Analisa Investasi Sistem Keamanan Jaring
PROF. RICHARDUS EKO INDRAJIT
Analisa Investasi Sistem Keamanan Jaringan
oleh Prof. Richardus Eko Indrajit - indrajit@post.harvard.edu
EKOJI999 Nomor
254, 20 Mei 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
Artikel ini merupakan satu dari 999 bunga rampai pemikiran Prof. Richardus Eko Indrajit di bidang sistem dan
teknologi informasi. Untuk berlangganan, silahkan kirimkan permohonan anda melalui alamat email indrajit@rad.net.id.
HALAMAN 1 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Dewasa
ini,
hubungan
antara
bisnis
dan
teknologi
informasi
bukan
lagi
merupakan
sebuah
relasi
demand-‐supply
belaka,
tetapi
keduanya
telah
menjadi
suatu
kesatuan
yang
tak
terpisahkan.
Fenomena
ini
terutama
terjadi
pada
perusahaan
moderen
yang
telah
menyadari
bahwa
informasi
telah
menjadi
salah
satu
faktor
produksi
penting
disamping
empat
sumber
daya
lain
yang
lebih
dikenal
sebagai
4M
(men,
machines,
materials,
dan
money).
Dalam
konteks
ini,
jelas
terlihat
bahwa
manajemen
perusahaan
harus
memiliki
mekanisme
efektif
untuk
mengelola
proses
penciptaan,
penyimpanan,
penyaluran,
dan
pengawasan
terhadap
informasi
ini
agar
keberadaannya
benar-‐benar
dapat
menjadi
sebuah
entiti
strategis
bagi
perusahaan.
Melihat
bahwa
pada
dasarnya
wujud
informasi
merupakan
sebuah
content
yang
berada
dalam
sebuah
”container”
yang
bernama
teknologi
informasi
(konvergensi
antara
teknologi
komputer
dan
telekomunikasi),
maka
faktor
pengelolaan
terhadap
teknologi
ini
menjadi
sangat
krusial.
Bukan
merupakan
rahasia
umum
lagi
bahwa
di
era
internet
ini,
banyak
terjadi
berbagai
tindakan
kriminal
berkaitan
dengan
pencurian
informasi
penting
dan
rahasia
yang
dimiliki
oleh
perusahaan.
Tindakan
ini
tidak
saja
bermuara
pada
terjadinya
kerugian
langsung
yang
harus
ditanggung/diderita
oleh
pihak
perusahaan
terkait,
tetapi
lebih
jauh
lagi
dapat
menjadi
ancaman
terhadap
keberadaan
dan
perkembangan
teknologi
informasi
sebagai
suatu
alat
bantu
untuk
meningkatkan
kualitas
kehidupan
manusia
pada
umumnya
dan
aktivitas
bisnis
(pertukaran
barang
dan
jasa)
pada
khususnya.
Walaupun
jelas
terlihat
dalam
kerangka
ini
bahwa
sudah
saatnya
manajemen
perusahaan
menaruh
perhatian
serius
terhadap
kondisi
sistem
keamanan
jaringan
teknologi
informasinya,
namun
pada
kenyataannya
hanya
sedikit
sekali
pimpinan
perusahaan
yang
memutuskan
untuk
menyisihkan
sebagian
anggarannya
untuk
membangun
sistem
yang
efektif.
Memperhatikan
bahwa
salah
satu
alasan
yang
dikemukanan
adalah
tidak
jelasnya
manfaat
riil
yang
diperoleh
untuk
menjusti�ikasi
biaya
yang
telah
dikeluarkan,
artikel
ini
bertujuan
untuk
memberikan
beberapa
alternatif
pendekatan
seputar
teknik
analisa
dan
perhitungan
cost-‐bene�it
terhadap
isu
terkait.
Harapannya
adalah
agar
para
eksekutif
perusahaan
yang
ingin
mengembangkan
sistem
keamanan
jaringannya
tidak
harus
merasa
takut
akan
terjadinya”over
investment”
(investasi
yang
berlebih)
dalam
mengeksekusi
keputusan
alokasi
biaya
terkait.
