataan atau daftar yang berisikan sumber ancaman yang mungkin dapat mengganggu sistem secara keseluruhan.
Langkah 3. Identifikasi kelemahan
Cacat atau kelemahan dari suatu sistem adalah suatu kesalahan yang tidak terdeteksi yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh sumber ancaman yang mencoba menyusup terhadap sistem tersebut. Pada beberapa vendor besar, informasi atas kelemahan sistem yang dibuat oleh vendor tersebut ditutup atau dihilangkan dengan penyediaan layanan purna jual dengan menyediakan hot fixes, service pack, pathces ataupun bentuk layanan lain. Penerapan metode proaktif atau tersedianya karyawan yang bertugas untuk melakukan sistem test dapat di pakai untuk mencek kelemahan sistem secara efisien, dimana hal tersebut tergantung kepada keberadaan sumber daya atau kondisi IT yang bersifat kritis. Metode tes yang diterapkan dapat berbentuk :
• • •
Penggunaan tool yang menscan kelemahan sistem secara automatis Adanya Evaluasi dan sekuriti tes (ST&E), atau Melakukan penetrasi tes
Penggunaan tools untuk mencek kelemahan sistem diterapkan pada grup perusahaan dengan kelengkapan jaringan komputer yang memadai, yang digunakan untuk memindai beberapa servis sistem yang disinyalir lemah (seperti : Diperbolehkannya anonymous FTP, sendmail automatis, dll). Strategi ST&E merupakan metode tes yang di terapkan pada saat proses penilaian atas resiko dilakukan. Metode ini diterapkan saat pengembangan dan eksekusi atas Sistem Informasi berjalan yaitu pada bagian test plan. Kegunaan dari metode ini adalah untuk melihat efektifitas dari kontrol atas sekuriti dari sistem IT terimplementasikan dalam kondisi sistem beroperasi. Penetrasi tes merupakan metode yang digunakan sebagai pelengkap dalam memeriksa kontrol atas sekuriti dan menjamin tidak adanya masalah sekuriti yang mungkin timbul pada sistem IT. Bentuk keluaran yang timbul pada langkah ketiga ini memungkinkan pihak penilai resiko mendapatkan daftar dari kelemahan sistem yang dapat dianggap sebagai potensi dari sumber ancaman di kemudian hari.
Langkah 4. Analisa pengawasan
Tujuan yang diharapkan pada langkah ini adalah untuk menganalisa penerapan kontrol yang telah diimplementasikan atau yang direncanakan. Bagi organisasi langkah ini perlu untuk meminimalisasi atau bahkan mengeliminasi probabilitas kemungkinan yang timbul dari sumber ancaman atau potensi kelemahan atas sistem. Metode pengawasan
Metode pengawasan terdiri atas metode yang bersifat teknis maupun non teknis. Metode pengawasan secara teknis merupakan salah satu upaya perlindungan kepada organisasi dalam hal perlindungan terhadap perangkat keras komputer, perangkat lunak maupun mekanisme akses kontrol yang digunakan, sedangkan metode nonteknis lebih ditekankan kepada pengawasan atas manajemen dan operasional penggunaan sistem IT di organisasi tersebut, seperti penerapan policy keamanan, prosedur operasional, maupun manajemen personel yang ada. Kategori pengawasan Kategori pengawasan baik secara teknis maupun non teknis dapat diklasifikasikan dalam 2 pendekatan yaitu pendekatan preventif atau detektif. Pendekatan preventif adalah upaya untuk mencegah upaya pelanggaran atas policy keamanan seperti pengaksesan atas sistem IT atau tindakan lain misalnya dengan cara mengenkripsi informasi atau menerapkan otentifikasi atas informasi. Pendekatan detektif adalah cara untuk memperingati pengguna atas terjadinya pelanggaran atau percobaan pelanggaran atas policy keamanan yang ada, metode ini contoh pada Microsoft Windows dengan menggunakan teknik audit trails, metode deteksi penyusupan atau teknik checksum. Teknis analisa pengawasan Analisa pengawasan atas policy keamanan dapat menggunakan teknik checklist pengguna yang mengakses sistem IT atau dengan penggunaan checklist yang tersedia untuk memvalidasi keamanan, hal paling penting pada tahap ini adalah mengupdate terus menerus atas checklist pengguna sistem untuk mengontrol pemakai. Hasil yang diharapkan muncul pada tahap ini adalah tersedianya daftar kontrol yang digunakan dan yang sedang direncanakan oleh sistem IT untuk memitigasi kemungkinan adanya kelemahan atas sistem dan memperkecil dampak yang mungkin timbul atas penerapan policy keamanan.
Langkah 5. Menerapkan beberapa kemungkinan
Pada langkah ini, semua skalabilitas kemungkinan yang mungkin timbul dari kelemahan sistem didefinisikan. Terdapat beberapa faktor yang perlu dipertimbangkan dalam upaya mendefinisikan skalabilitas seperti :
• • •
Motif dan kapabilitas dari sumber ancaman Kelemahan bawaan dari sistem Eksistensi dan efektifitas kontrol yang di terapkan
Adapun level skalabilitas dari ancaman menurut Roger S. Pressman [3], dapat di definisikan dalam 4 kategori yang didefinisi dalam tabel berikut :
Tingkat Ancaman
Definisi
Pada level ini tingkat ancaman dapat dikategorikan sangat merusak, dimana sumber ancaman memiliki motif besar saat melakukan Catastrophics kegiatannya. dampak yang ditimbulkan dari tingkat ini dapat membuat sistem tidak berfungsi sama sekali. Level ini dapat dikategorikan cukup membuat merusak sistem IT, akan tetapi penggunaan kontrol yang diterapkan pada sistem telah dapat Critical menahan kondisi kerusakan sehingga tidak menyebabkan kerusakan yang besar pada sistem. Pada level ini kontrol keamanan mampu mendeteksi sumber ancaman yang menyerang sistem IT, walau tingkat kerusakan pada sistem masih Marginal terjadi akan tetapi masih dapat di perbaiki dan dikembalikan kepada kondisi semula Pada level ini sumber ancaman tidak dapat mempengaruhi sistem, Negligible dimana kontrol atas sistem sangat mampu mengantisipasi adanya kemungkinan ancaman yang dapat mengganggu sistem Hasil dari langkah kelima ini adalah terdefinisikan ancaman dalam beberapa tingkat tertentu, yaitu kategori catastrophic, critical, marginal atau negligible
Langkah 6. Analisa dampak
Analisa dampak merupakan langkah untuk menentukan besaran dari resiko yang memberi dampak terhadap sistem secara keseluruhan. Penilaian atas dampak yang terjadi pada sistem berbeda-beda dimana nilai dari dampak sangat tergantung kepada
• • •
Tujuan sistem IT tersebut saat di kembangkan Kondisi sistem dan data yang bersifat kritis, apakah dikategorikan penting atau tidak Sistem dan data yang bersifat sensitif
Informasi tersebut di atas, dapat diperoleh dari sumber dokumentasi pengembangan sistem di organisasi yang mengembangkan sistem informasi. Analisa dampak bagi beberapa kalangan dapat juga disebut sebagai BIA (Business Impact Analysis) dimana skala prioritas atas sumber daya yang dimiliki memiliki level yang berbeda. Dampak yang ditimbulkan oleh suatu ancaman maupun kelemahan, dapat dianalisa dengan mewawancarai pihak-pihak yang berkompeten, sehingga didapatkan gambaran kerugian yang mungkin timbul dari kelemahan dan ancaman yang muncul. Adapun dampak kerugian yang mungkin timbul dari suatu resiko dikategorikan dalam 3 (tiga) kemungkinan yang mana dampak tersebut dapat berkonsekuensi atas satu atas kombinasi dari ketiga hal tersebut. Dampak yang timbul dapat mengarah kepada : a. Dampak atas Confidentiality (Kenyamanan).
Dampak ini akan berakibat kepada sistem dan kerahasiaan data dimana sumber daya indormasi akan terbuka dan dapat membahayakan keamanan data. Penyingkapan atas kerahasiaan data dapat menghasilkan tingkat kerugian pada menurunnya kepercayaan atas sumber daya informasi dari sisi kualitatif, sedang dari sisi kuantitatif adalah munculnya biaya perbaikan sistem dan waktu yang dibutuhkan untuk melakukan recovery atas data b· Dampak atas Integrity (Integritas) Dampak integritas adalah termodifikasikan suatu informasi, dampak kualitatif dari kerugian integrity ini adalah menurunkan tingkat produktifitas kerja karena gangguan atas informasi adapun dampak kuantitatif adalah kebutuhan dana dan waktu merecovery informasi yang berubah. c· Dampak atas Availability (Ketersediaan) Kerugian ini menimbulkan dampak yang cukup signifikan terhadap misi organisasi karena terganggunya fungsionalitas sistem dan berkurangnya efektifitas operasional. Adapun hasil keluaran dari langkah ke 6 ini adalah kategorisasi dampak dari resiko dalam beberapa level seperti dijelaskan pada langkah 5 yang di implementasikan terhadap tingkat CIA tersebut di atas.
Langkah 7. Tahap Penentuan Resiko
Dalam tahap ini, dampak resiko didefinisikan dalam bentuk matriks sehingga resiko dapat terukur. Bentuk dari matriks tersebut dapat berupa matriks 4 x 4, 5 x 5 yang tergantung dari bentuk ancaman dan dampak yang di timbulkan. Probabilitas dari setiap ancaman dan dampak yang ditimbulkan dibuat dalam suatu skala misalkan probabilitas yang timbul dari suatu ancaman pada langkah ke 5 di skalakan dalam nilai 1.0 untuk tingkat Catastrophics, 0,7 untuk tingkat critical, 0,4 untuk tingkat marginal dan 0,1 untuk tingkat negligible. Adapun probabilitas dampak pada langkah ke 6 yang timbul di skalakan dalam 4 skala yang sama dengan nilai 4 dampak, dimana skala sangat tinggi di definisikan dalam nilai 100, tinggi dalam nilai 70, sedang diskalakan dalam penilaian 40 dan rendah diskalakan dalam nilai 10, maka matriks dari langkah ke 7 ini dapat di buat dalam bentuk :
Dampak Tingkat Ancaman Sangat Tinggi Tinggi Sedang (40) Rendah (10)
(70) (100) Catastro 100 x 1=70 x 1 =40 phic (1,0) 100 70 40 Critical 100 x 0,770 x 0,740 (0,7) = 0,7 = 49 28 Marginal 100 x 0,470 x 0,440
x 1 =10 x 1 = 10 x 0,7 =10 x 0,7 = 7 x 0,4 =10 x 0,4 =
(0,4) Negligibl e (0,1)
= 40 = 28 16 4 100 x 0,170 x 0,140 x 0,1 =10 x 0,1 = = 10 =7 4 1
Langkah 8. Rekomendasi kontrol
Setelah langkah mendefinisikan suatu resiko dalam skala tertentu, langkah ke delapan ini adalah membuat suatu rekomendasi dari hasil matriks yang timbul dimana rekomendasi tersebut meliputi beberapa hal sebagai berikut : 1. Rekomendasi tingkat keefektifitasan suatu sistem secara keseluruhan 2. Rekomendasi yang berhubungan dengan regulasi dan undang-undang yang berlaku 3. Rekomendasi atas kebijakan organisasi 4. Rekomendasi terhadap dampak operasi yang akan timbul 5. Rekomendasi atas tingkat keamanan dan kepercayaan Pendefinisian skala rekomendasi yang dibuat berdasarkan skala prioritas dari organisasi tersebut.
