Seminar dan Call For Paper Munas Aptikom Politeknik Telkom Bandung, 9 Oktober 2010 171 3. Karena berbasis aplikasi web 2.0, akses aplikasi akan sedikit lambat pada saat loading pertama kali.

7. DAFTAR PUSTAKA

[1] Nindityo, diakses pada 16 Juli 2008, Ayo Belajar Menulis Jawa, URL: http:www.nindityo.wordpress.com 20080412 ayo-belajar-nulis-aksara-jawa. [2] Dinas Pendidikan Nasional, 2006, Panduan Kurikulum KTSP Kurikulum Tingkat Satuan Pendidikan, Jakarta, Dinas Pendidikan Nasional. [3] Firdaus, Y., diakses pada 2 September 2008, Aksara Hanacaraka dalam Unicode, URL: www.yulian.firdaus.or.idunicode- hanacaraka. [4] Sayoga, B., diakses pada 2 September 2008,Cerita Ajisaka. URL : www.fateback.com bbd_ajisaka.htm. [5] Darusuprapta, 2003, Pedoman Penulisan Aksara Jawa, Yogyakarta, Yayasan Pustaka Nusatama. [6] Bayu, diakses pada 11 September 2008, Publikasi Carakan, URL : http:carakan.blogspot.com200805publikasi -carakan.html. [7] Sayoga, T., diakses pada 21 November 2008, Program Alih Bahasa Aksara Latin ke Aksara Jawa, URL : http:www.pallawa.com. [8] Thejakusuma, R., 2008, Perancangan dan Pembuatan Perangkat Lunak Pengolah Kata Huruf Jawa, Surabaya 172 Seminar dan Call For Paper Munas Aptikom Politeknik Telkom Bandung, 9 Oktober 2010 IMPLEMENTASI FRAMEWORK MANAJEMEN RISIKO TERHADAP PENGGUNAAN TEKNOLOGI INFORMASI PERBANKAN Hendra Sandhi Firmansyah Program Studi Teknik Informatika , STMIK Jabar Bandung email : yasharugmail.com Abstrak Teknologi informasi telah menjadi hal yang paling penting dalam dunia Perbankan, perannya dalam melakukan kegiatan operasional sehari-hari dapat dikatakan tidak terganti, karena hampir seluruh transaksi yang dilakukan melibatkan penggunaan teknologi informasi. Namun tidak selamanya dalam penggunaan teknologi informasi sesuai dengan harapan, dalam penggunaanya muncul berbagai risiko yang dapat mengakibatkan kerugian yang besar bagi bank hingga membuat bank merugi, lebih ekstrim lagi memungkinkan terganggunnya stabilitas ekonomi suatu negara. Risiko-risiko yang timbul ini harus ditangani agar masalah yang ditimbulkan tidak menyebabkan penggunaan teknologi informasi menjadi suatu hambatan atau dalam kasus yang lebih parah merugikan perusahaan. Salah satu metode yang digunakan untuk menangani permasalahan ini yaitu melakukan manajemen risiko terhadap penggunaan teknologi informasi. NIST National Institute of Standard and Technology SP 800 – 30 merupakan salah satu dari beberapa framework manajemen risiko yang banyak digunakan untuk mengidentifikasi menilai dan memberikan solusi terhadap risiko yang mungkin terjadi dalam penggunaan teknologi informasi. Dalam paper ini akan dibahas bagaimana tahapan-tahapan dalam NIST yaitu, Assesment, mitigation dan evaluation diterapkan dalam salah satu bank di Indonesia. Kata kunci: Framework, NIST, Kecenderungan, Kerentanan, bank, Manajemen risiko. 1. Pendahuluan Bank merupakan suatu perusahaan yang menjalankan fungsi intermediasi atas dana yang diterima dari nasabah. Jika sebuah bank mengalami kegagalan, dampak yang ditimbulkan dapat meluas mempengaruhi nasabah dan lembaga- lembaga yang menyimpan dananya atau menginvestasikan modalnya di bank, dan akan menciptakan dampak yang sangat luas secara domestik maupun pasar internasional, Bank Indonesia [2]. Dalam melakukan transaksinya sehari-hari hampir dapat dipastikan penggunaan teknologi informasi TI tidak dapat terlepas dari bank, oleh karena itu penggunaan TI telah manjadi sangat penting. Hanya saja dalam melakukan operasional terkait penggunaan TI timbul juga berbagai risiko yang merugikan bank bahkan bisa menimbulkan terganggunya stabilitas ekonomi suatu Negara dalam kasus yang lebih parah. Beberapa contoh dapat dilihat ketika Bank X mengalami pencurian data oleh karyawan yang mengakibatkan kerugian 200 Juta rupiah,Paul Sutaryono [18] menyatakan terjadi pembobolan beberapa bank nasional dengan potensi kerugian mencapai milyaran rupiah, di Osaka Jepang Fraud yang terjadi pada Daiwa Bank membuat kerugian mencapai USD 1.1 M, hal ini memaksa Daiwa Bank menjual seluruh asetnya dan menutup cabang diseluruh dunia pada periode 1995 – 1998, yang paling hangat adalah beberapa bulan terakhir terjadi penyalahgunaan terhadap ATM yang mangakibatkan pelanggan beberapa bank mengalami kerugian hingga milaran rupiah. Berdasarkan permasalahan diatas maka penulis melalui paper ini akan mencoba bagaimana meminimalisir risiko dengan menggunakan framework manajemen risiko berbasis NIST SP 800 – 30 sehingga dapat diidentifikasi jenis risiko , tingkatan risiko dan rekomendasi kontrol terhadap risiko tersebut. Paper ini dalam akan menggunakan metode standar NIST yang dilengkapi dengan pengumpulan dan pengolahan data sehingga dapat memberikan gambaran terhadap penggunaan penggunaan framework manajemen risiko dalam penggunaan teknologi informasi kemudian mengidentifikasi dan memberikan solusi dengan tiga tahapan yaitu Asses , mitigate, avaluate.

