PROF. RICHARDUS EKO INDRAJIT

Analisa Investasi Sistem Keamanan Jaringan
oleh Prof. Richardus Eko Indrajit - indrajit@post.harvard.edu

EKOJI999 Nomor

254, 20 Mei 2013

SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI

Artikel ini merupakan satu dari 999 bunga rampai pemikiran Prof. Richardus Eko Indrajit di bidang sistem dan
teknologi informasi. Untuk berlangganan, silahkan kirimkan permohonan anda melalui alamat email indrajit@rad.net.id.

HALAMAN 1 DARI 9





(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013

SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI

PROF. RICHARDUS EKO INDRAJIT

Dewasa
  ini,
  hubungan
  antara
  bisnis
  dan
  teknologi
  informasi
  bukan
  lagi
  merupakan
  sebuah
 
relasi
  demand-­‐supply

  belaka,
  tetapi
  keduanya
  telah
  menjadi
  suatu
  kesatuan
  yang
  tak
 
terpisahkan.
  Fenomena
  ini
 terutama
 terjadi
 pada
 perusahaan
 moderen
 yang
 telah

 menyadari
 
bahwa
  informasi
  telah
 menjadi
 salah
  satu
 faktor
 produksi
  penting
  disamping
 empat
 sumber
 
daya
  lain
  yang
  lebih
  dikenal

  sebagai
  4M
  (men,
  machines,
  materials,
  dan
  money).
  Dalam
 
konteks
  ini,
  jelas
  terlihat
  bahwa
 manajemen
  perusahaan
 harus
  memiliki
  mekanisme
  efektif

 
untuk
  mengelola
  proses
  penciptaan,
  penyimpanan,
  penyaluran,
  dan
  pengawasan
  terhadap
 
informasi
  ini
  agar
  keberadaannya
  benar-­‐benar
  dapat
  menjadi
  sebuah
  entiti

  strategis
  bagi
 
perusahaan.
  Melihat
  bahwa
 pada
 dasarnya
 wujud
  informasi
 merupakan
 sebuah
 content
 yang
 
berada
  dalam
  sebuah
  ”container”
  yang

  bernama
  teknologi
  informasi
  (konvergensi
  antara
 
teknologi
  komputer
  dan
  telekomunikasi),
  maka
  faktor
  pengelolaan
  terhadap
  teknologi
  ini
 
menjadi
  sangat
  krusial.

  Bukan
  merupakan
  rahasia
  umum
  lagi
  bahwa
  di
  era
  internet
  ini,
 
banyak
 terjadi
  berbagai
  tindakan
 kriminal
  berkaitan
 dengan
 pencurian
  informasi

 penting
 dan
 
rahasia
  yang
  dimiliki
  oleh
  perusahaan.
  Tindakan
  ini
  tidak
  saja
  bermuara
  pada
  terjadinya
 
kerugian
 langsung
 yang
 harus

 ditanggung/diderita
  oleh
 pihak
 perusahaan
 terkait,
 tetapi
 lebih
 
jauh
  lagi
  dapat
  menjadi
  ancaman
  terhadap
  keberadaan
  dan
  perkembangan
  teknologi
 
informasi

  sebagai
  suatu
  alat
  bantu
  untuk
  meningkatkan
  kualitas
  kehidupan
  manusia
  pada
 
umumnya
  dan
 aktivitas
 bisnis
 (pertukaran
 barang
  dan
 jasa)
 pada
 khususnya.
 Walaupun
 jelas
 
terlihat
 dalam
 kerangka
 ini
 bahwa
 sudah
 saatnya
 manajemen
  perusahaan
 menaruh
 perhatian
 
serius
  terhadap
  kondisi
  sistem
  keamanan
  jaringan
  teknologi
  informasinya,
  namun
  pada
 
kenyataannya
  hanya
  sedikit
  sekali
  pimpinan
  perusahaan
  yang
  memutuskan
  untuk
 
menyisihkan
  sebagian
 anggarannya
  untuk
  membangun
 sistem
  yang
  efektif.
  Memperhatikan
 
bahwa
 salah
 satu
 alasan
 yang
 dikemukanan
 adalah
 tidak
  jelasnya
 manfaat
 riil
 yang
 diperoleh
 
untuk
  menjusti�ikasi
  biaya
  yang
  telah
 dikeluarkan,
  artikel
  ini
  bertujuan
 untuk
  memberikan
 
beberapa
 alternatif
 pendekatan
 seputar
 teknik
 analisa
 dan
 perhitungan
 cost-­‐bene�it
 terhadap
 
isu
  terkait.
  Harapannya
  adalah
 agar
  para
  eksekutif
 perusahaan
  yang
  ingin
 mengembangkan
 
sistem
  keamanan
  jaringannya
  tidak
  harus
  merasa
  takut
  akan
  terjadinya”over
 
investment”
 (investasi
 yang
 berlebih)
 dalam
 mengeksekusi
 keputusan
 alokasi
 biaya
 terkait.

