Seminar dan Call For Paper Munas Aptikom Politeknik
Telkom Bandung, 9 Oktober 2010
171
3. Karena berbasis aplikasi web 2.0, akses aplikasi
akan sedikit lambat pada saat loading pertama kali.
7. DAFTAR PUSTAKA
[1] Nindityo, diakses pada 16 Juli 2008, Ayo Belajar Menulis Jawa, URL:
http:www.nindityo.wordpress.com 20080412 ayo-belajar-nulis-aksara-jawa.
[2] Dinas Pendidikan Nasional, 2006, Panduan Kurikulum KTSP Kurikulum Tingkat Satuan
Pendidikan, Jakarta, Dinas Pendidikan Nasional.
[3] Firdaus, Y., diakses pada 2 September 2008, Aksara Hanacaraka dalam Unicode, URL:
www.yulian.firdaus.or.idunicode- hanacaraka.
[4] Sayoga, B., diakses pada 2 September
2008,Cerita Ajisaka. URL : www.fateback.com bbd_ajisaka.htm.
[5] Darusuprapta, 2003, Pedoman Penulisan
Aksara Jawa, Yogyakarta, Yayasan Pustaka Nusatama.
[6] Bayu, diakses pada 11 September 2008,
Publikasi Carakan, URL : http:carakan.blogspot.com200805publikasi
-carakan.html.
[7] Sayoga, T., diakses pada 21 November 2008, Program Alih Bahasa Aksara Latin ke Aksara
Jawa, URL : http:www.pallawa.com. [8]
Thejakusuma, R., 2008, Perancangan dan Pembuatan Perangkat Lunak Pengolah Kata
Huruf Jawa, Surabaya
172
Seminar dan Call For Paper Munas Aptikom Politeknik Telkom
Bandung, 9 Oktober 2010
IMPLEMENTASI FRAMEWORK MANAJEMEN RISIKO TERHADAP PENGGUNAAN TEKNOLOGI INFORMASI PERBANKAN
Hendra Sandhi Firmansyah
Program Studi Teknik Informatika , STMIK Jabar Bandung
email : yasharugmail.com Abstrak
Teknologi informasi telah menjadi hal yang paling penting dalam dunia Perbankan, perannya dalam melakukan kegiatan operasional sehari-hari dapat dikatakan tidak terganti, karena hampir seluruh
transaksi yang dilakukan melibatkan penggunaan teknologi informasi. Namun tidak selamanya dalam penggunaan teknologi informasi sesuai dengan harapan, dalam penggunaanya muncul berbagai risiko
yang dapat mengakibatkan kerugian yang besar bagi bank hingga membuat bank merugi, lebih ekstrim lagi memungkinkan terganggunnya stabilitas ekonomi suatu negara.
Risiko-risiko yang timbul ini harus ditangani agar masalah yang ditimbulkan tidak menyebabkan penggunaan teknologi informasi menjadi suatu hambatan atau dalam kasus yang lebih parah merugikan
perusahaan. Salah satu metode yang digunakan untuk menangani permasalahan ini yaitu melakukan manajemen risiko terhadap penggunaan teknologi informasi.
NIST National Institute of Standard and Technology SP 800 – 30 merupakan salah satu dari beberapa framework manajemen risiko yang banyak digunakan untuk mengidentifikasi menilai dan memberikan
solusi terhadap risiko yang mungkin terjadi dalam penggunaan teknologi informasi. Dalam paper ini akan dibahas bagaimana tahapan-tahapan dalam NIST yaitu, Assesment, mitigation dan
evaluation diterapkan dalam salah satu bank di Indonesia. Kata kunci: Framework, NIST, Kecenderungan, Kerentanan, bank, Manajemen risiko.
1.
Pendahuluan
Bank merupakan suatu perusahaan yang menjalankan fungsi intermediasi atas dana yang
diterima dari nasabah. Jika sebuah bank mengalami kegagalan, dampak yang ditimbulkan dapat
meluas mempengaruhi nasabah dan lembaga- lembaga yang menyimpan dananya atau
menginvestasikan modalnya di bank, dan akan menciptakan dampak yang sangat luas secara
domestik maupun pasar internasional, Bank Indonesia [2]. Dalam melakukan transaksinya
sehari-hari hampir dapat dipastikan penggunaan teknologi informasi TI tidak dapat terlepas dari
bank, oleh karena itu penggunaan TI telah manjadi sangat penting. Hanya saja dalam melakukan
operasional terkait penggunaan TI timbul juga berbagai risiko yang merugikan bank bahkan bisa
menimbulkan terganggunya stabilitas ekonomi suatu Negara dalam kasus yang lebih parah.
