Embed Size (px)
Citation preview
9
BAB 2
LANDASAN TEORI
Sesuai dengan judul tesis ini, maka dibutuhkan teori penunjang untuk
memudahkan dan memperjelas dalam pembahasan , dimana didalamnya terdapat
materi materi yang mempunyai keterkaitan dalam proses penyelesaian tesis.
2.1 Bank
Menurut B.N. Ajuha, Pengertian Bank adalah suatu tempat untuk
menyalurkan modal atau investasi dari mereka yang tidak dapat menggunakan
modal tersebut secara menguntungkan kepada mereka yang dapat membuat modal
tersebut lebih produktif untuk keuntungan masyarakat.
Menurut UU No.7 Tahun 1992, Pengertian Bank adalah suatu badan usaha
yang menghimpun dananya dari masyarakat dalam bentuk simpanan dan
menyalurkannya kepada masyarakat dalam bentuk kredit dan atau bentuk bentuk
lainnya guna meningkatkan taraf hidup rakyat banyak.
Menurut Prof. GMV. Stuart, Bank adalah suatu badan yang bertujuan
untuk memuaskan kebutuhan kredit dengan uang yang diperolehnya dari orang
lain maupun dengan jalan memperedarkan alat-alat penukar baru berupa uang
giral.
2.1.1 Fungsi Bank
Fungsi Bank secara luas yaitu sebagai alat pemerintah untuk menjaga
kestabilan ekonomi moneter dan keuangan. Fungsi Bank secara sempit yaitu
9
10
sebagai alat penarik uang kartal dan uang giral dari masyarakat dan
menyalurkannya ke masyarakat.
Fungsi bank yang utama ada 3 yaitu :
1. Bank berfungsi sebagai alat untuk menghimpun dan menyalurkan dana kepada
masyarakat.
2. Fungsi bank yaitu memobilisasi dana untuk pembangunan ekonomi suatu
negara, dengan menghimpun dana dari masyarakat untuk berinvestasi terhadap
pembangunan negara.
3. Bank berfungsi sebagai lembaga yang memberikan pelayanan kepada
masyarakat, yang berupa jasa pelayanan perbankan kepada masyarakat agar
masyarakat merasa nyaman dan aman di dalam menyimpan dananya tersebut.
Bank sebagai lembaga keuangan tidak berdiri sendiri, akan tetapi dibina
dan diawasi oleh bank sentral. Contohnya, apabila bank kekurangan dana maka
dapat mengajukan kredit likuiditas ke bank sentral untuk memberikan pinjaman
atau kredit kepada nasabahnya.
2.1.2 Jenis Bank
Jenis bank dapat digolongkan menjadi beberapa golongan, tidak hanya
berdasarkan jenis kegiatan usahanya, melainkan juga mencakup bentuk badan
hukumnya, pendirian dan kepemilikannya, dan target pasarnya. Sebelum
diberlakukannya undang- undang Nomor 7 Tahun 1992, bank dapat digolongkan
berdasarkan jenis kegiatan usahanya, seperti bank tabungan, bank pembangunan,
dan bank ekspor impor. Setelah undang- undang tersebut berlaku, jenis bank yang
diakui secara resmi hanya terdiri atas dua jenis, yaitu Bank Umun dan Bank
11
Perkreditan Rakyat(BPR). Perbedaan jenis perbankan dapat dilihat dari fungsi
bank, dan kepemilikan bank. Dari segi fungsi, perbedaan terletak pada luasnya
kegiatan atau jumlah produk yang dapat ditawarkan maupun jangkauan wilayah
operasinya. Sedangkan kepemilikan perusahaan dapat dilihat dari segi pemilikan
saham yang ada dan akte pendiriannya. Perbedaan lainnya adalah dilihat dari segi
siapakah nasabah yang mereka layani, apakah masyarakat luas atau masyarakat di
lokasi tertentu (kecamatan). Jenis perbankan juga diklasifikasikan berdasarkan
caranya menentukan harga jual dan harga beli.
2.2 Internet Banking
Persaingan dalam dunia perbankan harus dapat diimbangi dengan
peningkatan pelayanan bank kepada para nasabah, sehingga nasabah tersebut
tidak tertarik untuk menggunakan jasa bank lain. Salah satu jenis pelayanan yang
dapat bank berikan adalah internet banking. Menurut David Whiteley, seorang
pakar teknologi dari Inggris, Internet banking didefinisikan sebagai salah satu jasa
pelayanan yang diberikan bank kepada nasabahnya, dengan maksud agar nasabah
dapat mengecek saldo rekening dan membayar tagihan selama 24 jam tanpa perlu
datang ke kantor cabang. Internet banking merupakan salah satu produk
perbankan elektronik yang ditawarkan untuk memberikan kemudahan bagi
nasabah dalam melakukan transaksi perbankan non tunai melalui komputer dan
jaringan internet. Pada prinsipnya layanan internet banking hampir serupa dengan
layanan ATM. Hal ini disebabkan karena konsep ATM sudah diterima di hampir
setiap lapisan masyarakat sehingga menggunakan internet banking sama seperti
layaknya mempunyai kartu ATM. Layanan internet banking dirancang sebagai
salah satu sarana akses ATM dimana saja yang disebut dengan virtual ATM.
12
Sehingga apa yang dilakukan di ATM dapat dilakukan kecuali mengambil uang
tunai.
Perbedaan utama antara ATM dengan virtual adalah terletak pada awal
dan akhirnya yaitu untuk mulai melakukan transaksi pada virtual ATM, nasabah
terlebih dahulu harus mempunyai user ID dan nomor PIN. Sedangkan ATM
cukup dengan nomor PIN saja. Perbedaan lainnya yaitu cara memberikan bukti
transaksi. ATM akan mengeluarkan secarik kertas dari mesin tersebut, sedangkan
virtual ATM akan memberikan konfirmasi melalui layar komputer dan mengirim
ulang konfirmasi tersebut melalui e- mail nasabah (Jurnal Hukum dan Teknologi,
Arismendi 2006:122).
2.2.1 Tujuan Internet Banking
Institusi perbankan dalam penerapan internet banking harus memberikan
jasa pelayanan yang lebih sesuai dengan kehendak nasabah dan lebih menjamin
keamanannya sehingga dapat memberikan kenyamanan dan kepuasan kepada para
nasabah. Penggunaan internet banking oleh nasabah akan memberikan pelayanan
yang lebih baik tanpa mengenal tempat dan waktu. Media internet dapat
digunakan oleh bank untuk beberapa tujuan, baik bagi pihak bank maupun pihak
nasabah, yaitu:
1. Bagi Bank
a) Menjelaskan produk dan jasa seperti, pemberian pinjaman dan kartu kredit.
b) Menyediakan informasi mengenai suku bunga dan kurs mata uang asing
yang terbaru.
c) Menunjukkan laporan tahunan perusahaan dan keterangan pers lainnya.
13
d) Menyediakan informasi ekonomi dan bisnis seperti perkiraan bisnis.
e) Memberikan daftar lokasi kantor bank tersebut dan lokasi ATM.
f) Memberikan daftar pekerjaan yang membutuhkan tenaga kerja baru.
g) Memberikan gambaran mengenai bank.
h) Menyediakan informasi mengenai sejarah bank dan peristiwa terbaru.
i) Memberikan pelayanan kepada nasabah untuk memeriksa neraca tabungan
dan memindahkan dana antar tabungan.
j) Menyediakan algorithma yang sederhana sehingga para nasabah dapat
membuat perhitungan untuk pembayaran pinjaman, perubahan atau
pengurangan pembayaran hipotik, dan lain sebagainya (Mary J.Cronin, 1998 :
75).
2. Bagi Nasabah
a) Mempermudah nasabah dalam bertransaksi perbankan, karena dengan
internet banking akses perbankan dapat dilakukan di komputer pribadi
(personal computer) nasabah bahkan lebih dekat, tanpa harus datang ke kantor
cabang.
b) Mempercepat kegiatan transaksi perbankan, hanya dengan modal komputer
pribadi, nasabah dapat mengakses transaksi apapun dengan beberapa “klik” di
mouse komputer. Tanpa membuang- buang waktu untuk datang dan mengisi
formulir di kantor cabang
c) Menghemat biaya seperti menghemat ongkos jalan ke kantor cabang.
14
2.2.2 Sistem Keamanan Internet Banking
Kesempatan Indonesia untuk mengembangkan internet banking sangat
terbuka luas. Hal itu dimungkinkan karena pertumbuhan penggunaan internet di
kawasan Asia sangat tinggi dan nasabah perbankan juga memerlukan pelayanan
yang lebih baik lagi (Abdul Wahid, 2005: 38).