Langkah 9. Dokumentasi hasil pekerjaan
Langkah terakhir dari pekerjaan ini adalah pembuatan laporan hasil investigasi atas resiko bidang sistem informasi. Laporan ini bersifat laporan manajemen yang digunakan untuk melakukan proses mitigasi atas resiko di kemudian hari.
4. KESIMPULAN
Pendekatan manajemen resiko dalam pembangunan IT merupakan proses penting untuk menghindari segala kemungkinan-kemungkinan yang terjadi saat IT tersebut dalam proses pengembangan, maupun saat maintenance dari IT dilaksanakan. Proses penganalisaan dampak resiko dapat di susun dalam bentuk matriks dampak untuk memudahkan para pengambil kebijakan pada proses mitigasi resiko.
5. DAFTAR PUSTAKA
[1] Bonham, Stephen S., “IT Project Portfolio Management”, Artech House, Boston, 2005;
[2] O’ Brien, James A, “Management Information Systems, 4th Edition”, Galgotia Publications Pvt, Ltd, New Delhi, 1999; [3] Pressman, Roger S., “Software Engineering A Pratitioner’s Approach : 6th Ed.”, McGraw Hill,New York, 2005; [4] Stoneburner, Gary et. al, “Risk Management Guide for Information Technology Systems”, U.S. Departement of Commerce, 2002; [5] Blyth, Andrew & Gerald L. Kavacich, Information Assurance – Security in the Information Environment 2nd Edt., Springer Verlag, London, 2006;
Bisnis sangat memerlukan keamanan informasi seiring dengan semakin meningkatnya ancaman pada keamanan sistem informasi pada akhir-akhir ini dan kemajuan teknologi yang semakin pesat. Dalam perancangan suatu IT Security Policy, konsep yang efektif adalah dengan membuat dokumen kebijakan (policy) yang mencakup semua informasi yang berdasarkan keamanan, hal ini mencakup pengguna (user) tertentu dan membuat proses yang efisien untuk semua orang. Banyak metode bisa digunakan dalam perancangan IT security policy, banyak faktor yang perlu dipertimbangkan termasuk pengguna (user) dan bisnis perusahaan serta ukuran perusahaan tersebut. Berikut ini adalah pembahasan singkat (dasar) mengenai apa saja yang perlu dipertimbangkan dalam rancangan IT security Policy. Tujuan dasar dari suatu kebijakan (Policy); 1. Melindungi pengguna (user) dan informasi 2. Membuat aturan sebagai arahan untuk pengguna (user), sistem administrator, manajemen dan petugas keamanan sistem informasi (IT security) 3. Menetapkan petugas keamanan untuk pengawasan, penyelidikan atau pemeriksaan 4. Membantu mengurangi resiko yang mungkin akan muncul 5. Membantu arahan kepatuhan pada peraturan dan undang-undang 6. Menetapkan peraturan resmi perusahaan mengenai keamanan Siapa yang akan menggunakan IT security Policy; 1. Manajemen – pada semua tingkatan 2. Technical staff – sistem administrator dan lainny 3. Pengguna (user) Keamanan data akan sangat membantu user untuk pengawasan dan memastikan informasi tersebut aman dari gangguan ataupun ancaman dari pihak yang tidak berhak. Ada 3 aspek mengenai data security, sebagai berikut; Confidentiality; melindungi informasi dari orang luar yang tidak berhak, atau penghapusan informasi. Integrity; melindungi informasi dari modifikasi yang tidak berhak dan memastikan informasi tersebut akurat dan lengkap Availability; memastikan informasi tersedia ketika dibutuhkan Data-data tersebut disimpan dalam tempat yang beragam seperti server, PC, laptop, CDROM, Flash disk, Media backup dan lainnya. Kemungkinan yang bisa menjadi penyebab data-data tersebut hilang adalah
1. 2. 3. 4. 5.
Natural Disaster (seperti kebakaran, banjir, dan lainnya) Virus Kesalahan manusia (human errors) Software malfunction (kesalahan software) Hardware dan software malfunction
Dalam pembuatan kebijakan, berikut contoh topik yang termasuk dalam isi IT Security Policy adalah sebagai berikut A. Kebijakan untuk pengguna umum (end users)
• • • •
Penggunaan CD, Flash disk Password Backup File
B. Kebijakan untuk Departemen
• • •
Tentang prosedur keamanan tempat kerja, telephone alarm pengetahuan tentang keamanan sistem informasi
C. Kebijakan untuk Administrator
• • • • • • • • •
Pembelian hardware Pengawasan hak akses Jaringan komputer Operating System (OS) Software Cyber crime Backup LAN Perlindungan terhadap virus
D. Kebijakan untuk DBA
• • •
Transfer dan perubahan data Penyimpanan data Database
Contoh sederhana IT Policy (bag. 1)
Berikut adalah contoh IT policy pada perusahaan kecil – menengah IT POLICY
PENDAHULUAN IT Policy ini ditujukan untuk memastikan perlindungan yang efektif dan pemakaian system computer yang benar di <nama perusahaan> Pelanggaran terhadap IT Policy dapat mempengaruhi operasional dari <nama perusahaan> dan semua pelanggaran akan di tanggapi secara serius BAB I – SISTEM KOMPUTER A. AKSES KE JARINGAN KOMPUTER (NETWORK ACCESS) Manajemen jaringan komputer, administrasi dan perawatannya di <nama perusahaan> adalah tanggung jawab dari divisi IT. Akses ke dan pemakaian server dibatasi hanya untuk pegawai atau orang-orang yang mempunyai hak akses. Penanggung Jawab: Divisi IT B. PERANGKAT KERAS (HARDWARE) a. Pemakaian pribadi untuk system komputer (Personal use of Computer System) i. PC dan komputer notebook tidak boleh ditinggal tanpa ditunggu untuk waktu yang lama dengan kondisi signed-on. Pemakai harus mematikannya atau meng-aktifkan password dari screen saver pada saat meninggalkan PC nya ii. PC dan komputer notebook digunakan hanya untuk keperluan bisnis, pemakaian untuk personal hanya dalam batas-batas tertentu yang bisa diterima. Pemakain untuk personal yang tidak diizinkan adalah seperti
• •
Pemakaian yang bertentangan dengan user job description Dapat mengganggu performance komputer atau jaringan komputer
iii. Pegawai tidak boleh menggunakan system <nama perusahaan> atau internet untuk kegiatan perdagangan yang tidak ada hubungannya dengan bisnis <nama perusahaan>Aktifitas yang terlarang adalah seperti Jual-beli lewat internet, transaksi mata uang asing, menjual barang-barang pribadi Penanggung Jawab: Semua karyawan b. Komputer bersama (Sharing PCs) i. Komputer bersama disediakan untuk karyawan yang tidak mempunyai komputer seperti supir, petugas kebersihan di kantor pusat ii. Semua peraturan IT policy dan prosedur berlaku terhadap komputer ini
Penanggung Jawab: Semua karyawan c. Notebook i. Tindakan pencegahan harus diambil untuk melindungi peralatan dari kerusakan, kehilangan atau kecurian. Peralatan tidak boleh ditinggal tanpa ditunggu di tempat umum. Kerusakan, kehilangan atau kecurian harus segera dilaporkan ke divisi IT ii. Software Anti-virus harus di install di semua komputer notebook
iii. Data harus di back up secara berkala dan pemakai notebook harus memastikan bahwa data dalam komputer notebooknya sudah di lakukan back up iv. Notebook atau Laptop pribadi dilarang digunakan di lingkungan kantor <nama perusahaan> karena alasan kerahasiaan data dan system v. Karyawan harus memberitahukan divisi IT jika mau meminjam notebook atau laptop dengan persetujuan manager yang bersangkutan Penanggung Jawab: Semua karyawan yang mempunyai notebook C. PERANGKAT LUNAK (SOFTWARE DAN SOFTWARE APPLICATIONS) i. Software tidak boleh di gandakan, dihapus atau di transfer ke pihak ketiga atau kepada peralatan bukan organisasi seperti PC pribadi tanpa izin tertulis dari <nama perusahaan> ii. Hanya software yang telah diizinkan oleh divsi IT dapat digunakan dalam PC dan komputer notebook dan dihubungkan ke jaringan komputer <nama perusahaan> iii. Downloading dari file executables (.exe) atau software dari internet adalah terlarang tanpa ada izin tertulis dari IT manager. iv. Peninjauan ulang terhadap software akan dilakukan secara berkala dan software yang tidak diizinkan akan di selidiki. <nama perusahaan> mempunyai hak untuk menghapus semua file atau data dari system IT termasuk semua informasi yang tidak sah (illegal ) Penanggung Jawab: Semua karyawan D. DATA / INFORMASI ELEKTRONIK / KERAHASIAAN i. Data rahasia yang disimpan dalam media komputer (seperti floppy disk) harus di simpan secara aman pada saat tidak digunakan
ii. PC atau notebook yang akan di disposal, data dalam hard disk harus dihapus sebelum di distribusikan keluar <nama perusahaan> Penanggung Jawab: Divisi IT E. DATA BACK UP Data harus di back-up ke dalam jaringan komputer secara teratur dan pemakai notebook harus memastikan bahwa data dalam notebook mereka sudah dilakukan back-up Penanggung Jawab: Divisi IT untuk server dan karyawan yang bertanggung jawab terhadap aplikasi tersebut (seperti Accurate Accounting System) F. ANTI VIRUS i. Kerusakan data atau software dalam PC atau notebook yang disebabkan oleh software jahat (seperi virus komputer atau worm) harus dilaporkan ke IT division ii. Pemakai tidak diizinkan untuk mematikan atau menghapus software antivirus dalam kondisi apapun iii. Screen saver yang tidak layak tidak diizinkan digunakan, karena bisa menjadi potensial virus komputer. Jika merasa ragu hubungi divisi IT Penanggung Jawab: Semua Karyawan BAB II – PEMAKAI KOMPUTER (COMPUTER USERS) A. USER IDENTIFICATIONS AND PASSWORDS i. Setiap pemakai mempunyai user name dan password pribadi. Password digunakan untuk logon dan tidak boleh di tulis atau diperlihatkan kepada orang lain. Pemilik user name dan password akan bertanggung jawab terhadap semua hal yang terjadi atau dilakukan dengan menggunakan user name tersebut. ii. Permintaan untuk Account atau pemakai komputer yang baru dan untuk pemutusan account computer yang ada harus diketahui oleh IT Manager. Permintaan penambahan akses untuk bisnis aplikasi tertentu seperti Financial account harus diketahui secara tertulis oleh IT Manager dan dengan pemilik aplikasi tersebut. iii. Karyawan yang pindah ke posisi baru atau lokasi baru harus memberitahukan IT Manager. Hal ini diperlukan untuk mempersiapkan akses email yang tepat dan file server yang sesuai. iv. Line manajemen harus memberitahukan IT Manager untuk setiap perubahan pegawai yang mempunyai efek dengan keamanan system.