Beberapa contoh dapat dilihat ketika Bank X mengalami pencurian data oleh karyawan yang
mengakibatkan kerugian 200 Juta rupiah,Paul Sutaryono [18] menyatakan terjadi pembobolan
beberapa bank nasional dengan potensi kerugian mencapai milyaran rupiah, di Osaka Jepang Fraud
yang terjadi pada Daiwa Bank membuat kerugian mencapai USD 1.1 M, hal ini memaksa Daiwa
Bank menjual seluruh asetnya dan menutup cabang diseluruh dunia pada periode 1995 – 1998, yang
paling hangat adalah beberapa bulan terakhir terjadi penyalahgunaan terhadap ATM yang
mangakibatkan pelanggan beberapa bank mengalami kerugian hingga milaran rupiah.
Berdasarkan permasalahan diatas maka penulis melalui paper ini akan mencoba bagaimana
meminimalisir risiko dengan menggunakan framework manajemen risiko berbasis NIST SP 800
– 30 sehingga dapat diidentifikasi jenis risiko , tingkatan risiko dan rekomendasi kontrol terhadap
risiko tersebut. Paper ini dalam akan menggunakan metode standar NIST yang dilengkapi dengan
pengumpulan dan pengolahan data sehingga dapat memberikan gambaran terhadap penggunaan
penggunaan framework manajemen risiko dalam penggunaan teknologi informasi kemudian
mengidentifikasi dan memberikan solusi dengan tiga tahapan yaitu Asses , mitigate, avaluate.
2. Perbankan dan Teknologi Informasi
Menurut Kasmir “ Bank adalah lembaga keuangan yang memiliki kegiatan utama
menghimpun dana dari masyrakat dan menyalurkan kembali dana tersebut ke masyarakat
serta memberikan layananjasa bank lainnya”. Sementara Undang-undang RI nomor 10 tahun
1998 tanggal 10 november 1998 tentang perbankan mendefinisikan bank sebagai “badan usaha yang
menghimpun dana dari masyarakat dalam bentuk simpanan dan menyalurkan kepada masyarakat
Seminar dan Call For Paper Munas Aptikom Politeknik
Telkom Bandung, 9 Oktober 2010
173
dalam bentuk kredit atau bentuk-bentuk lainnya dalam rangka meningkatkan taraf hidup rakyat”.
Indrajit dalam Iman menyatakan bahwa teknologi informasi TI adalah suatu teknologi
yang berhubungan dengan pengolahan data menjadi informasi dan proses penyaluran
datainformasi tersebut dalam batas-batas ruang dan waktu [8]. Masih dalam Iman [8] Alter
menyatakan TI sebagai perangkat lunak maupun keras yang digunakan dalam sistem informasi.
Penggunaan teknologi informasi dalam perbankan merupakan hal yang menjadi keseharian, hampir
seluruh transaksi perbankan tidak dapat terlepas dari penggunaan teknologi informasi. Penggunaan
TI telah menjadi hal yang fundamental dalam bisnis perbankan, digunakan sebagai media untuk
melakukan berbagai transaksi multichanel untuk melakukan transaksi perbankan. Selain menjadi
tulang punggung transaksi [24], TI telah mampu meningkatkan kinerja pegawai dan meningkatkan
kepercayaan pada pelanggan untuk melakukan transaksi. Sejalan dengan literatur lain [22]
beberapa penelitian yang diungkapkan oleh Fristak dan Ward mengungkapkan tentang penggunaan TI
dalam perbankan yang mampu meningkatkan efisiensi dalam operasional serta mampu
menghasilkan benefit yang besar bagi bank yang menerapkan.si perbankan , Darmini [7].
3. Manajemen Risiko dan Perbankan
Manajemen Risiko merupakan proses antisipasi terhadap risiko agar kerugian tidak terjadi
kepada organisasi. Stoneburner et. al. berpendapat bahwa manajemen risiko adalah proses
mengidentifikasi , menilai dan mengurangi dampak risiko ke level yang dapat diterima organisasi.