Salah satu isu yang menjadi permasalahan dalam penggunaan internet banking
adalah sistem keamanan bertransaksi perbankan dengan menggunakan internet.
Masalah yang paling sering muncul adalah adanya pencurian nomor kartu kredit.
Nomor curian ini kemudian dimanfaatkan oleh orang yang sesungguhnya tidak
berhak. Nasabah harus diyakinkan oleh pihak bank bahwa transaksi perbankan
berjalan aman karena bank bersangkutan memiliki perangkat keamanan untuk
mencegah para hacker mengganggu transaksi mereka. Ada dua jenis sistem
keamanan yang dipakai dalam internet banking yaitu (Mary J.Cronin, 1998 : 175):
1. Sistem Cryptography. Sistem ini menggunakan angka-angka yang
dikenal dengan kunci (key). Sistem ini disebut juga dengan sistem sandi. Ada dua
tipe cryptography yaitu simetris dan asimetris. Pada sistem simetris ini
menggunakan kode kunci yang sama bagi penerima dan pengirin pesan.
Kelemahan dari cryptography simetris adalah kunci ini harus dikirim kepada
pihak penerima dan hal ini memungkinkan seseorang untuk mengganggu di
tengah jalan. Sistem cryptography asimetris juga mempunyai kelemahan yaitu
jumlah kecepatan pengiriman data menjadi berkurang karena adanya tambahan
kode. Sistem ini biasanya digunakan untuk mengenali nasabah dan melindungi
informasi finansial nasabah (Gary Lewis dan Kenneth Thygerson, 1997:100).
2. SistemFirewall. Firewall merupakan sistem yang digunakan untuk
15
mencegah pihak-pihak yang tidak diizinkan untuk memasuki daerah yang
dilindungi dalam unit pusat kerja perusahaan. Firewall berusaha untuk mencegah
pihak-pihak yang mencoba masuk tanpa izin dengan cara melipatgandakan dan
mempersulit hambatan-hambatan yang ada. Namun yang perlu diingatkan adalah
bahwa sistem firewall ini tidak dapat mencegah masuknya virus atau gangguan
yang berasal dari dalam perusahaan itu sendiri (Gary Lewis dan Kenneth
Thygerson, 1997:102).
2.2.3 Pengaturan Internet Banking di Indonesia
Dalam Surat Edaran Bank Indonesia No. 9/30/DPNP tentang Penerapan
Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
tanggal 12 Desember 2007, dapat dilihat bahwa pelaksanaan teknologi sistem
informasi diserahkan kepada masing-masing bank. Bank Indonesia hanya
memberikan pedoman sehingga di dalam pelaksanaanya tidak merugikan nasabah
dan bank itu sendiri.
Sementara itu, dalam Lampiran Surat Edaran Bank Indonesia No.
9/30/DPNP tentang Pedoman Penerapan Manajemen Risiko dalam Penggunaan
Teknologi Informasi oleh Bank Umum disebutkan bahwa perkembangan pesat
Teknologi Informasi (TI) dan globalisasi mendukung Bank untuk meningkatkan
pelayanan kepada nasabah secara aman, nyaman dan efektif, diantaranya melalui
media elektronik atau dikenal dengan e- banking. Melalui e-banking, nasabah
Bank pada umumnya dapat mengakses produk dan jasa perbankan dengan
menggunakan berbagai peralatan elektronik (intelligent electronic device), seperti
personal computer (PC), personal digital assistant (PDA), anjungan tunai mandiri
(ATM), kios, atau telephone.
16
Dalam pedoman ini yang dimaksud dengan Electronic Banking (e-
banking) adalah layanan yang memungkinkan nasabah Bank untuk memperoleh
informasi, melakukan komunikasi, dan melakukan transaksi perbankan melalui
media elektronik, seperti Automatic Teller Machine (ATM), phone banking,
electronic fund transfer (EFT), Electronic Data Capture (EDC)/Point Of Sales
(POS), internet banking dan mobile banking.
Pemerintah telah mengesahkan salah satu Rancangan Undang-Undang
yang berkaitan dengan kejahatan dunia maya (cyber crime) yaitu Undang-Undang
Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, meskipun
dalam undang-undang ini tidak mengatur secara jelas mengenai cyber crime,
namun diharapkan dapat digunakan sebagai payung hukum yang dapat secara
tegas dan akurat dapat dipakai untuk melakukan penindakan terhadap pelaku
tindak pidana cyber crime. Selain itu, dalam masalah keamanan dan perlindungan
bagi nasabah bank, pihak Bank Indonesia mengeluarkan regulasinya yang
dituangkan dalam Surat Edaran Bank Indonesia No. 9/30/DPNP tentang
Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank
Umum tanggal 12 Desember 2007 dan Surat Edaran Bank Indonesia No.
13/28/DPNP tentang Penerapan Strategi Anti Fraud bagi Bank Umum tanggal 9
Desember 2011. Bank Indonesia juga mengeluarkan panduan Pengamanan
Penggunaan Teknologi Sistem Informasi oleh Bank dengan dikeluarkannya
Peraturan Bank Indonesia No. 9/15/PBI/2007 tentang Penerapan Manajemen
risiko Dalam Penggunaan Teknologi Informasi oleh Bank Umum yang
merupakan suatu pedoman bagi penyelesaian pengaduan nasabah.
17
2.3 Automated Teller Machine
ATM (bahasa Indonesia: Anjungan Tunai Mandiri atau dalam bahasa
Inggris: Automated Teller Machine) merupakan mesin yang memberikan
kemudahan kepada nasabah dalam melakukan transaksi perbankan secara
otomatis selama 24 jam dalam 7 hari termasuk hari libur (Kasmir 2007 : 327).
ATM (Automatic Teller Machine) merupakan salah satu fasilitas
perbankan elektronik yang paling nyata. ATM adalah alat kasir otomatis tanpa
orang, yang ditempatkan didalam bank atau diluar bank yang sanggup menangani
transaksi-transaksi keuangan secara rutin. (Allen H. Lippis, 1992 :3)
2.3.1 Sejarah ATM
(Mizanmag, 2013) merincikan dalam artikelnya mengenai sejarah ATM sebagai
berikut:
- Bankograph buatan Luther George Simjian
Pada tahun 1961, City Bank of New York memasang sebuah mesin yang
dinamakan Bankograph. Mesin ini memang berbeda dari ATM yang kita kenal
sekarang, karena mesin ini bukan untuk mengeluarkan uang, tetapi justru untuk
menyimpan uang. Walaupun demikian, dari segi penampilan dan desain, mesin ini
sama persis dengan ATM yang kita kenal sekarang. Bankograph digunakan
selama enam bulan di awal 1960-an, dan setelahnya harus disingkirkan karena
kurangnya popularitas. Penyebabnya diperkirakan karena mesin ini masih
tergolong baru dan belum diuji coba sebelumnya.
- Mesin cokelat John Shepherd-Barron
18
Pada suatu hari, John Shepherd-Barron terlambat untuk pergi ke bank di
dekat rumahnya, sehingga ia tidak memiliki uang tunai selama akhir pekan.
Peristiwa itu membuat Shepperd-Barron berpikir bahwa uang seharusnya dapat
dengan mudah diambil, semudah mengambil cokelat batangan di mesin penjual
otomatis.Shepperd-Barron terus memikirkan ide itu, hingga di kamar mandi,
ketika ia sedang beristirahat setelah bekerja seharian di tempat percetakan
dokumen- dokumen keuangan, De La Rue, ia menemukan ide untuk membuat
mesin otomatis yang mampu mengeluarkan uang. Ia pun membawa ide ini kepada
atasannya, yang kemudian mempresentasikannya ke Barclays Bank. Mereka
sangat antusias dengan ide ini, sehingga pada 27 Juni 1967, Barclays Bank cabang
the Enfield High Street mulai menyediakan mesin uang tunai, yang ketika itu
mengeluarkan uang sebesar £10. Nasabah yang ingin menggunakan mesin harus
memasukkan kertas voucher sekali pakai (yang akan dikirimkan kembali ke
nasabah untuk menghindari penipuan) dan empat digit kata sandi, yang saat ini
kita kenal sebagai PIN. M
- Sementara itu di Swedia
Sembilan hari setelah Barclays meluncurkan mesin uang tunai di Enfield,
sebuah bank Swedia bernama Nixdorf juga memasang mesin ATM pertama
mereka yang mengeluarkan kronor. Mesin ini dinamai Bankomat, yang hingga
kini masih digunakan di banyak bahasa Eropa (termasuk bahasa Italia bancomat),
untuk merujuk kepada ATM. Dari titik ini, mesin uang tunai mulai menyebar ke
berbagai negara. Westminster Bank di Inggris misalnya, mengijinkan nasabah
untuk menggunakan mesin ATM milik mereka sendiri di tahun 1968. Dalam
rentang waktu yang sama, nasabah di Jepang juga bisa mengambil uang yen dari
19
mesin mereka sendiri, hingga setahun kemudian sebuah mesin di Amerika Serikat
mulai hadir di tengah masyarakat, tepatnya di Rockville Centre, Long Island, New
York. Pemilik ATM, Chemical Bank, bahkan berani menyatakan bahwa “bank
kami buka pada pukul 09.00 dan tak akan pernah tutup lagi”.