Contoh: Seorang yang mempunyai akses ke client informasi yang rahasia dan kemudian pindah ke tempat baru dimana akses tersebut tidak diperlukan. v.Semua pemakai atau user harus mengikuti peraturan password sebagai berikut;
• • • • •
Minimum panjang password adalah 8 character Menggunakan kombinasi dari Alpha dan numeric User diharuskan mengganti passwordnya setiap 6 bulan User tidak boleh mengulang kode password yang pernah digunakan Account akan di lock setelah 3 kali melakukan login yang salah
B. AKSES KE INFORMASI PERUSAHAAN (ACCESS TO COMPANY INFORMATION) 1. Semua informasi yang ada dalam jaringan komputer termasuk email, file system dan database adalah milik dari <nama perusahaan> dan pegawai tidak mempunyai hak milik atas data-data tersebut 2. <nama perusahaan> mempunyai hak untuk mengawasi file-file yang disimpan, email dan akses internet untuk tujuan system performance perawatan, auditing, keamanan data atau investigasi terhadap fakta-fakta dari pelanggaran hukum atau gangguan terhadap peraturan <nama perusahaan> 3. Permintaan untuk akses ke account komputer pegawai yang tidak masuk kantor harus ditujukan ke IT Manager secara tertulis dengan sepengetahuan manager yang bersangkutan. Akses yang diberikan akan merubah password dari users dan memberikan akses ke Manager yang berhak atau rekannya untuk mengakses account tersebut secara langsung. 4. Semua pegawai dilarang memberikan informasi apa saja kepada pihak ketiga kecuali mempunyai izin untuk itu 5. User hanya diizinkan untuk mengakses informasi electronic dan data yang mereka perlukan untuk menjalankan pekerjaannya 6. Jika ada informasi rahasia yang hilang, apakah karena notebook nya hilang, media backup, atau pelanggaran keamanan lainnya, maka divisi IT harus diberitahu segera 7. Semua komputer harus di matikan pada akhir hari kecuali server Penanggung Jawab: Semua Karyawan BAB III – EMAIL / INTERNET A. EMAIL 1. User email harus berhati-hati dengan external attachment selain yang diterima dari sumber yang dipercaya karena attachment ini bisa berisi virus komputer 2. Software email yang di install di <nama perusahaan> akan digunakan hanya untuk bisinis dan terlarang untuk tujuan pribadi
3. User email harus mengerti dengan resiko yang mungkin timbul akibat dari mengirim informasi rahasia atau sensitif informasi 4. User harus yakin bahwa dokumen yang dilampirkan melalui email bukan dilindungi oleh hak cipta 5. Isi dari Email harus yang sewajarnya dan professional 6. Email yang sifatnya menfitnah tidak diizinkan 7. Users harus mengetahui tanggung jawabnya dalam perlindungan data dan tidak boleh menggunakan email untuk mengirim data ke pihak ketiga 8. Semua email yang dikirim keluar harus mengikutsertakan standar <nama perusahaan> disclaimer. User tidak diizinkan mengirim disclaimer mereka sendiri melalui email Penanggung Jawab: Semua Karyawan B. INTERNET 1. Semua pegawai harus bertanggung jawab untuk pemakaian Internet secara professional, etika dan sah secara hukum. 2. Pegawai harus berhati-hati ketika melakukan pembayaran dengan internet, karena keamanan dari credit card yang tidak dapat dijamin. <nama perusahaan> tidak mempunyai kewajiban karena masalah yang muncul akibat pemakaian financial personal (seperti nomor credit card) melalui internet 3. Semua akses ke internet melalui jaringan komputer <nama perusahaan> akan melalui channel yang telah disetujui dan aman dengan menggunakan firewall 4. User dianjurkan tidak menggunakan password yang sama untuk website internet dengan system internal dari <nama perusahaan> 5. <nama perusahaan> mempunyai hak untuk meninjau ulang, audit, menangkap, akses atau menutup semua akses ke internet. Hal ini termasuk mengirim email dan menerima email dan file yang didownload dari internet Penanggung Jawab: Semua Karyawan BAB IV – PELANGGARAN TERHADAP IT POLICY DAN PROSEDUR 1. Karyawan yang melanggar Policy ini akan mendapat hukuman dari IT, termasuk pengurangan atau penghapusan secara sementara atau selamanya untuk sebagian atau semua hak pakai atau akses IT 2. Karyawan bisa dikenakan tuntutan kejahatan, civil liability, atau keduanya untuk pelanggaran pemakaian yang melanggar hokum terhadap semua system IT 3. Karyawan harus membayar sejumlah uang dari data yang hilang dan di klaim oleh seseorang atau pihak ketiga 4. Karyawan harus membayar sejumlah uang dari PC atau notebook yang hilang atau kecurian Dengan ini, saya telah membaca dan memahami isi IT Policy ini.
Jakarta, ….
Virtual Office
February 25, 2011 by heri sutrisno Leave a Comment Jika anda termasuk orang yang mau memulai suatu usaha, salah satu bagian yang menjadi pertimbangan adalah kantor. Dengan adanya kantor maka anda akan mempunyai alamat yang jelas serta bisa dihubungi oleh pelanggan atau calon pelanggan anda. Tetapi biaya sewa kantor yang permanen tentunya membutuhkan biaya yang tidak sedikit, sedangkan usaha anda belum berjalan dengan semestinya, belum termasuk biaya pegawai, alat-alat kantor dan sebagainya. Virtual Office atau kantor virtual akan menjadi solusi anda, dimana pengaturan suatu kantor virtual memungkinkan pemilik bisnis dan karyawan untuk bekerja dari lokasi manapun dengan menggunakan teknologi seperti komputer laptop, ponsel dan akses internet. Sebuah kantor virtual dapat memberikan penghematan yang signifikan dan fleksibilitas dibandingkan dengan menyewa ruang kantor tradisional. Memiliki ruang kantor virtual akan bermanfaat untuk pemilik usaha kecil atau pengusaha dengan satu atau dua staf yang tidak memerlukan akomodasi dari kantor pengaturan skala penuh. Individu yang menggunakan kantor virtual dapat memilih untuk mempekerjakan karyawan yang bekerja dari rumah serta membayar layanan penjawab telepon untuk menangani semua panggilan bisnis. Banyak orang yang bekerja di luar kantor virtual menggunakan laptop untuk lebih memobilisasi pekerjaan mereka dan memanfaatkan kantor virtual bisnis yang ditawarkan seperti OFIS 3 (lihat www.ofis3.com) Sebuah kantor virtual menawarkan ruang untuk mengadakan rapat dengan klien, yang merupakan nilai tambah bagi bisnis yang memiliki klien dengan kontak pribadi sebagai faktor penting ketika melakukan interaksi bisnis. Rapat dapat dilakukan melalui konferensi telekonferensi dan video, dan dokumen dapat ditransmisikan secara elektronik. Beberapa perusahaan bahkan memberikan layanan kantor virtual untuk memberikan kantor virtual prestise yang berhubungan dengan kantor fisik, seperti alamat-penting terdengar, layanan telepon-penjawab profesional dan bahkan sesekali sewa ruang kantor dan ruang pertemuan. Sebuah kantor virtual memadukan rumah dan bekerja untuk mendapatkan efisiensi dalam keduanya. Beban kantor rendah, sedangkan profesionalisme yang mempertahankan citra kantor tradisional dengan biaya tinggi. Seorang pengguna kantor virtual dapat mengurangi dampak lingkungan negatif mereka, dengan bolak-balik setiap hari. Klien kantor virtual memiliki fleksibilitas untuk menyesuaikan pengeluaran dengan fluktuasi pendapatan langsung, karena biasanya biaya variabel. Sebuah kantor virtual dapat memungkinkan ekspansi murah tanpa komitmen jangka panjang.
Beberapa contoh pengusaha yang memanfaatkan kantor virtual adalah sebagai berikut; 1. 2. 3. 4. Pengusahan yang berbasis di rumah Akuntan Pengacara Perusahaan Hukum
5. Perdagangan (Home industri jasa: Atap, listrik, Instalasi, konstruksi, perbaikan / merombak, dll) 6. 7. 8. 9. Dokter / Dokter Gigi Therapist Konsultan bisnis Mediator / resolusi konflik
10. Perusahaan asing 11. Kamar Dagang 12. Real estate 13. perusahaan hipotek 14. Broker saham / perencana keuangan 15. Koleksi lembaga 16. Jaringan kelompok Salah satu penyedia kantor virtual adalah OFIS 3 (www.ofis3.com) , dengan beberapa manfaat seperti berikut • • • • Tidak memerlukan modal besar Tidak perlu membayar gaji pegawai Indentitas bisnis prestisius layanan pribadi handal dan terpercaya
Memulai sebuah bisnis diperlukan sarana pendukung yang tepat. OFIS 3 dengan keunggulannya hadir sebagai mitra profesional yang membuat anda dapat lebih fokus pada bisnis anda. OFIS 3 ( www.ofis3.com ) adalah mitra bagi: • • Pengusaha bisnis online Pengguna ruang rapat yang berlokasi di pusat bisnis Jakarta
• Pebisnis yang tidak memiliki ruang kantor fisik, namun memerlukan meeting point bagi para relasi • Individu yang bekerja di rumah tetapi memerlukan identitas resmi
• Pebisnis yang memerlukan identitas kantor resmi tetapi tidak memiliki anggaran untuk kantor fisik • Pebisnis yang baru memulai usaha, masih dalam tahap menguji pasar dan belum dapat mengeluarkan biaya untuk mendirikan sebuah kantor permanen *** dari berbagai sumber Filed under IT Management
Deskripsi Pekerjaan (Job Description) untuk IT Manager (contoh)
February 25, 2011 by heri sutrisno Leave a Comment 1. TUJUAN / PURPOSE a. Untuk mengelola pekerjaan Teknologi Informasi (TI) dalam operasional sehari-hari dalam lingkungan perusahaan b. Memberikan solusi dan konsultansi teknologi untuk mencapai tujuan dan strategi bisnis perusahaan 2. DIMENSI / DIMENSION a. Bertanggung jawab langsung pada Direktur …..