DOMAIN
 RESIKO
 KEAMANAN

Berkaitan
 dengan
  aktivitas
  yang
  terjadi
  pada
  perusahaan,
  paling
  tidak
  ada
  3
  (tiga)
  domain
 
resiko
  keamanan
  yang
  harus
  benar-­‐benar
  diperhatikan,
  masing-­‐masing
  adalah
  (Indrajit,
 
2002):







Domain
 Relasi
 Internal

Domain
 Relasi
 Konsumen

Domain
 Relasi
 Mitra
 Bisnis

Domain
  Relasi
  Internal
  berkaitan
 dengan
 pengelolaan
  informasi
  (penciptaan,
  penyimpanan,
 
penyaluran,
  dan
  pengawasan)
  yang
  melibatkan
  berbagai
  entiti
  bisnis
  –
  yang
  saling
  terkait
 
satu
  lainnya
  –
  dalam
  batasan
  wilayah
  organisasi
  usaha.
  Contohnya
  adalah
  informasi
  yang
 
mengalir
 antar
 departemen,
 antar
 fungsi,
 antar
 jabatan,
 antar
 unit
 bisnis,
 dan
 lain-­‐lain.

Domain
  Relasi
  Konsumen
 berkaitan
  dengan
 pengelolaan
 informasi
  pada
  suatu
  wilayah
 yang
 
terbentuk
  karena
  adanya
  interaksi
  antara
  perusahaan
  dengan
  pelanggannya.
  Contohnya
 
adalah
  informasi
  pro�il
  pelanggan,
  informasi
  transaksi
  melalui
  internet,
  informasi
 
pembayaran
 dengan
 kartu
 kredit,
 informasi
 jual-­‐beli
 produk,
 dan
 lain-­‐lain.
HALAMAN 2 DARI 9





(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013

SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI

PROF. RICHARDUS EKO INDRAJIT

Domain
  Relasi
  Mitra
  Bisnis
  berkaitan
  dengan
  pengelolaan
  informasi
  dalam
  suatu
  wilayah
 
kolaborasi
 antara
 perusahaan
 dengan
 sejumlah
 mitra
 bisnisnya,
 seperti
 para
  supplier,
 vendor,
 
lembaga
  keuangan,
  dan
  lain
  sebagainya.
  Dalam
  kerjasama
  ini,
  beragam
  informasi
  mengalir
 
dari
  perusahaan
  ke
  sejumlah
  mitra
  bisnis
  dan
  sebaliknya.
  Contohnya
  adalah
  informasi
 
berkaitan
  dengan
  pemesanan
  barang,
  peminjaman
  kredit
  di
  bank,
  kontrak
  kerjasama,
  dan
 
lain-­‐lain.

Sumber:
 Indrajit,
 2002

TIPE
 RESIKO
 BISNIS
 

Dengan
  mengetahui
  tiga
  domain
  di
  atas,
  maka
  manajemen
  dengan
  mudah
  dapat
 
mengidenti�ikasi
  jenis
  dan
  tingkat
  resiko
  bisnis
  apa
  saja
  yang
  perlu
  untuk
  dipahami
  dan
 
diperhatikan
 secara
 sungguh-­‐sungguh.
Resiko
 Keamanan
 Internal

Dalam
  domain
  relasi
  internal,
  informasi
  memiliki
  dua
  peranan
  strategis.
  Peranan
  pertama
 
adalah
 keberadaan
 informasi
 sebagai
 salah
 satu
 faktor
 produksi
 penting
 yang
 secara
 langsung
 
terlibat
  dalam
  proses
  penciptaan
  barang
  dan/atau
  jasa.
  Dengan
  adanya
  informasi
  ini
 
diharapkan
  proses
  utama
  tersebut
  (core
 processes)
  dapat
  dilangsungkan
 secara
 efektif
 dan
 
e�isien.
  Termasuk
  di
  dalam
  proses
  ini
  adalah
  aktivitas
  perencanaan
  korporat,
  aktivitas
 
pengelolaan
 sumber
  daya,
 aktivitas
 pengambilan
 keputusan,
  dan
 lain
 sebagainya.
 Sehubungan
 
dengan
 hal
 ini,
 faktor
 keamanan
  data
 dan/atau
 informasi
 yang
 buruk
 akan
 memiliki
 dampak
 
langsung
 kepada
 perusahaan,
 misalnya:










Masuknya
 virus
 yang
 merusak
 data
  dan/atau
 informasi
 yang
 dimiliki
 perusahaan
  akan
 
membuat
 kegiatan
 produksi
 perusahaan
 terganggu;

Bocornya
  data
  dan/atau
  informasi
  rahasia
  perusahaan
  ke
  tangan
  kompetitor
 