2.3.2 Perangkat Keras ATM
Jim Bowen Menyatakan dalam sudut pandang pengguna ATM terdapat 3
input device dan 4 output device, yaitu sebagai berikut :
Gambar 2.1 ATM Hardware
Berikut ini adalah 3 Input Device ATM:
- Card reader
slot yang digunakan user untuk memasukkan dan mengambil kartu ATM mereka.
Card reader membaca informasi yang berada pada magnetic Strip Kartu ATM.
- Keypad/Pinpad
20
Setelah memasukkan kartu ATM, user harus memasukkan angka pin mereka
untuk masuk kepada account mereka.
- Screen button
Tombol yang digunakan user untuk memilih menu yang terdapat pada layar ATM
seperti: penarikan tunai, transfer, pembelian, dsb.
Berikut ini adalah 4 Output Device ATM:
- Speaker
Alat yang berguna untuk memberikan feedback yang nasabah lakukan.
- Display Screen
Layar utama yang berada pada mesin atm, berguna untuk user menentukan apa
yang harus dilakukan (step step dalam transaksi).
- Receipt Printer
Alat yang mencetak transaksi yang dilakukan oleh nasabah.
- Cash Dispenser
Tempat uang ATM keluar sesuai dengan request dari nasabah.
2.3.3 Software Layer ATM
Menurut Wincor Nixdorf pada dasarnya sebuah ATM memiliki 4 pilar software
layer, Jika dirunut dari layer paling bawah yaitu:
1. Hardware. layer paling basic, yaitu perangkat keras dari sebuah ATM
seperti Cash Dispenser, EPP, Receipt Printer, dsb.
2. Device Driver . Layer kedua, yang menghubungkan antara hardware
dengan WOSA, contoh: CSC-W32.
3. WOSA (CEN /XFS) / Windows Open Services Architecture. Layer ketiga
21
yang digunakan sebagai jembatan antara backend software dengan frontend
software.
4. Application. Layer yang kontak langsung dengan para nasabah.
Gambar 2.2 Software Layer ATM
2.3.4 Arsitektur ATM ke Host
Menurut Jim Bowen, untuk membuat ATM Online dan dapat melakukan
tugasnya yaitu melayani transaksi nasabah, diperlukan sebuah HOST yang
bertugas menerima message command dan menjawab message command tersebut
kepada ATM, ada 3 Flow utama yang biasa dilakukan dari ATM ke HOST, yaitu:
Startup (Online), Transaksi, Status Error/Terjadi Kesalahan.
22
Gambar 2.3 Arsitektur ATM ke Host
Berikut merupakan sequence startup ATM
Gambar 2.4 Sequence Startup ATM
Berikut merupakan sequence transaksi ATM
Gambar 2.5 Sequence Transaksi ATM
23
Berikut merupakan sequence error pada ATM
Gambar 2.6 Sequence Error pada ATM
Dalam keadaan power up, ATM mempunyai 5 mode operasi yaitu: Out of
service, Supervisor, In service, suspend, offline. Dapat dilihat pada gambar
dibawah ini.
Gambar 2.7 Mode Operasi ATM
24
2.3.5 Tipe Serangan pada ATM
Menurut (Wincor, 2014) terdapat 3 jenis penyerangan terhadap mesin ATM,
yaitu:
- High Impact – Physical AttackSerangan terhadap ATM menggunakan
teknologi yang seadanya, contoh: Explosive Attacks, Ram Raids, Tources/Plasma
Cutters Berikut penjelasan mengenai contoh diatas:
o Explosive Attacks: Aktifitas menyerang ATM dengan meledakkan ATM
tersebut.
o Ram Raid: Aktifitas menyerang ATM dengan menabrakan ATM dengan mobil
(Bisa dengan menabrakan dan menarik ATM dari rumah ATM).
o Tources/Plasma Cutters: Aktifitas menyerang ATM dengan mengelas bagian
safedoor bertujuan untuk mendapatkan uang yang berada pada berangkas.
- Low Impact – Physical AttackSerangan yang menyerang komponen dari mesin
ATM, yang berdampak pada kepercayaan customer, contoh: Skimming Device,
Card Trap, Cash Trap dan Dummy Pin Pad.Berikut penjelasan mengenai contoh
diatas:
o Skimming Device: Aktifitas menyerang ATM dengan menaruh sebuah alat
pembaca kartu nasabah di depan mulut card reader, bertujuan mendapatkan data-
data kartu nasabah.
o Card Trap: Aktifitas menyerang ATM dengan menaruh benda kecil seperti
ujung korek api, permen karet, atau benda-benda kecil lainnya bertujuan agar
kartu nasabah seolah-olah tertelan oleh ATM.
o Cash Trap: Hampir sama dengan Card Trap, namun yang menjadi target yaitu
langsung kepada uang nasabah, ketika nasabah ingin mengambil uang pada ATM
25
maka uang tersebut tertahan pada Cash Trap dan nasabah akan mengira bahwa
ATM tersebut memang rusak.
o Dummy Pin Pad:Aktifitas memasangkan Pin Pad palsu, tujuannya yaitu untuk
mendapatkan PIN kartu dari nasabah.
- Logical AttackSerangan yang menyerang langsung kepada softwareATM,
Contoh: Hacking, Data Tief, Data Manipulation.Berikut penjelasan mengenai
contoh diatas:
o Hacking: Aktifitas menyerang ATM dengan cara meretas sistem pada bank,
ataupun menaruh malware pada ATM sehingga ATM dapat di perintahkan untuk
mengeluarkan ATM secara remote dan leluasa oleh pelaku.
o Data Tief: Aktifitas mencuri data-data yang terdapat pada ATM, biasanya data
yang dicuri seperti electronic journal ATM yang berisikan aktifitas ATM beserta
nomer-nomer kartu yang telah bertransaksi pada ATM tersebut.
o Data Manipulation:Aktifitas memanipulasikan data ATM, biasanya
berhubungan dengan hacking, ketika seorang pelaku berhasil membobol uang
yang ada pada ATM dengan malware, pelaku membersihkan pekerjaannya
dengan menghapus electronic journal, Log, dan file-file yang diperlukan untuk
penyeledikan forensic.
2.3.6 Pilar Keamanan ATM
Menurut Wincor Nixdorf terdapat 3 pilar yang perlu diperhatikan dalam security
(Security Triangle), yaitu:
- Proteksi sistem (OS, Drivers, Services, etc)
- Kontrol dan batasi koneksi network (Incoming/outgoing IP
26
based connections)
- Cek behavior aplikasi dan blok yang tidak diperbolehkan akses.
Gambar 2.8 Pilar Keamanan ATM
2.3.7 Tipe dari Sekuriti ATM
Menurut (Diebold, 2007) terdapat 6 tipe keamanan ATM, yaitu:
- Physical Security
Kemanan fisik terdiri dari melindungi ATM secara fisik, mencegah seluruh mesin
yang akan dicuri. Biasanya terdapat lemari besi/brangkas berisi uang tunai untuk
melindungi uang yang ada pada mesin ATM tersebut
- Transactional Integrity & Security
Integritas mengacu pada kepercayaan data atau sumber daya, maksudnya bahwa
mesin harus memastiakn semua kegiatan transaksi hanya dapat dillakukan oleh
pemilik sebenarnya dari account tersebut
- Device operation and security
Keamanan ini membahas hal-hal mengenai fungsi dari mesin A TM. A TM
Owners dan operator harus memastikan dan mengamankan mesin dapat berjalan
dengan baik. contoh: memperbaiki desain luar mesin, menggunakan bahan
27
konstruksi tahan perusak, dan menambahkan perangkat tambahan pada komponen
ATM
- Customer Identity Security
ATM harus dilindungin dari ancaman pencurian identitas konsumen seperti upaya
untuk mencuri PIN nasabah dan informasi kartu ATM untuk mendapatkan akses
ke rekening secara tidak sah
- Customer Safety at the ATM
Tidak hanya mesin yang harus dilindungi, yang lebih penting adalah melindungi
pelanggan. banyak fasilitas kemanan untuk para nasabah seperti: cermin,
pencahayaan yang lebih baik, tombol panggilan darurat
- Digital Security
Keamanan digital lebih terfokus untuk mencegah intrusion, hacker, dan
menghentikan kejahatan digital lainnya
2.4 Manajemen
Dalam melaksanakan perancangan dan implementasi proses keamanan
informasi yang efektif, pemahaman mengenai beberapa prinsip dalam manajemen
menjadi hal yang sangat penting. Manajemen adalah seni menyelesaikan
pekerjaan melalui orang lain. Definisi Mary Parker Follet ini berarti bahwa
seorang manajer bertugas mengatur dan mengarahkan orang lain untuk mencapai
tujuan organisasi. Ricky W. Griffin (2006) dalam bukunya Business, 8th Edition,
mendefinisikan manajemen sebagai sebuah proses perencanaan,
pengorganisasian, pengkoordinasian, dan pengontrolan sumber daya untuk
mencapai sasaran secara efektif dan efesien. Efektif berarti bahwa tujuan dapat
28
dicapai sesuai dengan perencanaan, sementara efisien berarti bahwa tugas yang
ada dilaksanakan secara benar, terorganisir, dan sesuai dengan jadwal. Manajemen
belum memiliki definisi yang mapan dan diterima secara universal.