b. Bekerja sama dengan pimpinan bisnis unit lain dalam memberikan konsultansi, rekomendasi tentang rencana kerja yang akan datang dan pengembangan sumber daya teknologi seperti hardware, infrastruktur, telekomunikasi, dan lainnya. c. d. Jumlah staff = ………. Orang Dimensi area = ………..(sebutkan berapa jumlah kantor cabang yang di support)
3. TUGAS DAN TANGGUNG JAWAB / DUTIES AND RESPONSIBILITIES a. Mengelola Teknologi Informasi dan sistem komputer
i. Bertanggung jawab pada kesiapan dan ketersediaan sistem komputer / aplikasi dalam lingkungan perusahaan ii. Membuat dan/atau implementasi semua sistem dan aplikasi
iii. Merancang, mengelola dan mengawasi serta meng-evaluasi operasional dari sistem informasi (software dan aplikasi) dan pendukungnya (hardware, infrastruktur, telekomunikasi) iv. Membuat dan mengimplementasikan kebijakan dan prosedur TI (IT policy) termasuk kebijakan keamanan TI (IT security policy) v. Berkerja sama dengan TI vendor untuk merancang , membuat dan mengimplementasikan sistem atau aplikasi jika diperlukan vi. b. Membuat dan mengawasi anggaran TI (budget) dan expenditures Memberikan solusi Teknologi Informasi
i. Bertanggung jawab pada penyediaan layanan infrastruktur termasuk aplikasi, jaringan komputer (LAN / WAN), keamanan Teknologi Informasi dan telekomunikasi ii. Memberikan rekomendasi tentang solusi sistem informasi dan pendukungnya
iii. Memberikan orientasi kepada pegawai baru mengenai aplikasi atau sistem yang digunakan saat ini dan rencana atau strategi TI secara umum iv. v. c. Merancang dan membuat TI DRP (Disaster Recovery Plan) Memberikan arahan pada bawahan mengenai penggunaan dan solusi teknologi Pengawasan dan perawatan Teknologi Informasi
i. Bekerja sama dengan senior manajemen untuk membuat, merancang pelayanan TI dalam dokumen Service Level Agreements ii. Memberikan laporan bulanan kepada Direktur Keuangan mengenai semua aspek dari departemen TI (Teknologi Informasi) 4. FAKTOR KEBERHASILAN / KEY SUCCESS FACTOR Seorang IT manager dianggap berhasil dalam pelaksaan tugasnya, dengan memiliki keahlian dan pengetahuan sebagai berikut; a. Pengetahuan
i. Berpengalaman dalam perancangan dan pengembangan infrastruktur TI ii. Memiliki pengetahuan dalam mengelola departemen TI (managing the IT Department) iii. b. Memiliki pengetahuan tentang Project Management Process Keahlian
i. Mempunyai keahlian kepemimpinan yang kuat (management dan supervisory skill) ii. Mengetahui secara umum instalasi dan administrasi hardware, software dan jaringan iii. iv. v. vi. c. Mempunyai kemampuan berkerja secara tim (team work) Mempunyai kemampuan analisa dan penyelesaian masalah Mempunyai kemampuan dalam pembuatan keputusan (decision making) Kemampuan berkomunikasi secara verbal maupun tulisan Personal
i. Kemampuan dalam melaksanakan tugas dalam tekanan kerja yang tinggi ii. Jujur dan dapat dipercaya iii. Felsibel terhadap kondisi dan lingkungan kerja iv. Memiliki kepedulian dan sensitif terhadap kebutuhan bisnis 5. HUBUNGAN KERJA / WORKING RELATIONSHIP
a.
Internal
i. Bekerja sama dengan pimpinan binis unit lain dalam perancangan, rekomendasi dan konsultasi terhadap solusi teknologi ii. Bekerja sama dengan senior manajemen dalam perancangan strategi TI untuk mendukung keberhasilan tujuan perusahaan iii. Bekerja sama dengan HR dalam pengembangan karir staff serta pemilihan staff TI baru iv. v. b. i. Bekerja sama dengan tim Legal dan HR dalam pembuatan kebijakan TI Bekerja sama dnegan procurement dalam pengadaan inventory TI Eksternal Bekerja sama dengan vendor dalam pembuatan aplikasi (jika diperlukan)
ii. Bekerja sama dengan konsultan dalam pengembangan, solusi serta peningkatan kinerja departmen TI (Teknologi Informasi) iii. Bekerja sama dengan Internet provider dalam pengelolaan internet dan telekomunikasi 6. INFORMASI LAIN / ADDITIONAL INFORMATION a. b. Kompetensi teknikal / Technical Competencies – 30 % Kompetensi manajerial / Management Competencies – 70%
Filed under IT Management
IT Disaster Recovery Plan
April 22, 2010 by heri sutrisno Leave a Comment Selama tahun 1980-an, istilah Disaster Recovery (DR) menjadi terkenal sebagai definisi untuk membangun ulang dan pemulihan akibat bencana. Sedangkan focus utama daripada disaster recovery dapat disimpulkan dalam satu kata, yaitu rebuilding atau pembangunan ulang. Dalam tahun 1988, the Disaster Recovery Institute International (DRII) dibuat dan kemudian mengeluarkan daftar dari praktek professional untuk perencanaan disaster recovery . Tujuannya untuk membantu organisasi dengan rencana mereka untuk
memastikan bahwa mereka bisa membangun kembali dan memulihkan fasilitas mereka dan peralatan akibat dari bencana. Bencana atau gangguan yang menyebabkan sumber daya kritikal informasi menjadi tidak bisa dijalankan dalam periode tertentu sangat berpengaruh pada operasional organisasi. Ancaman yang paling besar terhadap kelangsungan organisasi apapun terpusat pada kelangsungan financial mereka. Salah satu yang perlu diperhatikan dari semua kondisi yang telah diukur adalah sebagai berikut;
• • • •
Organisasi tidak melanggar perjanjian kemitraan yang penting Investor tidak mengurangi stok nya dengan melakukan penjualan murah dan cepat Pelanggan tetap melanjutkan bisnis tanpa ragu-ragu atau membatalkan pesanannya Rekan bisnis tetap melanjutkan pekerjaannya dengan persyaratan sebelumnya sesuai dengan kontrak tanpa meminta persyaratan baru atau menunda pelayanan
Kegagalan dari kondisi tersebut bisa melemahkan struktur organisasi dan kemampuan manajemen untuk melanjutkan operasional. Kebanyakan semua aktifitas dalam Disaster Recovery (DR) fokus dalam pembangunan ulang untuk menyamakan reputasi bisnis sebelum bencana. Tetapi semua itu bisa menjadi sia-sia tanpa pelanggan anda dan aliran penghasilan yang dibuat karena pemebelian mereka. Bencana dapat disebabkan oleh bencana alam, seperti gempa bumi, banjir, tornado, kebakaran yang dapat mengakibatkan kerusakan pada fasilitas secara umum. Bencana lain juga bisa disebabkan oleh gangguan yang terjadi pada pelayanan seperti sumber listrik, telekomunikasi, persedian gas, atau pelayanan lain yang tidak bisa diberikan pada perusahaan karena bencana alam atau sebab lainnya. Tidak sama dengan Disaster Recovery (DR), fokus Business continuity (BC) adalah revenue. Selama organisasi mempunyai waktu dan uang, organisasi tersebut dapat melanjutkan fungsinya. Business continuity fokus pada memasukkan banyak uang di bank, walaupun jika bisnis tidak mengirim produk. Tujuan utama dari business continuity (BC) adalah untuk memastikan bahwa fungsi bisnis utama dapat dijalankan dengan cara minimal atau tanpa hambatan. Secara umum, konsep Business Continuity (BC) adalah sama dengan gabungan dari disaster recovery planning ditambah dengan business continuity. Tergantung dengan kompleksitas perusahaan, bisa jadi satu atau lebih rencana untuk mencatat beberapa aspek dari business continuity dan disaster recovery.Walaupun dengan proses yang sama dari organisasi yang sama bisa saja dibedakan oleh lokasi geografi. Solusi yang disarankan bisa berbeda. Business Continuity Planning (BCP) adalah sebuah proses yang dirancang untuk mengurangi resiko bisnis pada organisasi yang muncul dari gangguan yang tidak diharapkan. Hal ini termasuk sumber daya manusia atau material yang mendukung
kritikal fungsi atau operasional dan kepastian dari kelangsungan pelayanan, paling tidak pada tingkat yang minimal. Langkah pertama dalam persiapan rencana business continuity baru adalah mengidentifikasi bisnis proses dari strategi yang penting, dimana proses utama tersebut adalah ber tanggung jawab pada perkembangan dari bisnis dan untuk memenuhi tujuan bisnis. Business Continuity Planning (BCP) adalah tanggung jawab utama dari senior manajemen, sehingga mereka dipercaya dengan mengamankan asset dan kelangsungan organisasi. Business Continuity secara umum diikuti oleh bisnis dan unit pendukung untuk memberikan pelayanan minimum pada saat ada gangguan dan ketika pemulihan dilakukan. Rencana harus mencakupi semua fungsi dan asset yang diperlukan untuk melanjutkan kelangsungan organisasi. Business continuity planning mempunyai beberapa pertimbangan sebagai berikut;
• •
Kritikal operasional yang sangat penting untuk kelangsungan organisasi Sumber daya manusia dan material yang mendukung nya
Selain perencanaan untuk kelangsungan operasional, BCP termasuk;
• •
Disaster Recovery Plan yang digunakan untuk memperbaiki fasilitas yang tidak bisa dioperasikan, termasuk relokasi operasional ke lokasi yang baru Rencana perbaikan yang digunakan untuk mengembalikan operasional ke kondisi normal dimana akan dioperasikan di lokasi baru
Bencana (Disaster) adalah gangguan yang menyebabkan sumber daya informasi tidak bisa dioperasikan selama waktu tertentu dan mempunyai dampak yang tidak baik dalam operasional organisasi. Disaster Recovery (DR) adalah bagian dari business continuity, dan berhubungan dengan pengaruh langsung dari bencana. DR biasanya mempunyai beberapa tahapan perencanaan, walaupun kadang-kadang tahapan tersebut menjadi kabur dalam implementasinya karena situasi selama krisis hampir sangat berbeda dengan rencana. Disaster recovery mencakupi penghentian dampak dari bencana secepat mungkin dan menjalankan alternatif lain segera. Seperti halnya mematikan server yang terkena gangguan, evaluasi sistem yang terkena dampak seperti banjir atau gempa bumi dan menetapkan cara yang terbaik dalam pelaksanaannya. Berikut ini adalah siklus dari perencanaan, implementasi dan penilaian yang menjadi bagian daripada siklus perawatan BC/DR .