(terutama
 yang
 berkaitan
 dengan
 hak
  milik
  intelektual)
 dapat
 mendatangkan
 kerugian
 
yang
 sangat
 besar;
Hilangnya
  data
 dan/atau
  informasi
  krusial
 dapat
  menghentikan
 sejumlah
 proses
  dan
 
aktivitas
 internal
 perusahaan;

Dirubahnya
  sejumlah
  data
  dan/atau
  informasi
  oleh
  pihak
  yang
  tidak
  bertanggung
 
jawab
 akan
 membuat
 keputusan
 strategis
 yang
 diambil
 menjadi
 salah;
 

HALAMAN 3 DARI 9





(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013

SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI




PROF. RICHARDUS EKO INDRAJIT

Rusaknya
 sistem
 email
 dapat
 menurunkan
  e�isiensi
 kinerja
 karena
  sulitnya
  melakukan
 
komunikasi;
 dan
 lain
 sebagainya

Resiko
  terbesar
  yang
  dihadapi
  oleh
  perusahaan
  sehubungan
  dengan
  hal
  ini
  adalah
 
terganggunya
  atau
  terhentinya
  proses
  produksi
  yang
  berarti
  hilangnya
  kesempatan
 
perusahaan
  untuk
  menawarkan
  produk
  dan/atau
  jasanya
  kepada
  pelanggan
  –
  yang
  berarti
 
pula
 ancaman
 terhadap
 eksistensi
 usaha.

Peranan
 kedua
 dari
 informasi
 adalah
 sebagai
 alat
 bantu
 terciptanya
 kontrol
  internal
 yang
 baik
 
di
 dalam
  perusahaan
 –
 terutama
 yang
  berkaitan
  dengan
 aspek
  ”good
 corporate
 governance”
 
yang
 belakangan
 ini
  mutlak
  dituntut
  oleh
 mayoritas
  stakeholder
  organisasi.
  Sejumlah
 kasus
 
keamanan
 yang
 kerap
 terjadi
 sehubungan
 dengan
 hal
 ini
 misalnya:









Manipulasi
  laporan
  keuangan
  dan
  perpajakan
  karena
  buruknya
  sistem
  keamanan
 
aplikasi
 maupun
 database
 perusahaan;
Diubahnya
  data
  dan/atau
  informasi
  sejumlah
  ukuran
  kinerja
  bisnis
  pada
  masing-­‐
masing
 unit
 atau
 departemen
 agar
 tidak
 terlihat
 adanya
 kinerja
 buruk
 yang
 terjadi;
Digantinya
 isi
 dari
 sejumlah
 dokumen
 arsip
 agar
 tidak
 terkena
 jeratan
 hukum;
 

Dibukanya
  dokumen-­‐dokumen
  rahasia
  oleh
  mereka
  yang
  tidak
  berhak
  untuk
 
mengaksesnya;
 dan
 lain
 sebagainya.

Adapun
  resiko
  terbesar
  yang
 dihadapi
  oleh
 perusahaan
 jika
  faktor
  keamanan
  terhadap
 data
 
dan/atau
  informasi
  tidak
  terjaga
  dalam
  konteks
  ini
  adalah
  potensi
  terjadinya
  ”chaos”
  atau
 
kekacauan
  internal,
  yang
  tentu
  saja
  akan
  berdampak
  langsung
  dan
  sangat
  buruk
  terhadap
 
operasional
 usaha.

Resiko
 Keamanan
 Konsumen
Perusahaan
 dapat
 eksis
 menjalankan
 usahanya
  karena
 adanya
 konsumen
 yang
 setia
 membeli
 
produk
  dan/atau
  jasa
  yang
  ditawarkan.
  Dengan
  kata
  lain,
  konsumen
  merupakan
  faktor
 
penentu
  dari
  hidup
  matinya
  usaha.
  Dalam
  menjalankan
  bisnisnya
  sehari-­‐hari,
  tentu
  saja
 
terjadinya
 relasi
  yang
 intens
 antara
 perusahaan
 dengan
 para
  konsumennya.
  Dan
 di
 dalam
  era
 
internet
  seperti
  saat
  ini,
  sejumlah
  dan
  beragam
  interaksi
  antara
  perusahaan
  dengan
 
konsumennya
 terjadi
 di
  dunia
 maya.
  Berbeda
 dengan
 resiko
 kemanan
  internal
  dimana
 hanya
 
kalangan
  terbatas
  saja
  terhubung
  dengan
  jaringan
  komputer
  perusahaan,
  di
  dalam
  dunia
 
maya,
  puluhan
 bahkan
 ratusan
 juta
 individu
 maupun
 kelompok
 saling
 terhubung
 satu
 dengan
 
yang
 lain
  –
  sehingga
  secara
  langsung
  meningkatkan
  kompleksitas
  dan
  mempertinggi
  resiko
 
terjadinya
  tindak
  kejahatan
  terhadap
  perusahaan
  melalui
  pencurian
  maupun
  pengrusakan
 
terhadap
 informasi
 yang
 mengalir
 di
 internet.
Paling
 tidak
 ada
 tiga
 jenis
 resiko
 keamanan
 yang
 dapat
 terjadi
 dalam
 konteks
 relasi
 ini:







Resiko
 keamanan
 yang
 berpotensi
 mendatangkan
 kerugian
 bagi
 konsumen;

Resiko
 keamanan
 yang
 berpotensi
 mendatangkan
 kerugian
 bagi
 perusahaan;
 dan

Resiko
 keamanan
 yang
 berpotensi
 mendatangkan
 kerugian
 bagi
 kedua
 belah
 pihak.

HALAMAN 4 DARI 9





(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013

SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI

PROF. RICHARDUS EKO INDRAJIT

Sumber:
 Indrajit,
 2002

Jenis
 pertama
 merupakan
 ancaman
 nyata
 terhadap
 para
 konsumen
 yang
 menginginkan
 untuk
 
melakukan
  transaksi
  jual
  beli
  melalui
  internet
  (e-­‐commerce).
  Tindakan
  kriminal
  yang
  telah
 
terjadi
 di
 dunia
 maya
 dimana
 dampaknya
 sangat
 merugikan
 para
 konsumen
 adalah:








Pencurian
  nomor
  kartu
  kredit,
  sehingga
  orang
  lain
  yang
  tidak
  berhak
  dapat
  dengan
 
leluasa
 mempergunakannya
 untuk
 berbelanja
 di
 internet;
Penyadapan
  data
  dan/atau
  informasi
  yang
  bersifat
  ”privacy”
  dimana
  sering
 
disalahgunakan
  oleh
  mereka
  yang
  mencurinya
  untuk
  melakukan
  hal-­‐hal
  yang
  tidak
 
diinginkan
 (spamming,
 pemerasan,
 marketing,
 dll.);

Pengambilan
 kata
  kunci
 rahasia
  (password)
 sehingga
 dapat
  disalahgunakan
 orang
 lain
 
(melakukan
 pemesanan
  palsu,
  mengganti
  konten,
  mem�itnah,
  mengadu
  domba,
  dll.);
 
dan
 lain
 sebagainya.

Jenis
 kedua
  adalah
 hal-­‐hal
  yang
  berpotensi
  mendatangkan
 kerugian
  bagi
  perusaaan,
  seperti
 
yang
 terjadi
 karena
 aktivitas
 kriminal
 sebagai
 berikut:









Pemesanan
 palsu
  terhadap
 sejumlah
  barang
 yang
  telah
 dikirimkan
  ke
  konsumen
 dan
 
kembali
 lagi
 ke
 perusahaan;
Penjualan
 produk
 dan/atau
 jasa
 kepada
 pihak
 yang
 tidak
 berhak;
Tidak
 dapat
 diaksesnya
 situs
 jual
 beli
 karena
 dirusak
 (diboikot);

Pengambilan
 produk
 digital
 tanpa
 meninggalkan
 catatan
 jual-­‐beli;
 dan
 lain
 sebagainya.

Dalam
  situasi
  dimana
  terjadi
  sejumlah
  tindakan
  kriminal
  sekaligus,
  tentu
  saja
  kedua
  pihak
 
yaitu
 masing-­‐masing
 konsumen
 dan
 perusahaan
 mengalami
 kerugian
 secara
 bersama-­‐sama.
HALAMAN 5 DARI 9





(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013

SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI

PROF. RICHARDUS EKO INDRAJIT

Resiko
 Keamanan
 Mitra
 Bisnis
Seperti
  halnya
 pada
  konsumen,
 terdapat
  tiga
 jenis
  resiko
 yang
  terkait
 dengan
 relasi
 ini,
  yaitu
 
masing-­‐masing:







Resiko
 keamanan
 yang
 berpotensi
 mendatangkan
 kerugian
 bagi
 mitra
 bisnis;

Resiko
 keamanan
 yang
 berpotensi
 mendatangkan
 kerugian
 bagi
 mitra
 perusahaan;

Resiko
 keamanan
 yang
 berpotensi
 mendatangkan
 kerugian
 bagi
 kedua
 belah
 pihak.