Secara sederhana, manajemen adalah proses untuk mencapai tujuan
dengan menggunakan sumber daya yang ada. Dalam buku Principles of
Management, G. R. Terry (1972) mengartikan manajemen sebagai: “ The
accomplishing of predetermined objectives through the efferts of the peoples ”
(manajemen adalah pencapaian tujuan-tujuan yang telah ditetapkan
melalui/bersama-sama usaha orang lain).
Sedangkan Menurut John. D. Millet (1989: 3), dalam buku Management
in the public service, pengertian manajemen: “ The process of directing and
facilitating the work of people organized in formal group to achieve a desired
end ” (manajemen adalah proses pembimbingan dan pemberian fasilitas terhadap
pekerjaan orang-orang yang terorganisir dalam kelompok formil untuk mencapai
suatu tujuan yang dikehendaki).
Kemudian ada lagi pengertian manajemen menurut Harold Koontz dan
Cyril O’Donnell (1976 : 4) adalah “ Management is an essentially the same
process in forms of enterprise and at all levels of organization, althought the
goals environment of management may differ considerably ” (Manajemen pada
dasarnya adalah proses yang sama dalam bentuk perusahaan dan pada semua
tingkat organisasi, meskipun tujuan pengelolaan lingkungan mungkin sangat
berbeda).
Dari gambaran di atas menunjukan bahwa manajemen adalah suatu
keadaan
29
terdiri dari proses yang mengarah kepada pencapaian tujuan, pengorganisasian,
kepemimpinan untuk mencapai tujuan. Prinsip-prinsip dalam manajemen
bersifat lentur dalam arti bahwa perlu dipertimbangkan sesuai dengan kondisi-
kondisi khusus dan situasi-situasi yang berubah. Menurut Henry Fayol, seorang
pencetus teori manajemen yang berasal dari Perancis, prinsip-prinsip umum
manajemen ini terdiri dari :
1. Pembagian kerja (division of work)
2. Wewenang dan tanggung jawab (authority and responsibility)
3. Disiplin (discipline)
4. Kesatuan perintah (unity of command)
5. Kesatuan pengarahan (unity of direction)
6. Mengutamakan kepentingan organisasi di atas kepentingan sendiri
(subordination of individual interests to the general interests)
7. Pembayaran upah yang adil (renumeration)
8. Pemusatan (centralisation)
9. Hierarki (hierarchy)
10. Tata tertib (order)
11. Keadilan (equity)
12. Stabilitas kondisi karyawan (stability of tenure of personnel)
13. Inisiatif (Inisiative)
14. Semangat kesatuan (esprits de corps)
2.5 Risiko
Yulianto (2006) menyatakan bahwa risiko merupakan sesuatu yang akan
terjadi, dipengaruhi oleh faktor kemungkinan (likelihood), berupa ancaman
30
(thread) terhadap beberapa kelemahan (vulnerabilities) yang menghasilkan
dampak (impact) yang merugikan organisasi. Sedangkan pengamanan informasi
dan sistem informasi adalah perlindungan informasi dan sistem informasi dari
akses, penggunaan, pengungkapan, gangguan, modifikasi, atau penghancuran
yang tidak terotorisasi.
Jake Koun (2010) menjelaskan risiko adalah pengukuran kuantitatif dari
potensi kerusakan yang disebabkan ancaman, celah keamanan, atau dari suatu
peristiwa (memiliki niat jahat atau tidak) yang mempengaruhi sekeumpulan aset
teknologi informasi yang dimiliki oleh perusahaan. Paparan terhadap risiko (yaitu,
menjadi subjek dari peristiwa yang menimbulkan risiko) menyebabkan kerugian
potensial, dan risiko adalah suatu ukuran dari kerugian "rata-rata" (tipikal) yang
bisa diharapkan dari paparan tersebut. Risiko, maka daripada itu, adalah ukuran
kuantitatif dari kerusakan yang dapat terjadi terhadap aset tertentu bahkan setelah
sejumlah pencegahan keamanan informasi telah digunakan oleh organisasi
Christopher Alberts (2002) menjelaskan risiko sebagai kemungkinan
terkena kerusakan atau kerugian. Hal ini mengacu pada situasi dimana seseorang
bisa melakukan sesuatu yang tidak diinginkan atau kejadian alam dapat
menyebabkan hasil yang tidak diinginkan, yang menghasilkan dampak negatif.
Gary Stoneburner (2002) menjelaskan risiko adalah sebuah fungsi dari
kemungkinan terjadinya sebuah ancaman yang berhubungan dengan celah
keamanan potensial, dan dampak yang dihasilkan dari peristiwa yang merugikan
tersebut pada organisasi.
31
2.6 Manajemen Risiko dan Penilaian Risiko
Wright (1999) menyatakan bahwa manajemen risiko merupakan proses
membangun dan memelihara keamanan sistem informasi di dalam organisasi.
Wright juga menambahkan jantung dari manajemen risiko adalah penilaian risiko
dimana risiko dari sistem diidentifikasi dan dievaluasi untuk
menyesuaikan kontrol keamanan
Carol woody ( 2006) menjelaskan manajemen risiko merupakan suatu
proses berulang yang membahas analisa, perencanaan, implementasi, kontrol
dan pengawasan terhadap kebijakan dan pengukuran implementasi kebijakan
keamanan. Sebaliknya, penilaian risiko dilakukan pada waktu tertentu
(contohnya setahun sekali, dll) dan memberikan gambaran sementara
penilaian risiko dan juga memberikan ukuran terhadap proses manajemen risiko.
Hubungan antara manajemen risisko dan penilaian risiko dapat
digambarkan dalam gambar yang ada di bawah ini
Gambar 2.9 Hubungan antara manajemen risiko dan penilaian risiko (Carol
Woody, 2006 ) Sumber : Carol Woody (2006)
32
Technical Department of European Network and Information Security
Agency (ENISA) Section Risk Management (2006) menjelaskan manajemen risiko
adalah proses penilaian pada alternatif kebijakan yang dikonsultasikan kepada
pihak terkait, yang berhubungan dengan penilaian risiko dan dan faktor yang sah
lainnya, dan memilih pencegahan yang tepat dan pilihan kontrol.
Dari penjelasan ini, Technical Department of ENISA Section Risk
Management juga memberikan daur hidup siklus dari manajemen risiko yang
tergambar pada Gambar 2. 10 dibawah
Gambar 2.10 Daur hidup manajemen risiko (Technical Department of ENISA
Section Risk Management , 2006) Sumber : ENISA (2006)
Daur hidup siklus ini tersusun atas :
• Definisi dari ruang lingkup: Proses pembentukan
parameter global atas kinerja manajemen risiko dalam sebuah
organisasi. Dalam definisi ruang lingkup manajemen risiko, baik
33
faktor internal dan eksternal harus diperhitungkan.
• Penilaian risiko: Suatu proses ilmiah dan berbasis teknologi
berbasis terdiri dari tiga langkah, identifikasi risiko, analisis risiko
dan evaluasi risiko.
• Tindakan atas risiko: Proses seleksi dan implementasi tindakan
untuk memodifikasi risiko.
• Komunikasi mengenai risiko: Suatu proses untuk saling
bertukar informasi atau berbagi tentang risiko antara pembuat
keputusan dan pemangku kepentingan lainnya di dalam dan di luar
organisasi.