DOMAIN
RESIKO
KEAMANAN
Berkaitan
dengan
aktivitas
yang
terjadi
pada
perusahaan,
paling
tidak
ada
3
(tiga)
domain
resiko
keamanan
yang
harus
benar-‐benar
diperhatikan,
masing-‐masing
adalah
(Indrajit,
2002):
Domain
Relasi
Internal
Domain
Relasi
Konsumen
Domain
Relasi
Mitra
Bisnis
Domain
Relasi
Internal
berkaitan
dengan
pengelolaan
informasi
(penciptaan,
penyimpanan,
penyaluran,
dan
pengawasan)
yang
melibatkan
berbagai
entiti
bisnis
–
yang
saling
terkait
satu
lainnya
–
dalam
batasan
wilayah
organisasi
usaha.
Contohnya
adalah
informasi
yang
mengalir
antar
departemen,
antar
fungsi,
antar
jabatan,
antar
unit
bisnis,
dan
lain-‐lain.
Domain
Relasi
Konsumen
berkaitan
dengan
pengelolaan
informasi
pada
suatu
wilayah
yang
terbentuk
karena
adanya
interaksi
antara
perusahaan
dengan
pelanggannya.
Contohnya
adalah
informasi
pro�il
pelanggan,
informasi
transaksi
melalui
internet,
informasi
pembayaran
dengan
kartu
kredit,
informasi
jual-‐beli
produk,
dan
lain-‐lain.
HALAMAN 2 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Domain
Relasi
Mitra
Bisnis
berkaitan
dengan
pengelolaan
informasi
dalam
suatu
wilayah
kolaborasi
antara
perusahaan
dengan
sejumlah
mitra
bisnisnya,
seperti
para
supplier,
vendor,
lembaga
keuangan,
dan
lain
sebagainya.
Dalam
kerjasama
ini,
beragam
informasi
mengalir
dari
perusahaan
ke
sejumlah
mitra
bisnis
dan
sebaliknya.
Contohnya
adalah
informasi
berkaitan
dengan
pemesanan
barang,
peminjaman
kredit
di
bank,
kontrak
kerjasama,
dan
lain-‐lain.
Sumber:
Indrajit,
2002
TIPE
RESIKO
BISNIS
Dengan
mengetahui
tiga
domain
di
atas,
maka
manajemen
dengan
mudah
dapat
mengidenti�ikasi
jenis
dan
tingkat
resiko
bisnis
apa
saja
yang
perlu
untuk
dipahami
dan
diperhatikan
secara
sungguh-‐sungguh.
Resiko
Keamanan
Internal
Dalam
domain
relasi
internal,
informasi
memiliki
dua
peranan
strategis.
Peranan
pertama
adalah
keberadaan
informasi
sebagai
salah
satu
faktor
produksi
penting
yang
secara
langsung
terlibat
dalam
proses
penciptaan
barang
dan/atau
jasa.
Dengan
adanya
informasi
ini
diharapkan
proses
utama
tersebut
(core
processes)
dapat
dilangsungkan
secara
efektif
dan
e�isien.
Termasuk
di
dalam
proses
ini
adalah
aktivitas
perencanaan
korporat,
aktivitas
pengelolaan
sumber
daya,
aktivitas
pengambilan
keputusan,
dan
lain
sebagainya.
Sehubungan
dengan
hal
ini,
faktor
keamanan
data
dan/atau
informasi
yang
buruk
akan
memiliki
dampak
langsung
kepada
perusahaan,
misalnya:
Masuknya
virus
yang
merusak
data
dan/atau
informasi
yang
dimiliki
perusahaan
akan
membuat
kegiatan
produksi
perusahaan
terganggu;
Bocornya
data
dan/atau
informasi
rahasia
perusahaan
ke
tangan
kompetitor
(terutama
yang
berkaitan
dengan
hak
milik
intelektual)
dapat
mendatangkan
kerugian
yang
sangat
besar;
Hilangnya
data
dan/atau
informasi
krusial
dapat
menghentikan
sejumlah
proses
dan
aktivitas
internal
perusahaan;
Dirubahnya
sejumlah
data
dan/atau
informasi
oleh
pihak
yang
tidak
bertanggung
jawab
akan
membuat
keputusan
strategis
yang
diambil
menjadi
salah;
HALAMAN 3 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Rusaknya
sistem
email
dapat
menurunkan
e�isiensi
kinerja
karena
sulitnya
melakukan
komunikasi;
dan
lain
sebagainya
Resiko
terbesar
yang
dihadapi
oleh
perusahaan
sehubungan
dengan
hal
ini
adalah
terganggunya
atau
terhentinya
proses
produksi
yang
berarti
hilangnya
kesempatan
perusahaan
untuk
menawarkan
produk
dan/atau
jasanya
kepada
pelanggan
–
yang
berarti
pula
ancaman
terhadap
eksistensi
usaha.