2. Perbankan dan Teknologi Informasi

Menurut Kasmir “ Bank adalah lembaga keuangan yang memiliki kegiatan utama menghimpun dana dari masyrakat dan menyalurkan kembali dana tersebut ke masyarakat serta memberikan layananjasa bank lainnya”. Sementara Undang-undang RI nomor 10 tahun 1998 tanggal 10 november 1998 tentang perbankan mendefinisikan bank sebagai “badan usaha yang menghimpun dana dari masyarakat dalam bentuk simpanan dan menyalurkan kepada masyarakat Seminar dan Call For Paper Munas Aptikom Politeknik Telkom Bandung, 9 Oktober 2010 173 dalam bentuk kredit atau bentuk-bentuk lainnya dalam rangka meningkatkan taraf hidup rakyat”. Indrajit dalam Iman menyatakan bahwa teknologi informasi TI adalah suatu teknologi yang berhubungan dengan pengolahan data menjadi informasi dan proses penyaluran datainformasi tersebut dalam batas-batas ruang dan waktu [8]. Masih dalam Iman [8] Alter menyatakan TI sebagai perangkat lunak maupun keras yang digunakan dalam sistem informasi. Penggunaan teknologi informasi dalam perbankan merupakan hal yang menjadi keseharian, hampir seluruh transaksi perbankan tidak dapat terlepas dari penggunaan teknologi informasi. Penggunaan TI telah menjadi hal yang fundamental dalam bisnis perbankan, digunakan sebagai media untuk melakukan berbagai transaksi multichanel untuk melakukan transaksi perbankan. Selain menjadi tulang punggung transaksi [24], TI telah mampu meningkatkan kinerja pegawai dan meningkatkan kepercayaan pada pelanggan untuk melakukan transaksi. Sejalan dengan literatur lain [22] beberapa penelitian yang diungkapkan oleh Fristak dan Ward mengungkapkan tentang penggunaan TI dalam perbankan yang mampu meningkatkan efisiensi dalam operasional serta mampu menghasilkan benefit yang besar bagi bank yang menerapkan.si perbankan , Darmini [7].