• Memantau dan meninjau kembali: Suatu proses untuk
mengukur efisiensi dan efektivitas organisasi dalam manajemen
risiko adalah pembentukan proses pemantauan dan proses peninjauan
kembali. Proses ini memastikan bahwa aksi rencana pengelolaan yang
ditentukan tetap relevan dan diperbarui. Proses ini juga
menerapkan pengendalian kegiatan termasuk evaluasi ulang dari
lingkup dan sesuai dengan keputusan.Biasanya, organisasi melakukan
analisis risiko dengan tujuan menyesuaikan praktek dan kontrol
keamanan mereka dengan tingkat risiko yang dapat diterima
(Tsoumas dan Tryfons, 2004).
Stonebumer (2006) menjelaskan bahwa penaksiran risiko merupakan
langkah- langkah yang perlu dilakukan dalam rangka untuk mengetahui
tingkat risiko yang terhadap aset yang dimiliki oleh perusahaan, karena dari
hal itu akan ditentukan rancangan untuk mengurangi resiko terhadap
34
kehilangan atau kerusakan aset. Secara lengkap, langkah-langkah dalam
penilaian risiko TI, sebagai berikut:
1. Identifikasi karakteristik sistem (system characterization)
2. Identifikasi ancaman (threat identification)
3. Identifikasi kerawanan/kelemahan (vulnerability determination)
4. Analisis kontrol (control analysis)
5. Pengenalan kecenderungan (likelihood determination)
6. Analsis dampak (impact analysis)
7. Pengenalan risiko (risk determination)
8. Rekomendasi kontrol (control recommendation)
9. Dokumentasi (result documentation)
Risiko merupakan hal yang memungkinkan akan menyebabkan ancaman
terhadap aset perusahaan, yang berpotensi mendatangkan kerawanan/kelemahan
(vulnerability) dan berdampak pada perusahaan. Untuk mengetahui kemungkinan
terganggunya keamanan aset perusahaan, maka perlu dilakukan analisis dari
ancaman terhadap sistem TI, dengan cara mengukur potensi
kerawanan/kelemahan (vulnerability) dan kontrol pada sistem TI, sehingga akan
disusun laporan hasil penaksiran risiko.
Berikut ini adalah metode-metode yang biasanya digunakan
untuk melakukan penilaian risiko, yaitu :
• Austrian IT Security Handbook
• CRAMM
• Dutch A&K analysis
• EBIOS
35
• ISF methods for risk assessment and risk management
• ISO/IEC IS 13335-2 (ISO/IEC IS 27005)
• ISO/IEC IS 17799:2005
• ISO/IEC IS 27001 (BS7799-2:2002)
• IT-Grundschutz (IT Baseline Protection Manual)
• MARION
• MEHAR
• OCTAVE
• SP 800-30 (NIST)
Perbandingan antara metode metode diatas dapan kita lihat pada tabel di
bawah ini, dimana masing masing metode mempunyai kelebihan dan kekurangan
36
Tabel 2.1 Perbandingan metode penilaian risiko (Technical Department of
ENISA Section Risk Management , 2006)
2.7 Metode Octave
OCTAVE adalah metodologi yang digunakan untuk mengidentifikasi dan
mengevaluasi information security risks. Menurut (A., Stevens, & Woody, 2005),
OCTAVE is a suite of tools, techniques, and methods for risk-based information
security strategic assessment and planning. Dapat diartikan OCTAVE adalah
suatu jenis strategi pengamanan berdasarkan teknik perencanaan dan risiko.
OCTAVE merupakan salah satu teknik dan metode yang digunakan untuk strategi
dan perencanaan risiko keamanan informasi.
37
Penggunaan OCTAVE sendiri ditujukan untuk membantu perusahaan
dalam hal :
- Mengembangkan kriteria evaluasi risiko kualitatif yang
menggambarkan toleransi risiko operasional perusahaan
- Mengidentifikasikan aset yang penting bagi misi perusahaan
- Mengidentifikasi kerentanan dan ancaman bagi aset tersebut
- Menentukan dan mengevaluasi akibat yang mungkin
terjadi bagi perusahaan jika ancaman tersebut terjadi
Terdapat 3 jenis metode OCTAVE :
a) Metode OCTAVE digunakan dalam membentuk dasar pengetahuan
OCTAVE.
b) OCTAVE-Allegro, digunakan dalam pendekatan efektif untuk keamanan
informasi dan jaminan.
c) OCTAVE-S, digunakan pada organisasi-organisasi yang lebih kecil.
Metode-metode OCTAVE dapat ditemukan pada kriteria OCTAVE,
pendekatan umum untuk penghilang risiko dan pelatihan berbasis evaluasi
keamanan informasi. Kriteria OCTAVE menetapkan prinsip dasar dan atribut
manajemen risiko yang digunakan dalam metode-metode OCTAVE.
Sarana dan keuntungan metode-metode OCTAVE adalah :
a. Self directed : Sekelompok anggota organisasi dalam unit-unit bisnis
yang bekerja sama dengan divisi teknologi informasi untuk
mengidentifikasi kebutuhan keamanan dari organisasi.
b. Flexible : Setiap metode dapat diterapkan pada sasaran, keamanan dan
lingkungan risiko perusahaan di berbagai level.
38
c. Evolved : Octave menjalankan operasi berbasis risiko perusahaan pada
sisi keamanan dan menempatkan teknologi di bidang bisnis.
2.7.1 OCTAVE
OCTAVE adalah penilaian strategis berbasis risiko dan teknik
perencanaan untuk keamanan informasi. Hal ini mengarahkan diri sendiri, yang
berarti bahwa orang-orang dari dalam organisasi bertanggung jawab untuk
menetapkan strategi keamanan organisasi. Pendekatan ini memanfaatkan
pengetahuan masyarakat yang berhubungan dengan keamanan praktek organisasi
mereka dan proses untuk menangkap keadaan saat praktek keamanan dalam
organisasi. Risiko terhadap aset yang paling penting yang digunakan untuk
memprioritaskan bidang perbaikan dan mengatur strategi keamanan untuk
organisasi.
Berbeda dengan penilaian teknologi yang berfokus yang ditargetkan pada
risiko teknologi dan fokus pada isu-isu taktis, OCTAVE ditargetkan pada risiko
organisasi dan terfokus pada strategi, praktik-isu terkait. Ini adalah evaluasi
fleksibel yang dapat disesuaikan untuk sebagian besar organisasi.
Ketika menerapkan OCTAVE, sebuah tim kecil dari unit operasional atau
bisnis dan departemen TI bekerja bersama untuk membentuk tim analisis dan
kebutuhan keamanan organisasi. Tim Analisis:
a. Mengidentifikasi aset informasi penting
b. Fokus pada kegiatan analisis risiko atas aset kritis
39
c. Mempertimbangkan hubungan antara aset kritis, ancaman terhadap
aset-aset dan kerentanan (baik organisasi dan teknologi) yang dapat
mengekspos aset untuk ancaman
d. Mengevaluasi risiko dalam konteks operasional, yaitu, bagaimana aset
penting yang digunakan untuk melakukan bisnis organisasi dan
bagaimana mereka berisiko karena ancaman keamanan dan kerentanan
e. Menciptakan praktik berbasis strategi perlindungan untuk perbaikan
organisasi serta mitigasi resiko berencana untuk mengurangi risiko
terhadap aset kritis organisasi
Metode OCTAVE ini dikembangkan bersama-sama dengan perusahaan
besar (yang memiliki 300 pekerja atau lebih), tetapi ukuran buku pertimbangan
satu-satunya. Contohnya, perusahaan besar umumnya memiliki multi-layered
hierarchy dan digunakan untuk mempertahankan perhitungan infrastruktur
mereka seiring dengan kemampuan internal untuk menjalankan alat evaluasi dan
menginterpretasikan hasilnya dalam hubungan dengan aset-aset yang berharga.
Metode OCTAVE menggunakan pendekatan tiga fase untuk menganalisa
masalah-masalah perusahaan dan teknologi, menyusun gambaran komprehensif
dari kebutuhan keamanan informasi perusahaan yang disepakati dalam berbagai
kegiatan kerja, baik yang difasilitasi atau diselenggarakan oleh tim analisis yang
terdiri dari tiga sampai lima anggota perusahaan.
Metode ini mengambil keuntungan dari berbagai tingkatan pengetahuan
perusahaan, yang berfokus pada :
a) Identifikasi aset kritikal dan ancaman terhadap aset tersebut
40
b) Identifikasi kelemahan-kelemahan organisasional dan teknologikal
yang mengekspos ancaman dan menimbulkan risiko perusahaan
c) Mengembangkan strategi pelatihan berbasis proteksi dan rencana
pengurangan risiko untuk mendukung misi dan prioritas
perusahaan
Kegiatan-kegiatan tersebut didukung oleh catatan survey dan kerja yang
dapat digunakan untuk memperoleh informasi selama diskusi dan selama sesi
penyelesaian masalah.