Peranan
kedua
dari
informasi
adalah
sebagai
alat
bantu
terciptanya
kontrol
internal
yang
baik
di
dalam
perusahaan
–
terutama
yang
berkaitan
dengan
aspek
”good
corporate
governance”
yang
belakangan
ini
mutlak
dituntut
oleh
mayoritas
stakeholder
organisasi.
Sejumlah
kasus
keamanan
yang
kerap
terjadi
sehubungan
dengan
hal
ini
misalnya:
Manipulasi
laporan
keuangan
dan
perpajakan
karena
buruknya
sistem
keamanan
aplikasi
maupun
database
perusahaan;
Diubahnya
data
dan/atau
informasi
sejumlah
ukuran
kinerja
bisnis
pada
masing-‐
masing
unit
atau
departemen
agar
tidak
terlihat
adanya
kinerja
buruk
yang
terjadi;
Digantinya
isi
dari
sejumlah
dokumen
arsip
agar
tidak
terkena
jeratan
hukum;
Dibukanya
dokumen-‐dokumen
rahasia
oleh
mereka
yang
tidak
berhak
untuk
mengaksesnya;
dan
lain
sebagainya.
Adapun
resiko
terbesar
yang
dihadapi
oleh
perusahaan
jika
faktor
keamanan
terhadap
data
dan/atau
informasi
tidak
terjaga
dalam
konteks
ini
adalah
potensi
terjadinya
”chaos”
atau
kekacauan
internal,
yang
tentu
saja
akan
berdampak
langsung
dan
sangat
buruk
terhadap
operasional
usaha.
Resiko
Keamanan
Konsumen
Perusahaan
dapat
eksis
menjalankan
usahanya
karena
adanya
konsumen
yang
setia
membeli
produk
dan/atau
jasa
yang
ditawarkan.
Dengan
kata
lain,
konsumen
merupakan
faktor
penentu
dari
hidup
matinya
usaha.
Dalam
menjalankan
bisnisnya
sehari-‐hari,
tentu
saja
terjadinya
relasi
yang
intens
antara
perusahaan
dengan
para
konsumennya.
Dan
di
dalam
era
internet
seperti
saat
ini,
sejumlah
dan
beragam
interaksi
antara
perusahaan
dengan
konsumennya
terjadi
di
dunia
maya.
Berbeda
dengan
resiko
kemanan
internal
dimana
hanya
kalangan
terbatas
saja
terhubung
dengan
jaringan
komputer
perusahaan,
di
dalam
dunia
maya,
puluhan
bahkan
ratusan
juta
individu
maupun
kelompok
saling
terhubung
satu
dengan
yang
lain
–
sehingga
secara
langsung
meningkatkan
kompleksitas
dan
mempertinggi
resiko
terjadinya
tindak
kejahatan
terhadap
perusahaan
melalui
pencurian
maupun
pengrusakan
terhadap
informasi
yang
mengalir
di
internet.
Paling
tidak
ada
tiga
jenis
resiko
keamanan
yang
dapat
terjadi
dalam
konteks
relasi
ini:
Resiko
keamanan
yang
berpotensi
mendatangkan
kerugian
bagi
konsumen;
Resiko
keamanan
yang
berpotensi
mendatangkan
kerugian
bagi
perusahaan;
dan
Resiko
keamanan
yang
berpotensi
mendatangkan
kerugian
bagi
kedua
belah
pihak.
HALAMAN 4 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Sumber:
Indrajit,
2002
Jenis
pertama
merupakan
ancaman
nyata
terhadap
para
konsumen
yang
menginginkan
untuk
melakukan
transaksi
jual
beli
melalui
internet
(e-‐commerce).
Tindakan
kriminal
yang
telah
terjadi
di
dunia
maya
dimana
dampaknya
sangat
merugikan
para
konsumen
adalah:
Pencurian
nomor
kartu
kredit,
sehingga
orang
lain
yang
tidak
berhak
dapat
dengan
leluasa
mempergunakannya
untuk
berbelanja
di
internet;
Penyadapan
data
dan/atau
informasi
yang
bersifat
”privacy”
dimana
sering
disalahgunakan
oleh
mereka
yang
mencurinya
untuk
melakukan
hal-‐hal
yang
tidak
diinginkan
(spamming,
pemerasan,
marketing,
dll.);
Pengambilan
kata
kunci
rahasia
(password)
sehingga
dapat
disalahgunakan
orang
lain
(melakukan
pemesanan
palsu,
mengganti
konten,
mem�itnah,
mengadu
domba,
dll.);
dan
lain
sebagainya.