3. Manajemen Risiko dan Perbankan

Manajemen Risiko merupakan proses antisipasi terhadap risiko agar kerugian tidak terjadi kepada organisasi. Stoneburner et. al. berpendapat bahwa manajemen risiko adalah proses mengidentifikasi , menilai dan mengurangi dampak risiko ke level yang dapat diterima organisasi. Dalam konteks TI proses manajemen risiko yang efektif [23]. Beberapa literatur menyatakan bahwa menajemen pada risiko sangatlah bermanfaat karena akan sangat mambantu dalam menghindari kerugian akibat terjadi berbagai risiko yang menimpa. Galorath mengatakan yang membedakan suksesnya sebuah organisasi adalah bagaimana cara mengatasi potensi negatif risiko dan berbagai masalah yang terjadi dalam organisasi. Masih dalam penelitian yang sama diungkapkan bahwa organisasi kita akan sukses menjadi lebih baik jika mampu mengantisipasi berbagai potensi kerugian serta mengelola perubahan yang terjadi [10]. Dalam konteks perbankan, manajemen risiko menurut Bank Indonesia adalah kecukupan prosedur dan metodologi pengelolaan risiko sehingga kegiatan usaha bank tetap dapat terkendali pada bataslimit yang dapat diterima serta menguntungkan bank [1]. Manajemen risiko perbankan sangat penting dilakukan mengingat dampaknya yang sangat besar seperti yang telah dibahas pada bagian sebelumnya. Bouer dan Ryser, mengumpulkan dan menyimpulkan dari beberapa literatur diantaranya Baltsenberger dan Midel 1987, Allen dan Santomero 2001, Boot 2000. Bouer menyimpulkan manajemen risiko perbankan memberikan keuntungan sebagai berikut [5]: • Bank memiliki ketahanan aset yang lebih lama • Bank mampu memonitor informasi dengan mudah sehingga mampu memprediksi berbagai kemungkinan, sebagai contoh analisis kegagalan kredit dan recovery data. • Layanan bank dapat maksimal dengan monitoring terhadap risiko yang mungkin terjadi Risiko yang mungkin terjadi dalam setelah mengidentifikasi literature diantaranya adalah risiko proses internal, SDM, eksternal dan risiko system [1], [3], [14].