2.7.2 OCTAVE Allegro
OCTAVE Allegro merupakan suatu metode varian modern yang
berkembang dari metode octave yang dimana berfokus pada aset informasi.
Seperti metode octave sebelumnya, octave allegro bisa ditampilkan di workshop-
style, collaborative setting, tetapi octave allegro juga cocok untuk individu yang
ingin menampilkan penaksiran yang berisiko tanpa keterlibatan organisasi yang
luas, keahlian, dan masukan-masukan.
Fokus utama dari octave allegro adalah aset informasi, aset lain yang
penting dari organisasi adalah identifikasi dan penaksiran yang berdasarkan pada
aset informasi yang terhubung dengan aset-aset organisasi tersebut.
Octave allegro terdiri dari 8 langkah yang digabung dalam 4 tingkat:
1. Fase pertama : Pendukung penafsiran menguatkan risiko pengukuran
konsekuensi kriteria dengan pengemudi (orang yang menjalankan)
organisasi : misi organisasi, sasaran tujuan/target dan faktor yang sangat
menentukan.
41
2. Fase kedua : Peserta membuat profile dari setiap aset informasi yang kritis
yang menentukan batasan-batasan yang jelas untuk aset, mengidentifikasi
syarat keamanannya, dan mengidentifikasi semua wadahnya.
3. Fase ketiga : Peserta mengidentifikasi ancaman pada setiap aset informasi
dalam konteks wadahnya.
4. Fase keempat : Peserta mengidentifikasi dan menganalisa risiko-risiko pada
aset informasi dan mulai dikembangkan.
2.7.3 OCTAVE-S
Menurut (A., Stevens, & Woody, 2005), OCTAVE-S is a variation of the
approach tailored to the limited means and unique constrains typically found in
small organizations (less than 100 people). Dapat diartikan OCTAVE-S adalah
variasi dan pendekatan OCTAVE yang dikembangkan untuk kebutuhan
organisasi yang kecil (kurang dari 100 orang).
Untuk mengelola risiko terhadap keamanan sistem informasi, maka perlu
dilakukan analisa risiko untuk mengurangi kerugian-kerugian yang mungkin
terjadi. Salah satu metode analisa risiko keamanan sistem informasi suatu
organisasi atau perusahaan adalah metode OCTAVE-S (The Operationally
Critical Threat, Asset, and Vulnerability Evaluation)-Small yang mampu
mengelola risiko perusahaan dengan mengenali risiko-risiko yang mungkin terjadi
pada perusahaan dan membuat rencana penanggulangan dan mitigasi terhadap
masing-masing risiko yang telah diketahui.
Evaluasi terhadap risiko keamanan informasi yang dilakukan oleh metode
OCTAVE-S bersifat komprehensif, sistematik, terarah, dan dilakukan sendiri.
42
Untuk mendukung dan memudahkan pelaksanaan analisa risiko dengan
menggunakan metode OCTAVE-S, maka perlu suatu sistem berbasis komputer
yang mampu melakukan analisa risiko terhadap keamanan perusahaan sesuai
dengan langkah-langkah metode OCTAVE-S.
Dua aspek unik dari metode OCTAVE yang harus dipahami adalah :
a. Suatu tim kecil yang terdiri dari 3-5 orang dari beberapa unit kerja
mengarahkan penggunaan OCTAVE-S secara bersama-sama, anggota tim
analisis harus memiliki pemahaman yang luas mengenai bisnis organisasi
dan proses pengamanan sehingga dapat menangani semua aktifitas
OCTAVE-S. Karena itu OCTAVE-S tidak mewajibkan adanya suatu
workshop formal dalam pengumpulan data untuk memulai suatu evaluasi.
b. OCTAVE-S meliputi evaluasi terbatas dari infrastruktur selama tahap 2.
Organisasi kecil sering kali mengoutsourcekan servis dan fungsi teknologi
informasi mereka, sehingga biasanya tidak bisa menggunakan dan
menginterpretasikan alat evaluasi kerentanan. Bagaimanapun, kekurangan
dari kemampuan organisasi untuk menjalankan alat seperti itu tidak
mencegah suatu organisasi dalam menentukan sebuah strategi pengamanan.
Gambar 2.11 Kriteria OCTAVE
43
2.8 OCTAVE
Metode OCTAVE dikembangkan oleh The Software Engineering
Institute. Metode OCTAVE ditujukan untuk perusahaan besar yang memiliki
lebih dari 300 orang staff. Berdasarkan kutipan dari “PENILAIAN RESIKO
SISTEM INFORMASI PADA BINA NUSANTARA MENGGUNAKAN
METODE OCTAVE ALLEGRO” yang dibuat oleh Welly dan Mikewati
diketahui bahwa secara spesifik, metode OCTAVE didesain untuk perusahaan
yang memiliki karakteristik sebagai berikut:
1) Memiliki hierarki yang banyak.
2) Mengurus infrastruktur IT sendiri.
3) Memiliki kemampuan untuk melakukan alat evaluasi kerentanan.
4) Memiliki kemampuan untuk menginterprasikan hasil dari evaluasi kerentanan.
Gambar 2.12 Langkah-langkah OCTAVE (Carol Woody,2006)
Metode OCTAVE melibatkan 2 tipe workshops yaitu :
1. Diskusi dengan berbagai level karyawan organisasi
44
2. Diskusi dengan tim analisis terkait aktifitas yang akan dilakukan.
Dalam workshops memiliki seorang pemimpin yang bertanggung jawab untuk
memastikan tim analisis telah siap untuk berpartisipasi dalam kegiatan evaluasi.
2.8.1 Tahap Persiapan
Beberapa faktor kunci dalam melakukan evaluasi adalah :
Mendapatkan dukungan dari manajer seniorDukungan dari manajer
senior dapat berupa dukungan yang berlanjut atas aktifitas OCTAVE,
mendukung partisipasi staff, delegasi tanggung jawab, komtimen dalam
mengalokasikan sumber daya serta perjanjian dalam melakukan review
hasil dan mengambil keputusan pada tahap selanjutnya.
Memilih Tim AnalisisTim analisis memiliki peran utama dalam
keberhasilan evaluasi. Tim analisis terdiri dari 3 sampai 5 orang yang
berasal dari unit bisnis organisasi dan departemen IT.
Menentukan ruang lingkup Metode OCTAVEFokus dan ruang lingkup
metode OCTAVE adalah berdasarkan area kritis.
Memilih partisipan
45
Tabel 2.2 Partisipan
Sumber Christopher Alberts, Audrey Dorofee (2002,87)
2.8.2 Phase 1: Build Asset-Based Threat Profiles
Tim analisis melakukan wokrshop pada proses 1 sampai proses 3.
Partisipan dari organisasi memberikan kontribusi terkait aset dan bagaimana aset
tersebut dijaga. Berikut penjelasan pada proses di fase1 :
- Proses 1-Identifikasi pengetahuan manajemen senior. Partisipan dari
proses ini adalah manajer senior.
- Proses 2-Identifikasi pengetahuan area operasional. Partisipan dari
proses ini adalah manajer area operasional.
- Proses 3-Identifikasi pengetahuan staff. Partisipan dari proses ini adalah
staff organisasi.
46
Dari 3 proses diatas, hasil yang diharapkan adalah identifikasi aset dan
prioritas, identifikasi konsen area, identifikasi persyaratan keamanan atas aset
kritis serta mendapatkan pengetahuan terkait praktik keamanan yang ada dan
kerentanan organisasi.
Aktifitas utama dari workshop adalah mengidentifikasikan aset. Pada
aktifitas ini, partisipan fokus ke aset yang berhubungan dengan informasi yang
digunakan pada saat bekerja. Berdasarkan referensi dari Fites 89, BSI 95, Caelli
91 yang dikutip dari Christopher Alberts, Audrey Dorofee (2002,100) aset
merupakan sesuatu yang berharga bagi organisasi dan dikelompokkan menjadi 5
kategori yaitu :
- Informasi
- Dokumentasi (kertas maupun elektronik) data atau properti intelektual
yang digunakan untuk mencapai misi organisasi.
- Sistem Sistem informasi yang digunakan untuk memproses dan
menyimpan informasi. Sistem merupakan kombinasi informasi, perangkat
lunak, perangkat keras dan host, client, dan server yang dianggap sebagai
sistem.
- Perangkat LunakAplikasi perangkat lunak seperti sistem operasi, aplikasi
database, software, aplikasi kantor, dan aplikasi kustom.
- Perangkat Keras dan Peralatan fisik teknologi informasi seperti
workstations, servers, router, switch,dan hub.
- SDM. Orang dalam organisasi yang memiliki keahlian unik, pengetahuan
dan pengalaman yang tidak dapat digantikan.