Dalam konteks TI proses manajemen risiko yang efektif [23].
Beberapa literatur menyatakan bahwa menajemen pada risiko sangatlah bermanfaat
karena akan sangat mambantu dalam menghindari kerugian akibat terjadi berbagai risiko yang
menimpa. Galorath mengatakan yang membedakan suksesnya sebuah organisasi adalah
bagaimana cara mengatasi potensi negatif risiko dan berbagai masalah yang terjadi dalam organisasi.
Masih dalam penelitian yang sama diungkapkan bahwa organisasi kita akan sukses menjadi lebih
baik jika mampu mengantisipasi berbagai potensi kerugian serta mengelola perubahan yang terjadi
[10].
Dalam konteks perbankan, manajemen risiko menurut Bank Indonesia adalah kecukupan
prosedur dan metodologi pengelolaan risiko sehingga kegiatan usaha bank tetap dapat terkendali
pada bataslimit yang dapat diterima serta menguntungkan bank [1].
Manajemen risiko perbankan sangat penting dilakukan mengingat dampaknya yang sangat besar
seperti yang telah dibahas pada bagian sebelumnya. Bouer dan Ryser, mengumpulkan dan
menyimpulkan dari beberapa literatur diantaranya Baltsenberger dan Midel 1987, Allen dan
Santomero 2001, Boot 2000. Bouer menyimpulkan manajemen risiko perbankan
memberikan keuntungan sebagai berikut [5]:
• Bank memiliki ketahanan aset yang lebih
lama •
Bank mampu memonitor informasi dengan mudah sehingga mampu memprediksi
berbagai kemungkinan, sebagai contoh analisis kegagalan kredit dan recovery
data.
• Layanan bank dapat maksimal dengan
monitoring terhadap risiko yang mungkin terjadi
Risiko yang mungkin terjadi dalam setelah mengidentifikasi literature diantaranya adalah
risiko proses internal, SDM, eksternal dan risiko system [1], [3], [14].
4. Framework Manajemen Risiko Teknologi
Informasi
Merupakan kerangka kerja yang dirancang untuk mengatasi berbagai risiko terkait penggunaan
teknologi informasi, berikut beberapa acuan yang akan menjadi landasan dalam membuat framework.
Framework tersebut diantaranya adalah Cobit, OCTAVE, ITIL, NIST, dan lain-lain.
4.1. NIST
NIST National Institute of Standard and Technology merupakan organisasi pemerintah di
Amerika Serikat dengan misi mengembangkan dan mempromosikan penilaian, standar dan teknologi
untuk meningkatkan fasilitas dan kualitas kehidupan. Kegiatan utama adalah meneliti
berbagai ilmu untuk mempromosikan dan meningkatkan infrastruktur teknologi.
NIST mengeluarkan rekomendasi melalui publikasi khusus 800-30 tentang Risk Management
Guide for Information Technology System.Terdapat tiga proses dalam manajemen risiko yang
dikeluarkan oleh NIST yaitu Risk Identification, risk mitigation dan risk evaluation [23].
1. Penilaian risiko
Merupakan langkah pertama dari metodologi manajemen risiko yang
dikeluarkan oleh NIST. Organisasi menggunakan penilaian risiko untuk
mendefinisikan ancaman potensial dan risiko yang berhubungan dengan penggunaan
teknologi informasi. Output dari proses ini diharapkan membantu mengidentifikasi
174
Seminar dan Call For Paper Munas Aptikom Politeknik Telkom
Bandung, 9 Oktober 2010 bagaimana kontrol untuk melakukan
pengurangan dan penghilangan risiko selama proses mitigasi. Proses ini terdiri dari 9
sembilan langkah yang harus dipenuhi , yaitu :
a. System Characterization
Melihat sudut pandang hardware, software, interface, data, dan lain-lain. Sudut pandang inilah
yang akan menjadi input proses, sehingga akan menghasilkan
output yaitu batasan sistem, fungsionalitas sistem , data dan tingkat sensitifitas ,
pengguna dan lain-lain. b.
Threat Identification Mengenali berbagai sumber yang akan
menjadi gangguan pada sistem. Input dari proses ini biasanya adalah laporam
serangan yang pernah terjadi, data dari berbagai pihak baik media, agensi.