4. Framework Manajemen Risiko Teknologi

Informasi Merupakan kerangka kerja yang dirancang untuk mengatasi berbagai risiko terkait penggunaan teknologi informasi, berikut beberapa acuan yang akan menjadi landasan dalam membuat framework. Framework tersebut diantaranya adalah Cobit, OCTAVE, ITIL, NIST, dan lain-lain. 4.1. NIST NIST National Institute of Standard and Technology merupakan organisasi pemerintah di Amerika Serikat dengan misi mengembangkan dan mempromosikan penilaian, standar dan teknologi untuk meningkatkan fasilitas dan kualitas kehidupan. Kegiatan utama adalah meneliti berbagai ilmu untuk mempromosikan dan meningkatkan infrastruktur teknologi. NIST mengeluarkan rekomendasi melalui publikasi khusus 800-30 tentang Risk Management Guide for Information Technology System.Terdapat tiga proses dalam manajemen risiko yang dikeluarkan oleh NIST yaitu Risk Identification, risk mitigation dan risk evaluation [23]. 1. Penilaian risiko Merupakan langkah pertama dari metodologi manajemen risiko yang dikeluarkan oleh NIST. Organisasi menggunakan penilaian risiko untuk mendefinisikan ancaman potensial dan risiko yang berhubungan dengan penggunaan teknologi informasi. Output dari proses ini diharapkan membantu mengidentifikasi 174 Seminar dan Call For Paper Munas Aptikom Politeknik Telkom Bandung, 9 Oktober 2010 bagaimana kontrol untuk melakukan pengurangan dan penghilangan risiko selama proses mitigasi. Proses ini terdiri dari 9 sembilan langkah yang harus dipenuhi , yaitu : a. System Characterization Melihat sudut pandang hardware, software, interface, data, dan lain-lain. Sudut pandang inilah yang akan menjadi input proses, sehingga akan menghasilkan output yaitu batasan sistem, fungsionalitas sistem , data dan tingkat sensitifitas , pengguna dan lain-lain. b. Threat Identification Mengenali berbagai sumber yang akan menjadi gangguan pada sistem. Input dari proses ini biasanya adalah laporam serangan yang pernah terjadi, data dari berbagai pihak baik media, agensi. Sementara output dari proses ini adalah Threat statement, yaitu merupakan sekumpulan risiko yang mungkin terjadi serta sumber risiko yang dapat menimbulkan kerentanan pada sistem c. Vulnerability Identification Pada tahapan ini diidentifikasi berbagai kelemahan atau kekurangan dari sistem yang memungkinkan terjadi ancaman terhadap sistem. Input dari tahapan ini laporan dari penilaian risiko terdahulu, bisa jadi serangan yang pernah terjadi, dari hasil pengecekanpengetesan sistem. Dari pemrosesan dihasilkan list vulnerability atau kerentanan yang memungkinkan diserang oleh risiko. d. Control Analysis Tujuan utama dari tahap ini untuk menganalisis kontrol yang telah diterapkan atau yang akan diterapkan, untuk mememinimalisasi kemungkinan terjadinya ancaman. Input dari tahapan ini adalah kontrol yang telah diterapkan dalam masing-masing risikokerentanan, sementara outputnya adalah list dari kontrol terhadap risiko yang tengah diterapkan dan rencana kontrol yang akan diterapkan terhadap risiko yang mungkin terjadi. e. Likelihood Determination Digunakan untuk memperoleh nilai kecenderungan yang mungkin terjadi atas kelemahan dari sistem. Input dari tahapan ini adalah sumber risiko dan motivasi penyebab sumber risiko, kerentanan dan efektifitas dari kontrol yang diterapkan. Kecenderungan ini dibagi kedalam 3 jenis yang dapat dilihat pada tabel II.2 berikut : f. Impact Analysis Menilai dampak yang terjadi terhadap serangan atas bagian lemah dari sebuah sistem. Input dari sistem ini adalah misi sistem serta tingkat sensitifitas data atau dengan kata lain bagaimana risiko akan berpengaruh pada misi sistem dan data yang diolah. Kemungkinan yang menjadi pertimbangan adalah masalah integritas data, ketersediaan terhadap layanan dan kehilangan kepercayaan. Output dari sistem ini adalah definisi dampak dari risiko magnitude of impact definition , tabel II.3 memperlihat dampak terhadap sistem g. Risk Determination Tujuannya untuk menilai tingkat dari risiko yang akan timbul pada sistem TI. Input