Contoh-­‐contoh
 kasus
 kejahatan
 yang
  berkaitan
  dengan
 ketiga
 jenis
 kerugian
 tersebut
 antara
 
lain:









Pemesanan
  palsu
  yang
  dilakukan
  oleh
 pihak
  yang
  berhasil
  masuk
  ke
  dalam
  domain
 
akses
  jaringan
 sehingga
  pihak
  pemasok
  (supplier)
  mengirimkan
 bahan
 baku
 kepada
 
perusahaan
 yang
 tidak
 membutuhkannya;
Proses
  autorisasi
  dan
 autenti�ikasi
  yang
  seolah-­‐oleh
 telah
  berjalan
 dengan
  sempurna
 
padahal
  sifatnya
  semu
  (menjalankan
  program
  aplikasi
  yang
  ”ditanam”
  oleh
  pelaku
 
kejahatan);
Penggunaan
  ”signature”
  palsu
  untuk
  melakukan
  transaksi
  dan/atau
  pengaksesan
 
terhadap
 dokumen
 dan
 arsip
 rahasia;
 dan
 lain
 sebagainya.

TINGKAT
 KRITIKALITAS
 KEAMANAN

Melihat
 sejumlah
 kasus
 yang
 pernah
 terjadi
 –
  dan
 beragam
 trend
 kejahatan
  yang
 mengancam
 
tersebut
 –
 perusahaan
 dapat
 memilahnya
 menjadi
 tiga
 jenis
 resiko,
 yaitu
 (Indrajit,
 2002):








Resiko
  Besar
  –
 keadaan
 dimana
 jika
 terjadi
 suatu
 kasus
 kejahatan
 tertentu,
 perusahaan
 
akan
 terancam
 keberadaan
 atau
 eksistensinya;
Resiko
  Menengah
  –
  keadaan
  dimana
  jika
  terjadi
  suatu
  kasus
  kejahatan
  tertentu,
 
perusahaan
  akan
  mengalami
  kerugian
  yang
  cukup
 signi�ikan
  walaupun
 tidak
  sampai
 
mengancam
 keberadaannya;
 dan
Resiko
  Kecil
  –
  keadaan
  dimana
  jika
  terjadi
  suatu
  kasus
  kejahatan
  tertentu,
  kerugian
 
yang
 terjadi
 tidak
 terlampau
 mempengaruhi
 kinerja
 perusahaan
 secara
 keseluruhan.

Jika
  tingkat
  resiko
  ini
  dikaitkan
  dengan
  tipe
  resiko
  bisnis
  yang
  telah
  dikemukakan
 
sebelumnya,
  akan
  dapat
  diperoleh
 sebuah
 matriks
  yang
  memperlihatkan
 portofolio
  tingkat
 
kritikalitas
  sistem
  keamanan
  jaringan
 
  ditinjau
  dari
  resiko
  bisnis
  terburuk
  yang
  dapat
 
ditimbulkan.
 Secara
  jelas
 terlihat
 dalam
 matriks
 tersebut,
  hal-­‐hal
 mana
  saja
 yang
 termasuk
 di
 
dalam
  kategori
  resiko
  besar,
  menengah,
  dan
  kecil.
  Berdasarkan
  pemetaan
  ini,
  terdapat
  tiga
 
jenis
  keputusan
  yang
  perlu
  diambil
  oleh
  manajemen
  perusahaan
  terkait
  dengan
  strategi
 
pengembangan
 sistem
 keamanan
 jaringan,
 masing-­‐masing
 adalah:



Terhadap
 ancaman
  kejahatan
 yang
  beresiko
  besar,
  sewajarnya
  perusahaan
  berusaha
 
untuk
  membangun
  sistem
  keamanan
  jaringan
  terkait
  ”at
  any
  cost”,
  dalam
  arti
  kata
 
tanpa
  mempertimbangkan
  lagi
  seberapa
 besar
  biaya
  yang
  harus
  dikeluarkan.
  Hal
  ini
 
wajar
 mengingat
 jika
 terjadi
 kasus,
 keberadaan
 perusahaan
 dalam
 keadaan
 terancam.

HALAMAN 6 DARI 9





(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013

SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI







PROF. RICHARDUS EKO INDRAJIT

Terhadap
  ancaman
  kejahatan
  yang
  beresiko
  menengah,
  perusahaan
  biasanya
  akan
 
mengadakan
  perhitungan
  cost-­‐bene�it
  mengingat
  ancaman
  yang
  ada
  terkait
  dengan
 
hilangnya
  sumber
  daya
  �inansial.
 
  Pada
  saat
  ini
  biasanya
  perusahaan
  akan
 
menganggarkan
 keuangannya
 secara
 wajar
 sesuai
 dengan
 resiko
 yang
 dihadapi.
Terhadap
 ancaman
 kejahatan
  yang
 beresiko
  kecil,
  biasanya
 perusahaan
 memutuskan
 
untuk
 membangun
 sistem
 keamanan
 dengan
 standar
 minimum
 saja.