Sementara output dari proses ini adalah Threat statement, yaitu merupakan
sekumpulan risiko yang mungkin terjadi serta sumber risiko yang dapat
menimbulkan kerentanan pada sistem
c. Vulnerability Identification
Pada tahapan ini diidentifikasi berbagai kelemahan atau kekurangan dari sistem yang memungkinkan
terjadi ancaman terhadap sistem. Input dari tahapan ini laporan dari penilaian risiko terdahulu, bisa jadi
serangan yang pernah terjadi, dari hasil pengecekanpengetesan sistem. Dari pemrosesan
dihasilkan list vulnerability atau kerentanan yang memungkinkan diserang oleh risiko.
d. Control Analysis
Tujuan utama dari tahap ini untuk menganalisis kontrol yang telah diterapkan atau yang akan
diterapkan, untuk mememinimalisasi kemungkinan terjadinya ancaman. Input dari tahapan ini adalah
kontrol yang telah diterapkan dalam masing-masing risikokerentanan, sementara outputnya adalah list
dari kontrol terhadap risiko yang tengah diterapkan dan rencana kontrol yang akan diterapkan terhadap
risiko yang mungkin terjadi.
e. Likelihood Determination
Digunakan untuk memperoleh nilai kecenderungan yang mungkin terjadi atas kelemahan dari sistem.
Input dari tahapan ini adalah sumber risiko dan motivasi penyebab sumber risiko, kerentanan dan
efektifitas dari kontrol yang diterapkan. Kecenderungan ini dibagi kedalam 3 jenis yang
dapat dilihat pada tabel II.2 berikut :
f. Impact Analysis
Menilai dampak yang terjadi terhadap serangan atas bagian lemah dari sebuah
sistem. Input dari sistem ini adalah misi sistem serta tingkat sensitifitas data atau
dengan kata lain bagaimana risiko akan berpengaruh pada misi sistem dan data
yang diolah. Kemungkinan yang menjadi pertimbangan adalah masalah integritas
data, ketersediaan terhadap layanan dan kehilangan kepercayaan. Output dari
sistem ini adalah definisi dampak dari risiko magnitude of impact definition ,
tabel II.3 memperlihat dampak terhadap sistem
g. Risk Determination
Tujuannya untuk menilai tingkat dari risiko yang akan timbul pada sistem TI.
Input dari langkah ini adalah 2 langkah sebelumnya yaitu tingkat kecenderungan
dan analisis dampak yang dipetakan menjadi matrik 3 x 3 , 4x4 atau 5 x 5
tergantung dari kebutuhan sistem. Matriks 3 x 3 akan melevelkan risiko kepada 3
tingkatan risiko yaitu tinggi, rendah dan sedang high, medium, low. Masing-
masing memiliki skor sebagai berikut :
- Probabilitas untuk kecenderungan
memiliki level 1.0 untuk tinggi, 0.5 untuk rendah dan 0.1 untuk rendah.
- Nilai untuk tiap dampak adalah 100
untuk tinggi, 50 untuk sedang dan 10 untuk rendah.
h. Control Recommendations
Tujuannya untuk mengurangi level risiko pada sistem TI sehingga mencapai level
yang bisa diterima. Inputnya adalah dari output dari tahapan sebelumnya yaitu
risiko dan tingkat risiko, dari sini akan dihasilkan daftar rekomendasi kontrol.
i. Results Documentation
Merupakan laporan atau dokumentasi dari seluruh kegiatan yang ada, dimulai tahap
karakteristik hingga rekomendasi kontrol.
Gambar 1. Proses NIST
2. Mitigasi
Merupakan tahap kedua dari proses manajemen risiko yang dikeluarkan NIST
melibatkan prioritasisasi, evaluasi dan implementasi rekomendasi dari kontrol
pengurangan risiko dari tahapan sebelumnya yaitu penilaian risiko. Pengurangan atau biasa
lebih dikenal dengan mitigasi merupakan
Risk Assesmen
Risk Mitigatio
Risk Evaluatio
Seminar dan Call For Paper Munas Aptikom Politeknik
Telkom Bandung, 9 Oktober 2010
175
metodologi sistemik yang digunakan manajemen untuk mengurangi dampak risiko.
Aktifitasnya adalah : a.