Filed under IT Management
IT Department YANG Efektif
February 22, 2010 by heri sutrisno 3 Comments Untuk mengimplementasikan manajemen efektif untuk departemen IT, diperluakan kepimpinan yang benar dan perjanjian serta dukungan dari senior atau Top manajemen. Berikut ini adalah langkah-langkah yang bisa sebagai contoh untuk membuat IT Departemen lebih efektif serta pada akhirnya akan membantu pencapain tujuan bisnis. Jika saat ini Departemen IT anda dirasakan belum efektif, mungkin langkah perbaikan berikut ini bisa membantu. 1. Meningkatkan manajemen IT a. Implementasikan IT Steering Committee, untuk memberikan arahan pada IT direktur b. Upgrade manajemen IT dengan mengangkat IT direktur yang baik c. Bersihkan struktur organisasi IT; berikan batas yang jelas antara aplikasi manajemen dan operasional d. Setiap staff IT harus mempunyai tugas dan tanggung jawab yang jelas 2. Project Management yang disiplin a. Buat dokumentasi master untuk daftar projek-projek IT b. Tentukan ROI untuk tiap projek c. Projek yang tidak memberikan hasil revenue, pengurangan biaya atau menigkatkan pengawasan bisnis, bisa dibatalkan d. Prioritaskan projek berdasarkan manfaat, kesulitan, dan kecukupan dari sistem yang ada 3. Pengaturan Vendor a. Tentukan vendor yang baik, rekan bisnis yang baik akan membantu meningkatkan produktivity b. Negosiasi dengan vendor untuk mendapatkan harga yang baik, dan awasi mereka selama dan sesudah pekerjaan untuk support c. Tanya vendor, bagaimana dia mengukur kepuasan pelanggan 4. Fiscal Management / Budget a. Tentukan bahwa perusahaan akan mendapatkan (contoh) Rp 100.000 untuk setiap pengeluaran Rp 10.000 dari pengeluaran IT b. Jika ada perbedaan budget, secara proaktif jelaskan pada senior manajemen c. Bangun hubungan yang baik dengan CFO 5. Tingkatkan hubungan kerja dengan bisnis
a. Hindari saling tunjuk antara IT dan bisnis, dengan cara staff IT duduk dengan bisnis yang di support sekali seminggu b. IT direktur melakukan makan siang dengan bisnis unit manajer , manajer operasional atau anggota IT Steering Committe. c. Tugaskan IT Business manager untuk mempelajari lebih dalam mengenai bisnis dan solusinya Filed under IT Management
Pentingkah Tata Kelola Keamanan Informasi?
February 22, 2010 by heri sutrisno Leave a Comment Tata kelola keamanan Informasi (Information Security Governance) adalah bagian dari tata kelola perusahaan yang memberikan arahan strategi, memastikan bahwa tujuan perusahaan dicapai, mengelola resiko, menggunakan sumber daya organisasi secara bertanggung jawab, dan megawasi berhasil atau gagalnya program keamanan. Tujuan utama dari Tata Kelola keamanan informasi adalah untuk mengurangi dampak yang merugikan perusahaan sampai pada tingkatan yang bisa diterima oleh perusahaan. Keamanan informasi mencakup semua jenis informasi, baik pisik dan elektronik; tidak peduli apakah ada karyawan atau teknologi yang terlibat atau hubungan dengan parner perdagangan, pelanggan dan pihak ketiga. Pada implementasi sehari-hari dalam perusahaan, keamanan informasi melindungi semua aset informasi terhadap resiko kehilangan, pemutusan operasional, salah pemakaian, pemakai yang tidak berhak ataupun kerusakan informasi. Keamanan informasi merupakan proses top-down, artinya inisiatif dan dukungan dimulai dari top management sampaipada tingkat pegawai yang paling rendah, juga memerlukan strategi keamanan yang berhubungan dengan proses dan strategi bisnis perusahaan. Kerangka (framework) daripada Tata kelola keamanan informasi adalah sebagai berikut:
• • • •
Metodologi manajemen resiko keamanan informasi Strategi keamanan informasi yang mendukung tujuan bisnis dan IT Struktur organisasi keamanan yang efektif Kebijakan keamanan mencakupi semua aspek dari strategi, pengawasan dan peraturan
Untuk memastikan elemen-elemen dari keamanan sudah terpenuhi dalam strategi keamanan perusahaan, beberapa standard keamanan telah memberikan panduan, seperti, Control Objectives for Information and Related Technology (COBIT), ISO 17799, FIPS Publication 200 dan NIST 800-53 di US. Dalam hal ini, harapan dari keamanan informasi adalah mencakup :
• • • •
Informasi bisa digunakan dan tersedia ketika diperlukan oleh perusahaan, serta sistem yang menyediakan terlindungi dari serangan atau ancaman (Availability) Informasi digunakan hanya untuk yang berhak dan perlu (Confidentiality) Informasi sudah dilindungi dari kemungkinan perubahan yang tidak berhak (Integrity) Transaksi bisnis dan juga pertukaran informasi antara lokasi atau dengan parner binis diluar dapat dipercaya (authenticity dan non-repudiation)
Filed under IT Management
IT Department TIDAK Efektif (bag. 2)
January 14, 2010 by heri sutrisno Leave a Comment Spending / Budgeting; Pembiayaan yang dilakukan pada IT tidak hanya mengenai bagaimana aktual IT budget, tetapi juga termasuk semua pembiayaan pada teknologi dalam perusahaan, pembiayaan teknologi yang terjadi dalam bisnis unit, tentang teknologi apa saja yang berhubungan dengan pekerja, pelayanan teknologi dari luar, hardware dan software. Gejala-gejala dasar penyebab pembiayaan yang tidak terkendali pada departemen IT dapat dijabarkan sebagai berikut; 1. Ekspansi IT budget yang besar tiap tahunnya tanpa diimbangi dengan peningkatan volume bisnis 2. Pembiayaan keluar yang sangat tinggi, terutama pada pelayanan dan konsultan 3. Perusahaan gagal untuk menutup kelebihan biaya atau capital dari projek IT 4. Manajemen IT kesulitan merencanakan biaya tahunan untuk IT ataupun secara kuartal 5. Perbedaan yang besar dalam budget berjalan (bisa positif atau negatif) dalam departemen IT 6. Infrastruktur teknologi tidak mampu mendukung inisiatif bisnis Projects; Dalam Departemen IT dibagi dalam 2 bagian projek yaitu projek internal IT dimana tidak ada keterlibatan orang lain selain departemen IT; seperti pada projek upgrade server, email system dan lainnya. Bagian yang kedua adalah projek eksternal IT dimana ada kordinasi dan keterlibatan pihak luar departemen IT; seperti pada projek implementasi aplikasi finance, implementasi otomatisasi sales force dan lainnya.
Gejala-gejala umum pada departemen IT yang mengalami kesulitan dalam project management bisa diuraikan sebagai berikut; 1. Tidak ada target yang jelas pada prek, dan tidak ada catatan dari projek sebelumnya yang sukses dan sudah selesai 2. Terdapat beberapa projek dan tidak ada konsolidasi antara projek tersebut 3. Ada ketidakjelasan antara to-do list dan projek 4. Jumlah projek yang banyak (lebih dari 100) 5. Tidak ada projek charter untuk projek yang sedang berjalan 6. Dokumentasi projek tidak ada atau tidak lengkap Staffing; Gejala umum yang menjadi hambatan dalam departemen IT bisa dijabarkan sebagai berikut; 1. Struktur organisasi yang tidak jelas, seperti operation support dan application support 2. Tidak ada standarisasi tugas dan kewajiban dan tidak dijelaskan dalam job description pada tiap tingkatan di departemen IT 3. Terlalu banyak gosip dalam departemen IT 4. Tidak ada interaksi antara staff IT dengan staff lainnya dalam perusahaan Filed under IT Management
IT Department TIDAK Efektif (bag. 1)
January 14, 2010 by heri sutrisno 4 Comments Salah satu cara untuk memberikan penilaian terhadap efektifitas IT dalam organisasi adalah dengan memetakan tingkatan kepuasan (satisfaction) terhadap kinerja IT. Ada beberapa kriteria yang berpengaruh dalam IT satisfaction, yaitu mengenai tingkatan pelayanan pada pelanggan (customer), pengurangan biaya-biaya dan juga meningkatkan operasional bisnis, seperti pada gambar berikut;
Banyak perusahaan yang harus tetap melakukan investasi pada IT, jika bukan untuk meningkatkan produktifitas, paling tidak untuk meng-imbangi saingan bisnis. Pada gambar, akan menjadi harapan bagi manajemen dan perusahaan untuk selalu berada pada posisi “high-satisfaction” , “low-spending”. Tetapi pada kenyataannya, banyak perusahaan berada pada posisi “high-spending”,”low-satisfaction”. Kombinasi dari ketidakpuasan IT dan pengeluaran biaya yang tinggi telah membuat suatu kritikal program dalam memperbaiki departemen IT. Kendala dalam efektifitas IT yang dihadapi oleh manajer IT dan senior manajemen dalm organisasi menjadi prioritas organisasi saat ini. Ada 4 kategori dari kendala yang bisa menjadi penyebab departemen IT TIDAK efektif, yaitu; 1. Business satisfaction 2. Budgeting 3. Projects 4. Staffing Business Satisfaction; Banyak perusahaan mengalami masalah karena tidak harmonisnya hubungan antara departemen IT dan bisnis sehingga menjadi penilaian yang tidak baik terhadap departemen IT. Ketidakpuasan dari bisnis dapat dijelaskan beberapa hal sebagai berikut; 1. Pimpinan bisnis unit tidak puas dengan performance IT dan dukungan IT dalam operasional sehari-hari 2. Bisnis manajer tidak percaya dengan komitmen IT dalam menyelesaikan tugastugasnya