Setelah dilakukan identifikasi aset, aktifitas yang dilakukan partisipan
47
adalah memilih aset yang dianggap paling penting. Pemilihan aset
direkomendasikan dibatasi menjadi 5 aset yang dapat dipilih oleh partisipan.
Tahap berikutnya adalah para partisipan menentukan area utama dimana
aset kritis dapat terancam, partisipan mengembangkan skenario berdasarkan
sumber dan dampak ancaman.
Gambar 2.13 Dampak dan Ancaman
Sumber Christopher Alberts, Audrey Dorofee (2002,87)
Dalam membuat strategi keamanan dan rencana mitigasi risiko atas
keamanan aset kritis organisasi, perlu dikembangkan apa yang menjadi bagian
terpenting dari aset tersebut. Pada poin ini para partisipan melakukan diskusi
terkait kualitas paling penting dari aset yang telah diidentifikasi. Terdapat 3 tipe
persyaratan keamanan yang dapat dipertimbangkan oleh organisasi :
1. ConfidentialityKebutuhan untuk memastikan bahwa informasi sensitif,
personal maupun proprietary tidak dapat diakses oleh orang yang tidak
berwenang.
48
2. IntegrityAutentikasi, akurasi dari aset
3. AvailabilityKapan maupun seberapa seringnya aset harus tersedia untuk
digunakan.
Dalam meningkatkan keamanan keamanan informasi, organisasi harus
memahami pengelolaan keamanan informasi yang tersedia pada saat ini. Aktifitas
berikutnya adalah para partisipan mengisi survei terkait praktik keamanan di
organisasi. Tahap berikutnya adalah para partisipan menentukan area utama
dimana aset kritis dapat terancam, partisipan mengembangkan skenario
berdasarkan sumber dan dampak ancaman.
- Proses 4-Membuat profil ancaman.Partisipan pada proses ini adalam
tim analisis. Tim analisis mengidentifikasikan aset yang paling kritis dari
organisasi dan ancaman yang dapat mengancam aset kritis tersebut. Proses
4 terdiri dari aktifitas konsolidasi informasi dari proses 1 sampai proses 3,
memilih aset kritis, menentukan persyaratan keamanan yang dibutuhkan
pada aset kritis, identifikasi ancaman terhadap aset kritis.
2.8.3 Phase 2:Identify Infrastructure Vulnerabilities
Fase 2 sering disebut sisi teknologi dari metode OCTAVE. Pada fase ini evaluasi
dilakukan pada infrastruktur teknologi organisasi. Pada fase 2 ini terdiri dari 2
proses yaitu :
- Proses 5-Identifikasi komponen utama. Partisipan pada proses ini
adalah tim analisis dan beberapa karyawan yang dipilih dari staff
teknologi informasi. Tujuan utama dari proses ini adalah memilih
komponen infrastruktur yang hendak diperiksa terkait kelemahan pada
proses 6. Berikut komponen yang dapat digunakan sebagai bahan
49
pertimbangan :
- Server
- Komponen Jaringan
- Komponen Keamanan
- Dekstop workstations
- Komputer
- Laptop
- Peralatan Penyimpanan
- Komponen Wireless
- Proses 6 - Evaluasi komponen. Partisipan pada proses ini adalah tim
analisis dan beberapa karyawan yang dipilih dari staff teknologi informasi.
Pada proses ini dijalankan alat evaluasi kerentanan maupun checklist pada
komponen infrastruktur dan melakukan peninjauan atas kerentanan dan
menghasilkan laporan. Berikut merupakan beberapa contoh pendekatan
dalam melakukan evaluasi kerentanan :
Gambar 2.14 Pendekatan Evaluasi Kerentanan
Sumber Christopher Alberts, Audrey Dorofee (2002,87)
50
Setelah hasil dari evaluasi kerentanan tersedia, tim analisis melakukan identifikasi
aksi dan rekomendasi kepada organisasi.
2.8.4 Phase 3:Develop Security Strategy Plan
Fase 3 digunakan untuk mengembangkan strategi dan rencana keamanan untuk
memitigasi risiko unik yang ada diorganisasi. Berikut proses yang ada dalam fase
3 :
- Proses 7-Melakukan analisa risiko.Partisipan pada proses 7 adalah tim
analisis dengan dibantu personil dari manajer operasional serta manajer
pengelolaan risiko. Tujuan utama dari proses ini adalah untuk
mengidentifikasi dan melakukan analisa risiko atas aset organisasi. Proses
7 mencakup identifikasi dampak dari ancaman terhadap aset kritis,
membuat kriteria evaluasi risiko, evaluasi dampak risiko terhadap aset
kritis, probabilitas (pada metode OCTAVE dipandang sebagai
opsional).Area yang digunakan dalam membuat kritera evaluasi :
Reputasi, Kesehatan, Produktifitas, Hukum, Keuangan dan Fasilitas
Berikut merupakan dampak yang digunakan dalam membuat kriteria
evaluasi : High, Medium dan Low
Berikut merupakan probabilitas yang digunakan dalam membuat kriteria
evaluasi : High, Medium dan Low
Dalam penentuan probabilitas perlu adanya dukungan dari staff yang
berpengalaman seperti staff dari departemen risk management dan staff dari
departemen teknologi informasi yang berpengalaman.
- Proses 8-Mengembangkan strategi keamanan.
Dalam mengembangkan strategi keamanan, beberapa hal yang harus diperhatikan
51
adalah :
1. Praktik yang ada saat ini dan harus digunakan secara lanjut.
2. Praktik yang ada saat ini yang harus ditingkatkan.
3. Praktik baru yang harus diadopsi oleh organisasi.
Strategi keamanan dapat dilakukan pada area sebagai berikut :
1. Peningkatan Kesadaran dan Pelatihan
2. Strategi Keamanan
3. Pengelolaan Keamanan
4. Kebijakan Keamanan
5. Kolaborasi pengelolaan keamanan
6. Keamanan Fisik
7. Keamanan Teknologi Informasi
8. Keamanan Staff
Aktifitas dalam membuat rencana mitigasi risiko merupakan transisi dari
pandangan strategi ke pandangan operasional. Pengembangan mitigasi risiko
memiliki dampak secara langsung dalam mengurangi risiko terhadap aset kritis
organisasi.Rencana mitigasi risiko dilakukan ada 4 kategori ancaman sebagai
berikut :
1. Human actors using network access
2. Human actors using physical access
3. Systems problem
4. Others problem
52
Pada saat pengembangan strategi keamanan, list aksi dikembangkan oleh tim .
Beberapa hal yang dapat dilakukan organisasi antara lain :
1. Aksi yang harus dilakukan
2. Orang yang bertanggung jawab
3. Waktu penyelesaian keseluruhan item
4. Dukungan manajemen dalam memberikan fasilitas
2.9 Teori Populasi dan Teknik Sampling
Populasi atau universe adalah sekelompok orang, kejadian, atau benda,
yang dijadikan obyek penelitian. Jika yang ingin diteliti adalah sikap konsumen
terhadap satu produk tertentu, maka populasinya adalah seluruh konsumen produk
tersebut. Jika yang diteliti adalah laporan keuangan perusahaan “X”, maka
populasinya adalah keseluruhan laporan keuangan perusahaan “X” tersebut, Jika
yang diteliti adalah motivasi pegawai di departemen “A” maka populasinya
adalah seluruh pegawai di departemen “A”. Jika yang diteliti adalah efektivitas
gugus kendali mutu (GKM) organisasi “Y”, maka populasinya adalah seluruh
GKM organisasi “Y”
Secara umum sampel penelitian adalah bagian dari populasi yang
mewakili karakteristik populasi dalam peneltian. Sampel mempunyai cakupan
lebih kecil dari pada populasi. Untuk mendapatkan sampel, maka digunakanlah
teknik penggambilan sampel atau sering disebut dengan sampling. Tenik
pengambilan sampel ada bermacam-macam. Untuk memperdalam pemahaman
kita tentang sampel dan sampling, maka kita perlu merujuk teori-teori yang sudah
ada. Berikut Teori Sampel dan Sampling Penelitian menurut para pakar:
53
1. TEORI SAMPEL DAN SAMPLING PENELITIAN MENURUT
SUGIYONO (2011:118-127).
Sampel adalah bagian dari jumlah dan karakteristik yang dimiliki oleh
populasi. Sampel dilakukan jika populasi besar dan peneliti tidak mungkin
memperlajari semua yang ada pada populasi. Teknik Sampling, adalah teknik
pengambilan sampel. Untuk menetukan sampel yang akan digunakan dalam
penelitian, terdapat macam-macam teknik sampling yaitu Probability Sampling
dan Non Probability Sampling:
1. Probability Sampling, adalah teknik pengambilan sampel yang
memberikan peluang yang sama kepada setiap unsur (anggota) populasi untuk
dipilih menjadi anggota sampel. Tekni ini meliputi. Simple rambom sampling,
Proportionate stratified random sampling, Disproportionate stratified random
sampling, dan Sampling area.