Prioritize action Berdasarkan hasil dari penilaian risiko
dipilih prioritas aksi yang akan dilakukan. Input dari langkah ini adalah
level risiko dari tahapan penilaian assesment yang dilakukan
sebelumnya, hasil dari tahapan ini adalah peringkat prioritas utama yang
harus dilakukan terhadap risiko dan kerentanan yang terjadi pada sistem.
b. Evaluate Recomended Control
Evaluasi terhadap kontrol yang direkomendasikan dalam proses
penilaian risiko, karena bisa jadi rekomendasi yang ditawarkan belum
merupakan rekomendasi yang tepat. Inputnya adalah kontrol rekomendasi
yang ada pada tahapan penilaian risiko, sementara
outputnya adalah rekomendasi yang paling tepat untuk
meminimalisasi risiko yang mengancam sistem.
c. Conduct Cost Benefit Analysis
Membantu manajemen dalam pengambilan keputusan dan untuk
mengidentifikasikan kontrol biaya yang efektif, serta menganalisis keuntungan
biaya. Inputnya adalah rekomendasi dari tahapan evaluasi kontrol, hal yang
dilakukan adalah cost benefit analysis terhadap sistem jika dilakukan
penerapan rekomendasi kontrol dan cost benefit analysis jika kontrol tidak
diterapkan
d. Select Control
Hasil proses sebelumnya evaluasi terhadap kontrol dan analisis biaya
maka dipilih kontrol yang dianggap paling baik dari teknis dan biaya .
inputnya telah jelas adalah cost benefit analysis, sementara hasil akhirnya ada
kontrol yang terpilih atau akan diterapkan
e. Assign Responsibility
Penunjukan personil yang tepat untuk kontrol yang diterapkan, input adalah
kontrol yang terpilih sementara output adalah penugasan atau pemilihan
penanggung jawab terhadap kontrol yang dilaksanakan
f. Develop Safeguard Implementation
Plan Merencanakan implementasi terhadap
kontrol yang diambil, sehingga membantu melancarkan proses
pengurangan risiko, dalam tahapan ini rencana implementasi yang aman
diterapkan. Inputnya adalah risiko dan level risiko, prioritas aksi, kontrol yang
dipilih , serta output yang menjadi hasil tahap-tahap sebelumnya. Sementara
output dari tahap ini adalah safeguard implementation plan guide
g. Implement Selected Control.
Mengimplementasikan kontrol yang dipilih. inputnya adalah hasil dari
tahap implementasi, sementara outputnya adalah pengurangan risiko.
3. Evaluasi
Kegiatan evaluasi risiko adalah kegiatan terhadap keberlangsungan proses mitigasi, pada
umumnya jaringan yang diterapkan dalam organisasi akan mengalami perubahan atau
pengembangan komponen hardware, pengembangan software dan aplikasi oleh versi
yang lebih up to date dan lebih baru.
5. Analisis dan Pengolahan Data
Pada bagian ini akan dibahas bagaimana implementasi framework NIST diterapkan terhadap
kasus yang ada pada Bank X. Pada dasarnya adalah proses pengambilan data, melalui tehnik sampling,
dimana data diperoleh dengan mengambil sampel yang relatif kecil dari populasi yang ada. Sampel
yang diambil dipilih secara acak sesuai kebutuhan [16]
.
. Kuesioner yang dibuat pada paper didesain dan dirancang dengan menggunakan scoring
system yang terdapat pada NIST SP 800 -30. Dimana untuk menentukan tingkat risiko scoring
system digunakan dengan memberi skor terhadap faktor risiko. Hasil scoring telah dibahas pada bab
II. Sementara rencana kuesioner terdiri dari 2 dua bagian, bagian pertama berisikan data responden
secara umum dan bagian kedua adalah pertanyaan yang harus dijawab oleh responden. Pemetaan
jumlah dan jenis soal sebagai berikut:
a. Respon terhadap risiko 22 soal atau 33.3
bobot komponen b.
Respon terhadap dampak kerentanan 22 soal atau 33.3 komponen
c. Respon kontrol terhadap kerentanan 22
soal atau 33.3 komponen
5.1 Proses bisnis dan Dukungan TI
Bank X pada dasarnya merupakan unit bisnis dari salah satu bank BUMN yang akhirnya menjadi
unit bisnis sendiri. Meskipun telah menjadi unit tersendiri secara keseluruhan belum terpisah, hanya
saja disini dapat dikatakan memiliki “otonomi khusus” dalam melakukan kegiatan operasional
sehari-hari.