3. Bisnis tidak percaya bahwa IT mempunyai tujuan yang sama dalam bisnis, ada dugaan bahwa IT tidak peduli untuk mencapai kesuksesan bisnis 4. Bisnis manajer dan user tidak mengetahui / mengerti prioritas dari departemen IT 5. IT menyatakan bahwa bisnis tidak menghargai mereka, dan/atau tidak peduli, dan tidak menyertai IT dalam proses pembuatan keputusan 6. Bisnis unit membawa IT dalam pembuatan keputusan yang berpengaruh pada system pada saat terakhir atau tidak sama sekali 7. Bisnis unit membuat dan menjalankan system atau aplikasi tanpa masukan atau bantuan dari IT 8. bisnis unit menyalahkan IT mengenai kehilangan peluang bisnis atau kegagalan projek
Audit IT Security
January 16, 2010 by heri sutrisno Leave a Comment Audit IT security dilakukan untuk melindungi sistem yang ada dari ancaman keamanan yang mungkin terjadi, termasuk; 1. 2. 3. 4. 5. Akses ke data rahasia Akses yang tidak sah ke komputer departemen Pemakaian password Serangan virus Open ports
Audit juga dilakukan untuk memastikan; 1. Memastikan integrity, confidentiality dan availability dari informasi 2. Pengawasan terhadap semua ukuran keamanan berdasarkan IT Security policy 3. Menyelidiki gangguan keamanan yang tercatat dalam buku log Contoh pertanyaan yang sering diajukan oleh IT Audit; A. Umum 1. Apakah perusahaan / departemen mempunyai kebijakan keamanan IT, standar atau prosedur? 2. Apakah kebijakan, standar atau prosedur tersebut disimpan ditempat yang mudah diakses? dismpan dalam media apa? B. Hardware
1. Apakah perusahaan / departemen mempunyai standar sistem perawatan dan prosedur? 2. Apakah sistem administrator sudah memastikan semua data-data penting sudah dihilangkan sebelum hardware dikirim keluar untuk perbaikan atau penggantian? C. Software 1. Apakah mempunyai disks asli untuk install ulang jika software di hard disk bermasalah? 2. Apakah ada panduan atau prosedur untuk melanjutkan operasional jika pusat pelayanan software bermasalah? D. Environmental 1. Apakah lingkungan kerja aman dan bebas dari kemungkinan bahaya? (seperti, atap bocor, kecukupan listrik, dll) 2. Apakah UPS bisa membantu server dan PC jika ada masalah listrik? E. User login dan Password 1. Apakah ada kebijakan untuk memilih password ? 2. Apakah password diganti? berapa lama? F. Physical Security 1. Apakah ada prosedur untuk mengunci ruang komputer? 2. Apakah ada sistem alarm? 3. Apakah PC bisa dikunci untuk menghindari akses orang lain ke dalam komputer? G. Network dan Configuration Security 1. Apakah perusahaan mempunyai diagram network? 2. Apakah perusahaan bisa melanjutkan operasional ketika ada masalah dengan network? H. Web Server 1. Apakah web server ditentukan hanya untuk port 80? 2. Apakah contoh file, script dan file development sudah dihapus? I. FTP 1. Apakah semua FTP server sudah diatur hanya untuk pengguna yang berhak? 2. Apakah traffic di encrypted / aman? J. Email
1. Apakah email server bisa untuk scan mail dan lampiran dari serangan virus? 2. Apakah akses web ke email aman? K. Disaster Planning 1. Apakah ada contigency plan jika PC tidak bisa jalan? 2. Apakah contigency plan sudah dicoba secara berkala? L. Backup dan Recovery 1. Apakah file / data backup disimpan ditempat yang aman? 2. Apakah file-file yang penting di backup secara berkala? M. Change Management 1. Apakah perusahaan mempunyai version control untuk produk software atau aplikasi? 2. Apakah hanya orang yang sudah terlatih d\yang diizinkan untuk install software? N. Training 1. Apakah pegawai baru membaca dan mengerti tentang keamanan IT? 2. Apakah ada workshop untuk pegawai tentang keamanan IT? O. Firewall 1. Seberapa sering log dilihat? 2. Apakah perusahaan mempunyai teknikal staff untuk menjalankan network firewall? P. Antivirus 1. Apakah PC menggunakan antivirus versi terbaru? 2. Seberapa sering anti virus diganti / update?
IT Risk Management
Seperti kita bersama-sama pahami, pemanfaatan Teknologi Informasi (TI) selain mendatangkan benefit bagi perusahaan juga menghadirkan risiko. Risiko ini tentunya dapat mengakibatkan kerugian baik materiil (seperti kerugian finansial) ataupun immateriil (hancurnya image, hilangnya loyalitas pelanggan dll.) bagi bisnis perusahaan. Bahkan tidak mustahil risiko tersebut bisa berdampak pada ditutupnya perusahaan. Risiko yang timbul akibat penggunaan TI ini seringkali tidak dapat dihindari atau
ditiadakan sama sekali, sehingga yang dapat dilakukan adalah bagaimana kita mengelola risiko tersebut sehingga dampaknya masih dapat diterima oleh perusahaan. Di sini fokus dari IT Risk Management, dimana perusahaan berupaya mengelola setiap potensi risiko akibat penggunaan TI dengan mempertimbangkan cost and benefit dari setiap solusi terkait risiko tersebut. Berbagai macam risiko dapat timbul akibat dari penggunaan TI biasanya disebabkan karena adanya sumber ancaman, kesempatan/ancaman itu sendiri dan juga kerentanan (vulnerability) yang dimiliki TI yang diimplementasikan. iValueIT memiliki sumber daya manusia yang memiliki wawasan luas dan berpengalaman dalam membangun dan menerapkan IT Risk Management ini di perusahaan-perusahaan dengan berdasarkan standard/best practices yang berlaku. Pengalaman tersebut antara lain sebagai berikut: Pak Budi, apakah solusi-solusi tadi dijamin dapat menghilangkan semua resiko IT yang ada ?, tanya salah satu peserta Sharing Vision. Pertanyaan seperti ini banyak muncul pada salah satu sesi Sharing Vision Enterprise Risk Management & Information Technology yang diadakan di Hotel Grand Preanger Bandung beberapa waktu lalu. Budi Rahardjo mengatakan bahwa tidak mungkin menghapus atau menghilangkan semua resiko yang ada. Yang dapat dilakukan adalah meminimalisasi segala kemungkinan terjadinya resiko-resiko tersebut. Menurut Budi, proses finansial dan administrasi-lah yang memiliki resiko IT paling tinggi. Lalu datadata penting juga merupakan hal yang rawan akan gangguan. Mengenai data-data penting ini, Budi mencontohkan bahwa pada umumnya seseorang gemar menimbun data seperti email namun tidak dipergunakan, sehingga menumpuk. Data yang menumpuk ini biasanya juga rawan akan gangguan. Budi juga mengingatkan ada beberapa hal penting dalam mempersiapkan atau membangun IT Risk Management yang baik, yaitu cari kelemahan-kelemahan yang ada, lalu kemungkinan-kemungkinan yang terjadi dan kira-kira darimana datangnya resiko tersebut. Pembicara Sharing Vision lainnya Arry Akhmad Arman mengatakan saat membangun IT Risk Management, perusahaan dapat mengadopsi beberapa standar yang ada seperti COBIT dan ISO. “Diambil yang positif-positif saja atau yang sesuai dengan kebutuhan perusahaan, sehingga tercipta standar sendiri“, tambah Arry. (Sharing Vision)
Strategi Pendekatan Manajemen Resiko Dalam Pengembangan Sistem Informasi
Tulisan ini terdiri atas 2 tulisan terpisah yang saling melengkapi, yang merupakan bagian dari perencanaan sistem. Suatu pengembangan sistem yang tidak memperhatikan faktor resiko dan mendefinisikan kemungkinan adanya resiko dalam pengembangan sistem akan menghasilkan sistem yang sarat dengan kelemahan serta kekurangan dalam penerapannya.
1. PENDAHULUAN
Resiko adalah suatu umpan balik negatif yang timbul dari suatu kegiatan dengan tingkat probabilitas berbeda untuk setiap kegiatan[4]. Pada dasarnya resiko dari suatu kegiatan tidak dapat dihilangkan akan tetapi dapat diperkecil dampaknya terhadap hasil suatu kegiatan. Proses menganalisa serta memperkirakan timbulnya suatu resiko dalam suatu kegiatan disebut sebagai manajemen resiko. Seiring dengan berkembangnya teknologi informasi yang bergerak sangat cepat dewasa ini, pengembangan unit usaha yang berupaya menerapkan sistem informasi dalam organisasinya telah menjadi kebutuhan dasar dan semakin meningkat dari tahun ke tahun. Akan tetapi pola pembangunan sistem informasi yang mengindahkan faktor resiko telah menyebabkan beberapa organisasi mengalami kegagalan menerapkan teknologi informasi tersebut, atau meningkatnya nilai investasi dari plafon yang seharusnya, hal ini juga dapat menghambat proses pencapaian misi organisasi. Pada dasarnya, faktor resiko dalam suatu perencanaan sistem informasi, dapat diklasifikasikan ke dalam 4 kategori resiko [3], yaitu : a. Catastrophic (Bencana) b. Critical (Kritis) c. Marginal (kecil) d. Negligible (dapat diabaikan) Adapun pengaruh atau dampak yang ditimbulkan terhadap suatu proyek sistem informasi dapat berpengaruh kepada a) nilai unjuk kerja dari sistem yang dikembangkan, b) biaya yang dikeluarkan oleh suatu organisasi yang mengembangkan teknologi informasi, c) dukungan pihak manajemen terhadap pengembangan teknologi informasi, dan d) skedul waktu penerapan pengembangan teknologi informasi.[1] Suatu resiko perlu didefinisikan dalam suatu pendekatan yang sistematis, sehingga pengaruh dari resiko yang timbul atas pengembangan teknologi informasi pada suatu organisasi dapat diantisipasi dan di identifikasi sebelumnya. Mendefinisikan suatu resiko
dalam pengembangan teknologi informasi pada suatu organisasi terkait *** dengan Siklus Hidup Pengembangan Sistem (System Development Life Cycle [SDLC]), dimana fase-fase penerapan SDLC dalam pengembangan teknologi informasi di spesifikasikan *** analisa resiko.