Simple Rambom Sampling, adalah pengambilan sampel dari populasi
yang dilakukan secara acak tanpa memperhatikan strata yang ada dalam populasi
itu. Cara ini dilakukan jika anggota populasi bersifat homogen.
Proportionate Stratified Random Sampling, adalah teknik pengambilan sampel
yang digunakan jika populasi mempunyai anggota atau unsur yang tidak homogen
dan berstrata secara proporsional.
Disproportionate Stratified Random Sampling, adalah teknik yang
digunakan untuk menentukan jumlah sampel, jika populasi berstrata tetapi kurang
proporsional.
Sampling Area, teknik sampling daerah digunakan untuk menentukan
sampel bila objek yang akan diteliti atau sumber data sangat luas, misal penduduk
54
dari suatu negara, propinsi atau kabupaten. Untuk menentukan penduduk mana
yang akan dijadikan sumber data, maka pengambilan sampelnya berdasarkan
daerah populasi yang telah ditetapkan.
2. Non Probability Sampling, adalah teknik pengambilan sampel yang tidak
memberi pelung atau kesempatan sama bagi setiap unsur atau anggota populasi
untuk dipilih menjadi sampel. Teknik sampel ini meliputi, Sampling sistematis,
Kuota, Insidental, Purposive, Jenuh, Snowball.
Sampling Sistematis, adalah teknik pengambilan sampel berdasarkan
urutan dari anggota populasi yang telah diberi nomor urut. Pengambilan sampel
dapat dilakukan dengan nomor ganjil saja, genap saja, atau kelipatan dari bilangan
tertentu.
Sampling Kuota, adalah teknik untuk menentukan sampel dari populasi
yang mempunyai ciri-ciri tertentu sampai jumlah (kuota) yang diiginkan.
Sampling Insidental, adalah teknik menentukan sampel berdasarkan
kebetulan, yaitu siapa saja yang secara kebetulan atau insidental bertemu dengan
peneliti dapat digunakan sebagai sampel jika orang tersebut dipandang cocok
sebagai sumber data.
Sampling Purposive, adalah teknik menentukan sampel dengan
pertimbangan tertentu sesuai dengan tujuan yang dikehendaki. Sampel ini lebih
cocok digunakan untuk penelitian kualitatif atau penelitian-penelitian yang tidak
melakukan generalisasi.
Sampling Jenuh, adalah teknik menentukan sampel bila semua anggota
populasi digunakan sebagai sampel. Hal ini sering dilakukan jika jumlah populasi
relatif kecil yakni kuran dari 30 orang.
55
Snowball Sampling, adalah teknik penentuan sampel yang mula-mula
jumlahnya kecil, kemudian membesar. Ibarat bola salju yang menggelinding yang
lama-lama menjadi besar.
2. TEORI SAMPEL DAN SAMPLING PENELITIAN MENURUT
ARIKUNTO (2010:134-185)
Sampel adalah sebagian atau wakil populasi yang diteliti”. Berdasarkan
pengertian di atas, dapat disimpulkan sampel adalah bagian populasi yang hendak
diteliti dan mewakili karakteristik populasi. Apabila populasi penelitian berjumlah
kurang dari 100 maka sampel yang diambil adalah semuanya, namun apabila
populasi penelitian berjumlah lebih dari 100 maka sampel dapat diambil antara
10-15% atau 20-25% atau lebih. pengambilan sampel dalam penelitian dilakukan
dengan cara Sampel acak, Sampel berstrata, Sampel wilayah, Sampel proporsi,
Sampel kouta, Sampel kelompok, dan Sampel kembar.
Sampel Acak (Random Sampling) adalah teknik mengambilan sampel
dengan cara mencampur subjek-subjek tanpa mepertimbangkan tingkatan-
tingkatan dalam populasi.
Sampel Berstrata (Stratified Sample) adalah teknik pengambilan sampel
dengan memperhatikan tingakatan-tingkatan dalam populasi.
Sampel Wilayah (Area Probability Sample) adalah teknik pengambilan
sampel dengan memperhatikan area dimana populasi berada.
Sampel Proporsi (Proportional Sample) adalah teknik pengambilan sampel
dengan memperhatikan proporsi dalam sampel wilayah.
56
Sampel Bertujuan (Proporsive Sample) adalah teknik pengambilan sampel
didasarkan pada tujuan tertentu dengan memperhatikan ciri-ciri dan karakteristik
populasi.
Sampel Kouta (Qouta Sample) adalah teknik pengambilan sampel
berdasarkan jumlah yang telah ditentukan.
Sampel Kelompok (Cluster Sample) adalah teknik pengambilan sampel
berdasarkan kelompok yang telah ditentukan dari anggota populasi.
Sampel Kembar (Double Sample) adalah teknik pengambilan sampel
dengan menggunakan dua sampel sekaligus sebagai pembanding.
3. TEORI SAMPEL DAN SAMPLING PENELITIAN MENURUT BUGIN
(2011:112-115).
Sampel adalah wakil semua unit strata dan sebagainya yang ada di dalam
populasi. Faktor-faktor yang harus dipertimbangkan dalam menentukan sampel
dalam suatu penelitian, yaitu derajat keseragaman, derajat kemampuan peneliti
mengenal sifat-sifat khusus populasi, presisi yang dikehendaki penelitian, dan
penggunaan teknik sampling yang tepat.
Metode sampling, adalah membicarakan bagaimana menata berbagai
teknik dalam penarikan atau pengambilan sampel penelitian, bagaimana kita
merancang tata cara pengambilan sampel agar menjadi sampel yang representatif.
Metode sampling yang dilakukan tidak boleh meninggalkan faktor-faktor yang
harus dipertimbangkan dalam meperoleh sampel yang representatif itu.
57
4. TEORI SAMPEL DAN SAMPLING PENELITIAN MENURUT
WIDIYANTO (2010:5)
Sampel penelitian adalah sebagian dari populasi yang akan diteliti dan dianggap
telah mewakili dari populasi.
2.10 Diagram Tree
Diagram Pohon atau Tree Diagram adalah satu satu alat yang digunakan
untuk membagikan kategori-kategori besar ke dalam tingkat yang lebih kecil atau
terperinci. Seperti namanya, Diagram Pohon berbentuk seperti pohon yang
memiliki satu batang dahan yang mencabang dua atau lebih. Demikian juga
dengan suatu permasalahan yang ingin kita bahas dengan menggunakan Diagram
Pohon, yaitu terdiri dari satu Kategori atau Item besar yang kemudian dibagikan
menjadi dua cabang atau lebih yang lebih terperinci. Hal ini dapat membantu kita
dalam menyederhanakan suatu permasalahan yang kompleks ataupun
mempermudah kita untuk mendapatkan gambaran pada suatu permasalahan yang
kita hadapi.
Diagram Pohon atau Tree Diagram ini disebut juga dengan Diagram
Hirarki (Hierarchy Diagram), Diagram Sistematic (Systematic Diagram) dan
Pohon Analisis (Analysis Tree).
58
2.11 Penelitian Terdahulu
Penelitian Area
Penelitian
Metode
Penelitian
Kesimpulan
Hadi Santoso
(2010)
Analisis
Risiko
Sistem
Informasi
pada
Instansi X
OCTAVE 1. Strategi proteksi
merupakan rekomendasi
yang meliputi setiap
praktek yang
dianggapandilaksanakan
dan ditingkatkan,
termasuk area yang sudah
dilaksanakan dengan baik.
2. Rencana mitigasi dibuat
untuk melakukan
pencegahan, pengenalan
dan pemulihan dari setiap
risiko yang terjadi pada
aset kritis
Steven Suryanto
(2010)
Analisis
Risiko
Sistem
Informasi
pada PT
Lyto
OCTAVE S 1. Evaluasi risiko dengan
menggunakan metode
OCTAVE-S dapat
memetakan risiko dan
kelemahan sistem
informasi perusahaan.
59
Datarion
Fortuna
2. Hasil dari evaluasi
diketahui bahwa
manajemen risiko berada
pada posisi medium.
Rick Siswanto
(2011)
Pengukuran
Manajemen
Risiko
OCTAVE S 1. PT XYZ tidak
menerapkan manajemen
informasi kemungkinan
pada aset TI. risiko
sistem untuk menilai
risiko-risiko
2. Pelatihan
kesadaran keamanan
perlu diberikan baik
kepada karyawan baru
dan karyawan lama.
3. Pengujian atas
DRC harus dilakukan.
60