dari langkah ini adalah 2 langkah sebelumnya yaitu tingkat kecenderungan dan analisis dampak yang dipetakan menjadi matrik 3 x 3 , 4x4 atau 5 x 5 tergantung dari kebutuhan sistem. Matriks 3 x 3 akan melevelkan risiko kepada 3 tingkatan risiko yaitu tinggi, rendah dan sedang high, medium, low. Masing- masing memiliki skor sebagai berikut : - Probabilitas untuk kecenderungan memiliki level 1.0 untuk tinggi, 0.5 untuk rendah dan 0.1 untuk rendah. - Nilai untuk tiap dampak adalah 100 untuk tinggi, 50 untuk sedang dan 10 untuk rendah. h. Control Recommendations Tujuannya untuk mengurangi level risiko pada sistem TI sehingga mencapai level yang bisa diterima. Inputnya adalah dari output dari tahapan sebelumnya yaitu risiko dan tingkat risiko, dari sini akan dihasilkan daftar rekomendasi kontrol. i. Results Documentation Merupakan laporan atau dokumentasi dari seluruh kegiatan yang ada, dimulai tahap karakteristik hingga rekomendasi kontrol. Gambar 1. Proses NIST 2. Mitigasi Merupakan tahap kedua dari proses manajemen risiko yang dikeluarkan NIST melibatkan prioritasisasi, evaluasi dan implementasi rekomendasi dari kontrol pengurangan risiko dari tahapan sebelumnya yaitu penilaian risiko. Pengurangan atau biasa lebih dikenal dengan mitigasi merupakan Risk Assesmen Risk Mitigatio Risk Evaluatio Seminar dan Call For Paper Munas Aptikom Politeknik Telkom Bandung, 9 Oktober 2010 175 metodologi sistemik yang digunakan manajemen untuk mengurangi dampak risiko. Aktifitasnya adalah : a. Prioritize action Berdasarkan hasil dari penilaian risiko dipilih prioritas aksi yang akan dilakukan. Input dari langkah ini adalah level risiko dari tahapan penilaian assesment yang dilakukan sebelumnya, hasil dari tahapan ini adalah peringkat prioritas utama yang harus dilakukan terhadap risiko dan kerentanan yang terjadi pada sistem. b. Evaluate Recomended Control Evaluasi terhadap kontrol yang direkomendasikan dalam proses penilaian risiko, karena bisa jadi rekomendasi yang ditawarkan belum merupakan rekomendasi yang tepat. Inputnya adalah kontrol rekomendasi yang ada pada tahapan penilaian risiko, sementara outputnya adalah rekomendasi yang paling tepat untuk meminimalisasi risiko yang mengancam sistem. c. Conduct Cost Benefit Analysis Membantu manajemen dalam pengambilan keputusan dan untuk mengidentifikasikan kontrol biaya yang efektif, serta menganalisis keuntungan biaya. Inputnya adalah rekomendasi dari tahapan evaluasi kontrol, hal yang dilakukan adalah cost benefit analysis terhadap sistem jika dilakukan penerapan rekomendasi kontrol dan cost benefit analysis jika kontrol tidak diterapkan d. Select Control Hasil proses sebelumnya evaluasi terhadap kontrol dan analisis biaya maka dipilih kontrol yang dianggap paling baik dari teknis dan biaya . inputnya telah jelas adalah cost benefit analysis, sementara hasil akhirnya ada kontrol yang terpilih atau akan diterapkan e. Assign Responsibility Penunjukan personil yang tepat untuk kontrol yang diterapkan, input adalah kontrol yang terpilih sementara output adalah penugasan atau pemilihan penanggung jawab terhadap kontrol yang dilaksanakan f. Develop Safeguard Implementation Plan Merencanakan implementasi terhadap kontrol yang diambil, sehingga membantu melancarkan proses pengurangan risiko, dalam tahapan ini rencana implementasi yang aman diterapkan. Inputnya adalah risiko dan level risiko, prioritas aksi, kontrol yang dipilih , serta output yang menjadi hasil tahap-tahap sebelumnya. Sementara output dari tahap ini adalah safeguard implementation plan guide g. Implement Selected Control. Mengimplementasikan kontrol yang dipilih. inputnya adalah hasil dari tahap implementasi, sementara outputnya adalah pengurangan risiko. 3. Evaluasi Kegiatan evaluasi risiko adalah kegiatan terhadap keberlangsungan proses mitigasi, pada umumnya jaringan yang diterapkan dalam organisasi akan mengalami perubahan atau pengembangan komponen hardware, pengembangan software dan aplikasi oleh versi yang lebih up to date dan lebih baru.