2. POLA PENDEKATAN
System Development Life Cycle [SDLC] adalah suatu tahapan proses perancangan suatu sistem yang dimulai dari tahap investigasi; pembangunan; implementasi; operasi/perawatan; serta tahap penyelesaian [4]. Dari dasar tersebut di atas, strategi penerapan manajemen resiko perlu mempertimbangkan dampak yang mungkin timbul dengan tingkat probabilitas yang berbeda untuk setiap komponen pengembangan sistem informasi. Pola pendekatan manajemen resiko juga perlu mempertimbangkan faktor-faktor pada System Development Life Cycle (SDLC) yang terintegrasi, yaitu Mengindentifikasikan faktor-faktor resiko yang timbul dan diuraikan disetiap tahap perancangan sistem, yang tersusun sebagai berikut : Tahap 1. Investigasi Tahap ini suatu sistem didefinisikan, menyangkut ruang lingkup pengembangan yang akan dibuat, yang semua perencanaan atas pengembangan sistem di dokumentasikan terlebih dahulu. Dukungan yang dibutuhkan dari manajemen resiko pada tahap ini adalah faktor resiko yang mungkin terjadi dari suatu sistem informasi di identifikasikan, termasuk di dalamnya masalah serta konsep pengoperasian keamanan sistem yang semuanya bersifat strategis. Tahap 2. Pengembangan Tahap ini merupakan tahap dimana suatu sistem informasi dirancang, pembelian komponen pendukung sistem di laksanakan, aplikasi di susun dalam program tertentu, atau masa dimana konstruksi atas sistem di laksanakan. Pada proses ini, faktor resiko diidentifikasikan selama tahap ini dilalui, dapat berupa analisa atas keamanan sistem sampai dengan kemungkinan yang timbul selama masa konstruksi sistem di laksanakan. Tahap 3. Implementasi Tahap ini kebutuhan atas keamanan sistem dikonfigurasikan, aplikasi sistem di uji coba sampai pada verifikasi atas suatu sistem informasi di lakukan. Pada tahap ini faktor resiko di rancang guna mendukung proses pelaksanaan atas implementasi sistem informasi sehingga kebutuhan riil di lapangan serta pengoperasian yang benar dapat dilaksanakan. Tahap 4. Pengoperasian dan Perawatan
Tahap ini merupakan tahap dimana sistem informasi telah berjalan sebagaimana mestinya, akan tetapi secara secara berkala sistem membutuhkan modifikasi, penambahan peralatan baik perangkat keras maupun perangkat lunak pendukung, perubahan tenaga pendukung operasi, perbaikan kebijakan maupun prosedur dari suatu organisasi. Pada tahap ini manajemen resiko lebih menitik beratkan pada kontrol berkala dari semua faktor yang menentukan berjalannya sistem, seperti perangkat keras, perangkat lunak, analisa sumber daya manusia, analisa basis data, maupun analisa atas jaringan sistem informasi yang ada. Tahap 5. Penyelesaian/penyebaran Tahap ini merupakan tahap dimana system informasi yang telah digunakan perlu di lakukan investasi baru karena unjuk kerja atas sistem tersebut telah berkurang, sehingga proses pemusnahan data, penggantian perangkat keras dan perangkat lunak, ataupun berhentinya kegiatan atau kepindahan organisasi ke tempat yang baru. Manajemen resiko yang perlu di perhatikan dalam tahap ini adalah memastikan proses pemusnahan atas komponen-komponen system informasi dapat berjalan dengan baik, terkelola dari segi keamanan. Setelah pola pendekatan manajemen resiko di definisikan dalam masing-masing tahap SDLC, maka tahap selanjutnya adalah menilai manajemen resiko dalam metodologi tertentu. Upaya memberikan penilaian atas dampak resiko dalam pengembangan sistem informasi, perlu dilakukan karena dapat memberikan gambaran atas besar atau kecilnya dampak ancaman yang mungkin timbul selama proses pengembangan sistem.
3. METODOLOGI PENILAIAN RESIKO
Untuk menentukan kemungkinan resiko yang timbul selama proses pengembangan sistem informasi berlangsung, maka organisasi yang bermaksud mengembangkan sistem informasi perlu menganalisa beberapa kemungkinan yang timbul dari pengembangan sistem informasi tersebut. Adapun metodologi penilaian resiko pengembangan sistem informasi dapat diuraikan dalam 9 langkah[4], yang tersusun sebagai berikut : a. Menentukan karakteristik dari suatu sistem b. Mengidentifikasikan ancaman-ancaman c. Mengidentifikasikan kelemahan sistem d. Menganalisa pengawasan e. Menentukan beberapa kemungkinan pemecahan masalah f. Menganalisa pengaruh resiko terhadap pengembangan sistem
g. Menentukan resiko h. Merekomendasikan cara-cara pengendalian resiko i. Mendokumentasikan hasil keputusan Tahap ke dua, tiga, empat dan enam dari langkah tersebut di atas dapat dilakukan secara paralel setelah langkah pertama dilaksanakan. Adapun gambaran dari setiap langkah tersebut adalah sebagai berikut :
Gambar Flowchart metodologi penilaian resiko
Langkah 1. Menentukan Karakterisasi Sistem
Pada langkah pertama ini batasan suatu sistem yang akan dikembangan di identifikasikan, meliputi perangkat keras, perangkat lunak, sistem interface, data dan informasi, sumber daya manusia yang mendukung sistem IT, tujuan dari sistem, sistem dan data kritis, serta sistem dan data sensitif. Beberapa hal tambahan yang dapat diklasifikasikan pada karakteristik sistem selain hal tersebut di atas seperti bentuk dari arsitektur keamanan sistem, kebijakan yang dibuat dalam penanganan keamanan sistem informasi, bentuk topologi jaringan komputer yang dimiliki oleh organisasi tersebut, Manajemen pengawasan yang dipakai pada sistem TI di organisasi tersebut, dan hal lain yang berhubungan dengan masalah keamanan seputar penerapan Teknologi Informasi di organisasi yang bermaksud mengembangkan sistem informasi. Adapun teknik pengumpulan informasi yang dapat diterapkan pada langkah ini meliputi : 1. Membuat daftar kuesinoner. Daftar kuesioner ini di susun untuk semua level manajemen yang terlibat dalam sistem dengan tujuan mengumpulkan informasi seputar keamanan data dan informasi dengan tujuan untuk memperoleh pola resiko yang mungkin dihadapi oleh sistem. 2. Interview. Bentuk lain dari pengumpulan data dengan cara interview terhadap IT Support atau personil yang terlibat dalam sistem informasi. 3. Review atas dokumen. Review atas dokumen pengembangan sistem, Dokumen kebijakan, atau dokumen keamanan informasi dapat memberikan gambaran yang bermanfaat tentang bentuk dari kontrol yang saat ini diterapkan oleh SI maupun rencanan pengembangan dari pengawasan di masa depan. 4. Penerapan Tool. Menggunakan suatu tool aplikasi yang memiliki tujuan untuk mengumpulkan informasi tentang sistem informasi yang digunakan merupakan salah satu cara untuk dapat memetakan sistem secara keseluruhan, seperti penggunakan network monitor, maupun tools lain. Hasil output dari langkah pertama ini akan menghasilkan Penaksiran atas karakteristik sistem IT, Gambaran tentang lingkungan sistem IT serta gambaran tentang batasan dari sistem yang dikembangkan.
Langkah 2. Mengidentifikasikan ancaman-ancaman
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Timbulnya ancaman dapat dipicu oleh suatu kondisi dari sumber ancaman. Sumber ancaman dapat muncul dari kegiatan pengolahan informasi yang berasal dari 3 hal utama, yaitu (1) Ancaman Alam; (2) Ancaman Manusia, dan (3) Ancaman Lingkungan. Ancaman yang berasal dari manusia memiliki karakteristik tersendiri, serta memiliki alasan tersendiri dalam melakukan gangguan terhadap sistem informasi yang ada. Adapun alasan yang timbul dari ancaman manusia ini dapat di definisikan dalam tabel berikut :
Sumber ancaman
• • • • •
Alasan Tantangan Ego Memberontak Perusakan informasi Penyingkapan informasi secara ilegal Keuntungan moneter Merubah data Surat kaleng Perusakan Peledakan Balas dendam Persaingan usaha Mata-mata ekonomi
Hacker, Cracker
Aksi yang timbul • Hacking • Social Engineering • Gangguan sistem
• • • • • • • • • • • • • • • • • • • • •
Kriminal
• • • • • • •
Akses terhadap sistem Tindak Kriminal Perbuatan curang Penyuapan Spoofing Intrusi atas sistem Bom/teror Perang informasi Penyerangan sistem Penembusan atas sistem Tampering sistem Pencurian informasi Social engineering Penembusan atas sistem Surat kaleng Sabotase atas sistem Bug sistem Pencurian/penipuan Perubahan data Virus, trojan, dll Penyalahgunaan komputer
Teroris
Mata-mata
•
Orang dalam Organisasi
• • • • •
Keingintahuan Ego Mata-mata Balas dendam Kelalaian kerja
Organisasi yang membutuhkan daftar dari sumber ancaman, perlu melakukan hubungan dengan badan-badan atau sumber-sumber yang berhubungan dengan keamanan, seperti misalnya sumber ancaman dari alam diharapkan hubungan dengan BMG yang menangani masalah alam, atau pihak intelijen atau media massa yang dapat mendeteksi sumber ancaman dari manusia. Hasil output dari ancaman ini merupakan pernyataan atau daftar yang berisikan sumber ancaman yang mungkin dapat mengganggu sistem secara keseluruhan.
Langkah 3. Identifikasi kelemahan
Cacat atau kelemahan dari suatu sistem adalah suatu kesalahan yang tidak terdeteksi yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh sumber ancaman yang mencoba menyusup terhadap sistem tersebut. Pada beberapa vendor besar, informasi atas kelemahan sistem yang dibuat oleh vendor tersebut ditutup atau dihilangkan dengan penyediaan layanan purna jual dengan menyediakan hot fixes, service pack, pathces ataupun bentuk layanan lain. Penerapan metode proaktif atau tersedianya karyawan yang bertugas untuk melakukan sistem test dapat di pakai untuk mencek kelemahan sistem secara efisien, dimana hal tersebut tergantung kepada keberadaan sumber daya atau kondisi IT yang bersifat kritis. Metode tes yang diterapkan dapat berbentuk :
• • •
Penggunaan tool yang menscan kelemahan sistem secara automatis Adanya Evaluasi dan sekuriti tes (ST&E), atau Melakukan penetrasi tes
Penggunaan tools untuk mencek kelemahan sistem diterapkan pada grup perusahaan dengan kelengkapan jaringan komputer yang memadai, yang digunakan untuk memindai beberapa servis sistem yang disinyalir lemah (seperti : Diperbolehkannya anonymous FTP, sendmail automatis, dll). Strategi ST&E merupakan metode tes yang di terapkan pada saat proses penilaian atas resiko dilakukan. Metode ini diterapkan saat pengembangan dan eksekusi atas Sistem Informasi berjalan yaitu pada bagian test plan. Kegunaan dari metode ini adalah untuk melihat efektifitas dari kontrol atas sekuriti dari sistem IT terimplementasikan dalam kondisi sistem beroperasi. Penetrasi tes merupakan metode yang digunakan sebagai pelengkap dalam memeriksa kontrol atas sekuriti dan menjamin tidak adanya masalah sekuriti yang mungkin timbul pada sistem IT. Bentuk keluaran yang timbul pada langkah ketiga ini memungkinkan pihak penilai resiko mendapatkan daftar dari kelemahan sistem yang dapat dianggap sebagai potensi dari sumber ancaman di kemudian hari.