176
Seminar dan Call For Paper Munas Aptikom Politeknik Telkom
Bandung, 9 Oktober 2010 Dalam melakukan transaksi dengan
menggunakan teknologi informasi Bank Syariah X di support oleh 3tiga sistem utama. Sementara
dalam paper ini yang akan dibahas hanya salah satu yaitu I System yang merupakan core banking system
, sentralisasi seluruh proses data, pelaporan , penyimpanan serta aktifitas back up office lainnya.
5.2 Implementasi
Setelah dianalisis maka implementasi di lakukan 3 tahap utama yang meliputi penilaian,
mitigasi dan .evaluasi dengan ringkasan sebagai berikut :
a. Lingkup
Berdasarkan apa yang dibahas sebelumnya maka implementasi ini hanya dibatasi pada I
System yang merupakan salah satu dukungan layanan TI dengan tehnik :
1. Wawancara dan penggunaan kuesioner
2. Pengembangan dan penggunaan skala
risiko NIST yaitu matriks 3x3 untuk menentukan level risiko berdasar
kerentanan dan tingkat kecenderungan terjadinya risiko.
L e
b i
h l
engkap disajikan pada lampiran E.1.
b. karakteristik sistem
Dari hasil wawancara didapat karakteristik sebagai berikut :
1. Hardware
Perangkat keras yang digunakan berbasis PC serta mainframe IBM
S390 untuk server,merupakan mainframe yang handal
dan banyak digunakan beberapa perusahaan besar saat ini .
2. Software
Perangkat lunak adalah standar Windows XP, beserta support sistem IKON untuk
sistem Client. 3.
Jaringan komunikasi Untuk memudahkan transmisi
menggunakan Very Small Aperture
Terminal VSAT untuk
memudahkan komunikasi antar kantor
cabang dan sistem komunikasi eksklusifmelalui satelit yang memungkinkan
kantor cabang beroperasi secara online.
Untuk menjamin sistem keamanan bertransaksi, digunakan sistem keamanan
standar internasional dengan dua
firewall dan enskripsi SSL128 bit oleh Verisign. SSL 128 bit Secure Socket Layer,
yaitu lapisan pertama sistem pengamanan Internet Banking yang lazim digunakan
dalam dunia perbankan. Dengan menggunakan SSL ini, semua data yang
dikirimkan dari server Internet Banking ke komputer nasabah dan sebaliknya selalu
melalui proses enkripsi acak secara sistem.
4. Data
Data yang diolah adalah data nasabah dan transaksi nasabah yang mencakup
seluruh operasional dan transaksi yang terkait pendanaan.
5. User
Pengguna untuk sistem ini terbagi menjadi tiga yaitu Teller, Costumer Service
CS, unit Operasional dan Divisi TI, dimana 3 user pertama adalah merupakan user
penggunam sementara yang terakhir adalah user yang melakukan maintenance terhadap
sistem.
c. Ancaman potensial
Terdapat 4 empat ancaman yang paling sering pada operasional perbankan yaitu
ancaman pada Sumber daya manusia, faktor internal, faktor eksternal dan faktor sistem.
d. Kecenderungan terjadinya risiko
Dari analisis diketahui beberapa risiko memiliki tingkat kecenderungan likehood
risk yang dapat dilihat pada table 1. Tabel 1. Kecenderungan risiko
e. Analisis dampak
Mendefinisikan tinggi atau rendahnya dampak atau kerentanan atau akibat yang
terjadi jika sistem tersebut diserang. Tabel 2. Analisis dampak
Jenis Risiko Dampak
SDM M Internal M
Eksternal H Sistem H
f. Rating Risiko
Dari analisis dampak dan kecenderungan terjadinya risiko maka dapat diukur melalui
matriks 3x3 , yang dibentuk dari dampak atau kerentanan yang terjadi terhadap sistem serta
risiko yang mungkin akan menyerang sistem. Pemetaan lengkap pada tabel 3 berikut
Jenis Risiko Kecenderungan Risiko
SDM M
Internal L Eksternal L
Sistem L