5. Analisis dan Pengolahan Data

Pada bagian ini akan dibahas bagaimana implementasi framework NIST diterapkan terhadap kasus yang ada pada Bank X. Pada dasarnya adalah proses pengambilan data, melalui tehnik sampling, dimana data diperoleh dengan mengambil sampel yang relatif kecil dari populasi yang ada. Sampel yang diambil dipilih secara acak sesuai kebutuhan [16] . . Kuesioner yang dibuat pada paper didesain dan dirancang dengan menggunakan scoring system yang terdapat pada NIST SP 800 -30. Dimana untuk menentukan tingkat risiko scoring system digunakan dengan memberi skor terhadap faktor risiko. Hasil scoring telah dibahas pada bab II. Sementara rencana kuesioner terdiri dari 2 dua bagian, bagian pertama berisikan data responden secara umum dan bagian kedua adalah pertanyaan yang harus dijawab oleh responden. Pemetaan jumlah dan jenis soal sebagai berikut: a. Respon terhadap risiko 22 soal atau 33.3 bobot komponen b. Respon terhadap dampak kerentanan 22 soal atau 33.3 komponen c. Respon kontrol terhadap kerentanan 22 soal atau 33.3 komponen

5.1 Proses bisnis dan Dukungan TI

Bank X pada dasarnya merupakan unit bisnis dari salah satu bank BUMN yang akhirnya menjadi unit bisnis sendiri. Meskipun telah menjadi unit tersendiri secara keseluruhan belum terpisah, hanya saja disini dapat dikatakan memiliki “otonomi khusus” dalam melakukan kegiatan operasional sehari-hari. 176 Seminar dan Call For Paper Munas Aptikom Politeknik Telkom Bandung, 9 Oktober 2010 Dalam melakukan transaksi dengan menggunakan teknologi informasi Bank Syariah X di support oleh 3tiga sistem utama. Sementara dalam paper ini yang akan dibahas hanya salah satu yaitu I System yang merupakan core banking system , sentralisasi seluruh proses data, pelaporan , penyimpanan serta aktifitas back up office lainnya.

5.2 Implementasi

Setelah dianalisis maka implementasi di lakukan 3 tahap utama yang meliputi penilaian, mitigasi dan .evaluasi dengan ringkasan sebagai berikut : a. Lingkup Berdasarkan apa yang dibahas sebelumnya maka implementasi ini hanya dibatasi pada I System yang merupakan salah satu dukungan layanan TI dengan tehnik : 1. Wawancara dan penggunaan kuesioner 2. Pengembangan dan penggunaan skala risiko NIST yaitu matriks 3x3 untuk menentukan level risiko berdasar kerentanan dan tingkat kecenderungan terjadinya risiko. L e b i h l engkap disajikan pada lampiran E.1. b. karakteristik sistem Dari hasil wawancara didapat karakteristik sebagai berikut : 1. Hardware Perangkat keras yang digunakan berbasis PC serta mainframe IBM S390 untuk server,merupakan mainframe yang handal dan banyak digunakan beberapa perusahaan besar saat ini . 2. Software Perangkat lunak adalah standar Windows XP, beserta support sistem IKON untuk sistem Client. 3. Jaringan komunikasi Untuk memudahkan transmisi menggunakan Very Small Aperture Terminal VSAT untuk memudahkan komunikasi antar kantor cabang dan sistem komunikasi eksklusifmelalui satelit yang memungkinkan kantor cabang beroperasi secara online. Untuk menjamin sistem keamanan bertransaksi, digunakan sistem keamanan standar internasional dengan dua firewall dan enskripsi SSL128 bit oleh Verisign. SSL 128 bit Secure Socket Layer, yaitu lapisan pertama sistem pengamanan Internet Banking yang lazim digunakan dalam dunia perbankan. Dengan menggunakan SSL ini, semua data yang dikirimkan dari server Internet Banking ke komputer nasabah dan sebaliknya selalu melalui proses enkripsi acak secara sistem. 4. Data Data yang diolah adalah data nasabah dan transaksi nasabah yang mencakup seluruh operasional dan transaksi yang terkait pendanaan. 5. User Pengguna untuk sistem ini terbagi menjadi tiga yaitu Teller, Costumer Service CS, unit Operasional dan Divisi TI, dimana 3 user pertama adalah merupakan user penggunam sementara yang terakhir adalah user yang melakukan maintenance terhadap sistem. c. Ancaman potensial Terdapat 4 empat ancaman yang paling sering pada operasional perbankan yaitu ancaman pada Sumber daya manusia, faktor internal, faktor eksternal dan faktor sistem. d. Kecenderungan terjadinya risiko Dari analisis diketahui beberapa risiko memiliki tingkat kecenderungan likehood risk yang dapat dilihat pada table 1. Tabel 1. Kecenderungan risiko e. Analisis dampak Mendefinisikan tinggi atau rendahnya dampak atau kerentanan atau akibat yang terjadi jika sistem tersebut diserang. Tabel 2. Analisis dampak Jenis Risiko Dampak SDM M Internal M Eksternal H Sistem H f. Rating Risiko Dari analisis dampak dan kecenderungan terjadinya risiko maka dapat diukur melalui matriks 3x3 , yang dibentuk dari dampak atau kerentanan yang terjadi terhadap sistem serta risiko yang mungkin akan menyerang sistem. Pemetaan lengkap pada tabel 3 berikut Jenis Risiko Kecenderungan Risiko SDM M Internal L Eksternal L Sistem L