Langkah 4. Analisa pengawasan
Tujuan yang diharapkan pada langkah ini adalah untuk menganalisa penerapan kontrol yang telah diimplementasikan atau yang direncanakan. Bagi organisasi langkah ini perlu untuk meminimalisasi atau bahkan mengeliminasi probabilitas kemungkinan yang timbul dari sumber ancaman atau potensi kelemahan atas sistem. Metode pengawasan
Metode pengawasan terdiri atas metode yang bersifat teknis maupun non teknis. Metode pengawasan secara teknis merupakan salah satu upaya perlindungan kepada organisasi dalam hal perlindungan terhadap perangkat keras komputer, perangkat lunak maupun mekanisme akses kontrol yang digunakan, sedangkan metode nonteknis lebih ditekankan kepada pengawasan atas manajemen dan operasional penggunaan sistem IT di organisasi tersebut, seperti penerapan policy keamanan, prosedur operasional, maupun manajemen personel yang ada. Kategori pengawasan Kategori pengawasan baik secara teknis maupun non teknis dapat diklasifikasikan dalam 2 pendekatan yaitu pendekatan preventif atau detektif. Pendekatan preventif adalah upaya untuk mencegah upaya pelanggaran atas policy keamanan seperti pengaksesan atas sistem IT atau tindakan lain misalnya dengan cara mengenkripsi informasi atau menerapkan otentifikasi atas informasi. Pendekatan detektif adalah cara untuk memperingati pengguna atas terjadinya pelanggaran atau percobaan pelanggaran atas policy keamanan yang ada, metode ini contoh pada Microsoft Windows dengan menggunakan teknik audit trails, metode deteksi penyusupan atau teknik checksum. Teknis analisa pengawasan Analisa pengawasan atas policy keamanan dapat menggunakan teknik checklist pengguna yang mengakses sistem IT atau dengan penggunaan checklist yang tersedia untuk memvalidasi keamanan, hal paling penting pada tahap ini adalah mengupdate terus menerus atas checklist pengguna sistem untuk mengontrol pemakai. Hasil yang diharapkan muncul pada tahap ini adalah tersedianya daftar kontrol yang digunakan dan yang sedang direncanakan oleh sistem IT untuk memitigasi kemungkinan adanya kelemahan atas sistem dan memperkecil dampak yang mungkin timbul atas penerapan policy keamanan.
Langkah 5. Menerapkan beberapa kemungkinan
Pada langkah ini, semua skalabilitas kemungkinan yang mungkin timbul dari kelemahan sistem didefinisikan. Terdapat beberapa faktor yang perlu dipertimbangkan dalam upaya mendefinisikan skalabilitas seperti :
• • •
Motif dan kapabilitas dari sumber ancaman Kelemahan bawaan dari sistem Eksistensi dan efektifitas kontrol yang di terapkan
Adapun level skalabilitas dari ancaman menurut Roger S. Pressman [3], dapat di definisikan dalam 4 kategori yang didefinisi dalam tabel berikut :
Tingkat Ancaman
Definisi
Pada level ini tingkat ancaman dapat dikategorikan sangat merusak, dimana sumber ancaman memiliki motif besar saat melakukan Catastrophics kegiatannya. dampak yang ditimbulkan dari tingkat ini dapat membuat sistem tidak berfungsi sama sekali. Level ini dapat dikategorikan cukup membuat merusak sistem IT, akan tetapi penggunaan kontrol yang diterapkan pada sistem telah dapat Critical menahan kondisi kerusakan sehingga tidak menyebabkan kerusakan yang besar pada sistem. Pada level ini kontrol keamanan mampu mendeteksi sumber ancaman yang menyerang sistem IT, walau tingkat kerusakan pada sistem masih Marginal terjadi akan tetapi masih dapat di perbaiki dan dikembalikan kepada kondisi semula Pada level ini sumber ancaman tidak dapat mempengaruhi sistem, Negligible dimana kontrol atas sistem sangat mampu mengantisipasi adanya kemungkinan ancaman yang dapat mengganggu sistem Hasil dari langkah kelima ini adalah terdefinisikan ancaman dalam beberapa tingkat tertentu, yaitu kategori catastrophic, critical, marginal atau negligible
Langkah 6. Analisa dampak
Analisa dampak merupakan langkah untuk menentukan besaran dari resiko yang memberi dampak terhadap sistem secara keseluruhan. Penilaian atas dampak yang terjadi pada sistem berbeda-beda dimana nilai dari dampak sangat tergantung kepada
• • •
Tujuan sistem IT tersebut saat di kembangkan Kondisi sistem dan data yang bersifat kritis, apakah dikategorikan penting atau tidak Sistem dan data yang bersifat sensitif
Informasi tersebut di atas, dapat diperoleh dari sumber dokumentasi pengembangan sistem di organisasi yang mengembangkan sistem informasi. Analisa dampak bagi beberapa kalangan dapat juga disebut sebagai BIA (Business Impact Analysis) dimana skala prioritas atas sumber daya yang dimiliki memiliki level yang berbeda. Dampak yang ditimbulkan oleh suatu ancaman maupun kelemahan, dapat dianalisa dengan mewawancarai pihak-pihak yang berkompeten, sehingga didapatkan gambaran kerugian yang mungkin timbul dari kelemahan dan ancaman yang muncul. Adapun dampak kerugian yang mungkin timbul dari suatu resiko dikategorikan dalam 3 (tiga) kemungkinan yang mana dampak tersebut dapat berkonsekuensi atas satu atas kombinasi dari ketiga hal tersebut. Dampak yang timbul dapat mengarah kepada : a. Dampak atas Confidentiality (Kenyamanan).
Dampak ini akan berakibat kepada sistem dan kerahasiaan data dimana sumber daya indormasi akan terbuka dan dapat membahayakan keamanan data. Penyingkapan atas kerahasiaan data dapat menghasilkan tingkat kerugian pada menurunnya kepercayaan atas sumber daya informasi dari sisi kualitatif, sedang dari sisi kuantitatif adalah munculnya biaya perbaikan sistem dan waktu yang dibutuhkan untuk melakukan recovery atas data b· Dampak atas Integrity (Integritas) Dampak integritas adalah termodifikasikan suatu informasi, dampak kualitatif dari kerugian integrity ini adalah menurunkan tingkat produktifitas kerja karena gangguan atas informasi adapun dampak kuantitatif adalah kebutuhan dana dan waktu merecovery informasi yang berubah. c· Dampak atas Availability (Ketersediaan) Kerugian ini menimbulkan dampak yang cukup signifikan terhadap misi organisasi karena terganggunya fungsionalitas sistem dan berkurangnya efektifitas operasional. Adapun hasil keluaran dari langkah ke 6 ini adalah kategorisasi dampak dari resiko dalam beberapa level seperti dijelaskan pada langkah 5 yang di implementasikan terhadap tingkat CIA tersebut di atas.
Langkah 7. Tahap Penentuan Resiko
Dalam tahap ini, dampak resiko didefinisikan dalam bentuk matriks sehingga resiko dapat terukur. Bentuk dari matriks tersebut dapat berupa matriks 4 x 4, 5 x 5 yang tergantung dari bentuk ancaman dan dampak yang di timbulkan. Probabilitas dari setiap ancaman dan dampak yang ditimbulkan dibuat dalam suatu skala misalkan probabilitas yang timbul dari suatu ancaman pada langkah ke 5 di skalakan dalam nilai 1.0 untuk tingkat Catastrophics, 0,7 untuk tingkat critical, 0,4 untuk tingkat marginal dan 0,1 untuk tingkat negligible. Adapun probabilitas dampak pada langkah ke 6 yang timbul di skalakan dalam 4 skala yang sama dengan nilai 4 dampak, dimana skala sangat tinggi di definisikan dalam nilai 100, tinggi dalam nilai 70, sedang diskalakan dalam penilaian 40 dan rendah diskalakan dalam nilai 10, maka matriks dari langkah ke 7 ini dapat di buat dalam bentuk :
Dampak Tingkat Ancaman Sangat Tinggi Tinggi Sedang (40) Rendah (10)
(70) (100) Catastro 100 x 1=70 x 1 =40 phic (1,0) 100 70 40 Critical 100 x 0,770 x 0,740 (0,7) = 0,7 = 49 28 Marginal 100 x 0,470 x 0,440
x 1 =10 x 1 = 10 x 0,7 =10 x 0,7 = 7 x 0,4 =10 x 0,4 =
(0,4) Negligibl e (0,1)
= 40 = 28 16 4 100 x 0,170 x 0,140 x 0,1 =10 x 0,1 = = 10 =7 4 1
Langkah 8. Rekomendasi kontrol
Setelah langkah mendefinisikan suatu resiko dalam skala tertentu, langkah ke delapan ini adalah membuat suatu rekomendasi dari hasil matriks yang timbul dimana rekomendasi tersebut meliputi beberapa hal sebagai berikut : 1. Rekomendasi tingkat keefektifitasan suatu sistem secara keseluruhan 2. Rekomendasi yang berhubungan dengan regulasi dan undang-undang yang berlaku 3. Rekomendasi atas kebijakan organisasi 4. Rekomendasi terhadap dampak operasi yang akan timbul 5. Rekomendasi atas tingkat keamanan dan kepercayaan Pendefinisian skala rekomendasi yang dibuat berdasarkan skala prioritas dari organisasi tersebut.
Langkah 9. Dokumentasi hasil pekerjaan
Langkah terakhir dari pekerjaan ini adalah pembuatan laporan hasil investigasi atas resiko bidang sistem informasi. Laporan ini bersifat laporan manajemen yang digunakan untuk melakukan proses mitigasi atas resiko di kemudian hari.
4. KESIMPULAN
Pendekatan manajemen resiko dalam pembangunan IT merupakan proses penting untuk menghindari segala kemungkinan-kemungkinan yang terjadi saat IT tersebut dalam proses pengembangan, maupun saat maintenance dari IT dilaksanakan. Proses penganalisaan dampak resiko dapat di susun dalam bentuk matriks dampak untuk memudahkan para pengambil kebijakan pada proses mitigasi resiko.
5. DAFTAR PUSTAKA
[1] Bonham, Stephen S., “IT Project Portfolio Management”, Artech House, Boston, 2005;
[2] O’ Brien, James A, “Management Information Systems, 4th Edition”, Galgotia Publications Pvt, Ltd, New Delhi, 1999; [3] Pressman, Roger S., “Software Engineering A Pratitioner’s Approach : 6th Ed.”, McGraw Hill,New York, 2005; [4] Stoneburner, Gary et. al, “Risk Management Guide for Information Technology Systems”, U.S. Departement of Commerce, 2002; [5] Blyth, Andrew & Gerald L. Kavacich, Information Assurance – Security in the Information Environment 2nd Edt., Springer Verlag, London, 2006;