Sumber:
 Indrajit,
 2002

PERHITUNGAN
 COST-­‐BENEFIT

Dari
  matriks
  yang
 sama,
  dapat
  dilihat
  adanya
 9
 (sembilan)
 jenis
  kategori
  perhitungan
  cost-­‐
bene�it
  yang
  dapat
  dijadikan
  pedoman
  bagi
  para
  pengambil
  keputusan.
  Berikut
  adalah
 
penjelasan
 dari
 masing-­‐masing
 skenario
 dimaksud
 (Indrajit,
 2002).

Investasi
 ”Resiko
 Besar”
Prinsip
  yang
  dipergunakan
  di
  dalam
  kategori
  ini
  adalah
  perusahaan
  harus
  secara
  mutlak
 
memiliki
  sistem
 keamanan
 jaringan
 –
 jika
 tidak
 ingin
 suatu
 ketika
 nanti
  gulung
 tikar
  pada
 saat
 
terjadi
  kasus
  kejahatan.
  Jadi
  keberadaannya
  bersifat
  mutlak.
  Ditinjau
  dari
  segi
  manfaat
 
(bene�it),
 jelas
 terlihat
 bahwa
 dengan
 adanya
 sistem
 jaringan
 keamanan
 yang
 baik,
 perusaaan
 
”terbebas”
  dari
  sebuah
 resiko
  yang
 mengancam
  eksistensinya.
 
 Justi�ikasi
  biaya
  (cost)
 yang
 
harus
 dikeluarkan,
 sangat
 terkait
 erat
 dengan
 domain
 resiko
 keamanan
 yang
 ada:






Pada
  Domain
 Relasi
 Internal,
 biasanya
 biaya
 yang
 harus
 dikeluarkan
 untuk
 melindungi
 
perusahaan
 dari
  ancaman
 kejahatan
 jaringan
 tidak
  lagi
  sekedar
 menjadi
  sebuah
  biaya
 
investasi,
  tetapi
 lebih
 merupakan
 sebuah
 ”overhead”
 –
 yang
 dibebankan
 sebagai
  biaya
 
operasional
  –
  sehari-­‐hari
  karena
  sifatnya
  yang
  mutlak.
  Secara
  kontinyu
  dan
  berkala
 
sistem
  keamanan
  jaringannya
  harus
  selalu
  diawasi
  dan
  dievaluasi,
  dan
  tentu
  saja
 
diremajakan
 sesuai
 dengan
 perkembangan
 teknologi
 baru
 yang
 ada.

Pada
  Domain
  Relasi
  Mitra
  Bisnis,
  perusahaan
  memiliki
  kesempatan
  untuk
  dapat
 
memperkecil
  biaya
  yang
  harus
  dikeluarkan
  dengan
  cara
  mengajak
  para
  mitranya
 
untuk
 berbagi
 biaya
 (cost
 sharing).
  Hal
 ini
  dimungkinkan
 mengingat
  resiko
 yang
 sama
 
(walau
 mungkin
 dengan
  derajat
 yang
 berbeda)
 dihadapi
 pula
  oleh
 mitra
 bisnis
 terkait,
 
sehingga
  dengan
  sedikit
  usaha
  negosiasi,
  perusahaan
  tidak
  harus
  sendirian
 
mengalokasikan
  sumber
  daya
  �inansialnya
  untuk
  membangun
  sistem
  keamanan
 
jaringan.

HALAMAN 7 DARI 9





(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013

SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI




PROF. RICHARDUS EKO INDRAJIT

Pada
 Domain
 Relasi
 Konsumen,
 keadaan
 cukup
 berbeda,
  mengingat
 banyaknya
 jumlah
 
konsumen
 yang
 perlu
 dilayani.
  Dalam
 kerangka
 ini,
 usulan
 implementasi
 anggaran
 ”tak
 
terbatas”
  dapat
  dilakukan
  dengan
  cara
  mengajak
  pihak
  ketiga
  untuk
  bersama-­‐sama
 
berinvestasi
 dalam
 mengelola
 resiko
 yang
 ada.
 Contohnya
 adalah
 perusahaan
  asuransi
 
yang
  memberikan
  tawaran
  perlindungan
  terhadap
  transaksi
  elektronik,
  dimana
  jika
 
terjadi
 kejahatan,
 yang
 bersangkutan
 akan
  mengganti
  kerugian
  konsumen;
 sementara
 
jika
  kejahatan
  tidak
  terjadi,
  perusahaan
  asuransi
  mendapatkan
  persentasi
  dari
  nilai
 
transaksi.
  Dalam
 kerangka
 ini,
 kedua
 belah
 pihak
  sepakat
 untuk
  memilih
 suatu
 sistem
 
jaringan
  yang
 terjangkau
 biayanya
  (affordable),
  namun
  memiliki
  kinerja
  yang
  cukup
 
baik
  (bukan
  ”state-­‐of-­‐the-­‐arts”).
  Perjanjian
  bisnis
  lain
  dapat
  juga
  terjadi
  antara
 
perusahaan
  dengan
  beragam
  industri
  terkait,
  misalnya
  dengan
  vendor
  teknologi
 
informasi,
  perusahaan
  jasa
  kemanan
  jaringan,
  konsultan,
  atau
  dengan
  pihak-­‐pihak
 
lainnya.

Investasi
 ”Resiko
 Menengah”
Dalam
  situasi
  dimana
  ancaman
  keamanan
  memiliki
  resiko
  yang
  langsung
  terhadap
 
pro�itabilitas
 perusahaan
 ini
 (terjadi
 potensi
 pengurangan
 pendapatan
 dan
 peningkatan
 biaya
 
yang
 dapat
  dikuanti�ikasikan),
  besarnya
 investasi
 yang
  dikeluarkan
 perusahaan
 akan
 sangat
 
tergantung
 dari
 perhitungan
 tertentu.
 









Pada
  Domain
  Relasi
  Internal,
  formula
  yang
  biasa
  dipergunakan
  cukup
  mudah.
 
Anggaplah
  dengan
  adanya
  virus
  yang
  masuk
  ke
  dalam
  sistem,
  maka
  produktivitas
 
perusahaan
  menurun
  sebesar
  25%.
  Maka
  potensi
  kerugian
  perusahaan
  yang
  timbul
 
dalam
  satu
  hari
  adalah
  nilai
  tersebut
  dikalikan
  dengan
  rata-­‐rata
  pendapatan
 
perusahaan
  yang
  diperoleh
 dalam
 satu
  hari.
  Dengan
 kata
 lain
 perusahaan
 akan
 dapat
 
mengira-­‐ngira
  hilangnya
  potensi
  pendapatan
  yang
  ada
  dalam
  satu
  tahun.
  Angka
 
tersebut
 kemudian
 dipakai
 untuk
 menghitung
 nilai
  investasi
 sistem
 jaringan
 keamanan
 
dan
 ROI
 yang
 terjadi
 sebagai
 bahan
 pengambilan
 keputusan.
 Cara
 kedua
 adalah
 dengan
 
menghitung
 biaya
  yang
 harus
  dikeluarkan
  seandainya
 terjadi
  masalah
  terkait
  dengan
 
rusaknya
  sistem
  jaringan
  yang
  dipergunakan.
  Katakanlah
  untuk
  memperbaikinya,
 
dibutuhkan
  biaya
  X,
  dan
  kejadian
  tersebut
  terjadi
  hampir
  setiap
  bulan.
  Maka
  dapat
 
dengan
  mudah
  manajemen
  menghitung
  biaya
  yang
  harus
  dikeluarkan
  dalam
  waktu
 
satu
 tahun
 hanya
  untuk
  memperbaiki
 sistem
  terkait
 agar
 bisnis
 dapat
 berjalan
 kembali
 
secara
 normal.
Pada
  Domain
  Relasi
 Mitra
 Bisnis,
  biasanya
 untuk
  sistem
 dengan
 resiko
  menengah
 ini
 
kedua
  perusahaan
  yang
  bermitra
  berada
  dalam
  posisi
  ”seimbang”
  dimana
  keduanya
 
dapat
 bersama-­‐sama
 membangun
 sistem
 unik
 (proprietary)
 yang
 didedikasikan
 untuk
 
kepentingan
  bersama.
  Mengenai
  keputusan
  jumlah
  biaya
  yang
  perlu
  dialokasikan,
 
biasanya
 selain
 faktor
  resiko
  dilihat
  pula
 ”business
  value”
 yang
  dapat
  dinikmati
  oleh
 
kedua
 belah
 pihak.
Pada
  Domain
  Relasi
  Konsumen,
  angka
  besarnya
  investasi
  untuk
  membangun
  sistem
 
keamanan
  jaringan
  dihitung
  melalui
  potensi
  kerugian
  yang
  mungkin
  terjadi
  dalam
 
setiap
 kasus
 kejahatan,
 dikalikan
 dengan
 angka
 probabilitas/
 kemungkinan
 terjadinya
 
tindakan
  kriminal
  tersebut.
  Untuk
  keperluan
  tersebut,
  perusahaan
  harus
  memiliki
 
daftar
 jenis
  kejahatan
 yang
 mungkin
 terjadi
 dengan
 potensi
 kerugian
 dan
 probabilitas
 
frekuensi
  kejadian
  sebelum
  akhirnya
  dapat
  memperkirakan
  total
  biaya
  yang
  layak
 
untuk
 diinvestasikan.

HALAMAN 8 DARI 9





(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013

SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI

PROF. RICHARDUS EKO INDRAJIT

Investasi
 ”Resiko
 Rendah”
Terhadap
  jenis
  ancaman
  beresiko
  rendah,
  biasanya
  prioritas
  pengembangan
  sistem
 
keamanan
  jaringan
  juga
  menjadi
  kecil
  di
  mata
  manajemen
  perusahaan.
  Bisa
  dikatakan
 
keberadaan
 sistem
  ini
  bersifat
  ”optional”
  atau
  ”nice
  to
  have”.
  Paling
  tidak
  dalam
  situasi
  ini
 
perusahaan
  memutuskan
  untuk
  menginstalasi
  sistem
  keamanan
  jaringan
  dengan
  standar
 
paling
 minimum.

 

Pada
  Domain
  Relasi
  Internal,
  manajemen
  perusahaan
  biasanya
  melakukan
  proses
 
perbandingan
  (benchmarking)
  di
  perusahaan
  pada
  industri
  sejenis
  terhadap
  jumlah
 
alokasi
  atau
  persentasi
  biaya
  yang
 didedikasikan
  untuk
  membangun
 dan
 memelihara
 
sistem
 jaringan
 keamanan.






Pada
 Domain
 Relasi
  Mitra
 Bisnis,
  ada
 kesempatan
 dimana
 perusahaan
 ”melimpahkan”
 
atau
  memberikan
  keleluasaan
  kepada
  mitra
  bisnisnya
  untuk
  membangun
  sistem
 
terkait,
  mengingat
  keberadaan
 sistem
  ini
  bagi
  perusahaan
  bersifat
  ”tidak
  mendesak”
 
sementara
 mungkin
 bagi
 mitra
 bisnis
 bersifat
 sebaliknya.

Pada
 Domain
 Relasi
 Konsumen,
 hal
 yang
 kurang
 lebih
 sama
  terjadi.
  Mengingat
 bahwa
 
kerugian
 yang
 diderita
 perusahaan
 tidak
 terlampau
 signi�ikan,
 maka
 faktor
 resiko
 dan
 
biayanya,
  diserahkan
 atau
 dilimpahkan
 kepada
 para
 konsumen
 yang
 ingin
  melakukan
 
transaksi.
  Hal
  ini
  akan
  berjalan
  secara
  efektif
  terutama
  jika
  konsumen
  juga
 
memandang
 resiko
  kerugian
 yang
 dihadapi
 cukup
 rendah
 seandainya
 terjadi
 ancaman
 
keamanan.

Pada
  akhirnya,
  pengalaman
  memperlihatkan
  bahwa
  keputusan
  untuk
  menentukan
  apakah
 
perusahaan
  akan
  membangun
  sistem
  keamanan
  jaringannya
  atau
  tidak
  akan
  sangat
 
tergantung
  dari
  dua
  hal
  utama,
  yaitu:
  peranan
  sistem
  dan
  teknologi
  informasi
  bagi
 
perusahaan
  terkait
  dan
 pola
  atau
 gaya
  manajemen
 pimpinan
  perusahaan.
 
  Jika
  keberadaan
 
atau
  posisi
  sistem
  dan
  teknologi
  informasi
  sangat
  kritikal
  bagi
  perusahaan
  (terkait
  dengan
 
peranannya
  dalam
  melancarkan
  rangkaian
  proses
  bisnis
  inti
  atau
  ”core
  processes”),
  maka
 
jelas
 permasalahan
  keamanan
  jaringan
 merupakan
 hal
 yang
 mutlak
 diperhatikan.
 
  Sebaliknya
 
jika
 tidak,
 maka
 pemikiran
 terhadap
  perlu
 tidaknya
 dilakukan
 pembangunan
 terhadap
 sistem
 
keamanan
  jaringan
 menjadi
 hal
  yang
 tidak
  mendapatkan
 prioritas
 utama.
  Ditinjau
 dari
  gaya
 
kepemimpinan,
  seorang
  ”risk
  taker”
  biasanya
  justru
  berani
  mengambil
  resiko
  dengan
  cara
 
tidak
 perlu
 memperhatikan
  sungguh-­‐sungguh
 terhadap
 isu
 keamanan
 ini;
 sementara
 seorang
 
”risk
 averse”
  biasanya
 justru
 tertarik
 untuk
  mencari
 jalan
 bagaimana
 agar
 segala
 resiko
 yang
 
mengancam
 kelanggengan
 usaha
 bisnisnya
 dapat
 diminimalisasi.
 

Seperti
  yang
  sering
  terjadi
  dalam
  fenomena
  kehidupan
  sehari-­‐hari,
  seorang
  kepala
  rumah
 
tangga
 tidak
 akan
 pernah
 ber�ikir
 untuk
 menyisihkan
  sebagian
 pendapatannya
 guna
 membeli
 
sistem
 alarm
 rumah,
 sampai
 tetangga
 atau
 teman
 dekatnya
 mengalami
 musibah
 perampokan.

-­‐-­‐-­‐
 akhir
 dokumen
 -­‐-­‐-­‐

HALAMAN 9 DARI 9





(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013