Jenis
kedua
adalah
hal-‐hal
yang
berpotensi
mendatangkan
kerugian
bagi
perusaaan,
seperti
yang
terjadi
karena
aktivitas
kriminal
sebagai
berikut:
Pemesanan
palsu
terhadap
sejumlah
barang
yang
telah
dikirimkan
ke
konsumen
dan
kembali
lagi
ke
perusahaan;
Penjualan
produk
dan/atau
jasa
kepada
pihak
yang
tidak
berhak;
Tidak
dapat
diaksesnya
situs
jual
beli
karena
dirusak
(diboikot);
Pengambilan
produk
digital
tanpa
meninggalkan
catatan
jual-‐beli;
dan
lain
sebagainya.
Dalam
situasi
dimana
terjadi
sejumlah
tindakan
kriminal
sekaligus,
tentu
saja
kedua
pihak
yaitu
masing-‐masing
konsumen
dan
perusahaan
mengalami
kerugian
secara
bersama-‐sama.
HALAMAN 5 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Resiko
Keamanan
Mitra
Bisnis
Seperti
halnya
pada
konsumen,
terdapat
tiga
jenis
resiko
yang
terkait
dengan
relasi
ini,
yaitu
masing-‐masing:
Resiko
keamanan
yang
berpotensi
mendatangkan
kerugian
bagi
mitra
bisnis;
Resiko
keamanan
yang
berpotensi
mendatangkan
kerugian
bagi
mitra
perusahaan;
Resiko
keamanan
yang
berpotensi
mendatangkan
kerugian
bagi
kedua
belah
pihak.
Contoh-‐contoh
kasus
kejahatan
yang
berkaitan
dengan
ketiga
jenis
kerugian
tersebut
antara
lain:
Pemesanan
palsu
yang
dilakukan
oleh
pihak
yang
berhasil
masuk
ke
dalam
domain
akses
jaringan
sehingga
pihak
pemasok
(supplier)
mengirimkan
bahan
baku
kepada
perusahaan
yang
tidak
membutuhkannya;
Proses
autorisasi
dan
autenti�ikasi
yang
seolah-‐oleh
telah
berjalan
dengan
sempurna
padahal
sifatnya
semu
(menjalankan
program
aplikasi
yang
”ditanam”
oleh
pelaku
kejahatan);
Penggunaan
”signature”
palsu
untuk
melakukan
transaksi
dan/atau
pengaksesan
terhadap
dokumen
dan
arsip
rahasia;
dan
lain
sebagainya.
TINGKAT
KRITIKALITAS
KEAMANAN
Melihat
sejumlah
kasus
yang
pernah
terjadi
–
dan
beragam
trend
kejahatan
yang
mengancam
tersebut
–
perusahaan
dapat
memilahnya
menjadi
tiga
jenis
resiko,
yaitu
(Indrajit,
2002):
Resiko
Besar
–
keadaan
dimana
jika
terjadi
suatu
kasus
kejahatan
tertentu,
perusahaan
akan
terancam
keberadaan
atau
eksistensinya;
Resiko
Menengah
–
keadaan
dimana
jika
terjadi
suatu
kasus
kejahatan
tertentu,
perusahaan
akan
mengalami
kerugian
yang
cukup
signi�ikan
walaupun
tidak
sampai
mengancam
keberadaannya;
dan
Resiko
Kecil
–
keadaan
dimana
jika
terjadi
suatu
kasus
kejahatan
tertentu,
kerugian
yang
terjadi
tidak
terlampau
mempengaruhi
kinerja
perusahaan
secara
keseluruhan.
Jika
tingkat
resiko
ini
dikaitkan
dengan
tipe
resiko
bisnis
yang
telah
dikemukakan
sebelumnya,
akan
dapat
diperoleh
sebuah
matriks
yang
memperlihatkan
portofolio
tingkat
kritikalitas
sistem
keamanan
jaringan
ditinjau
dari
resiko
bisnis
terburuk
yang
dapat
ditimbulkan.
Secara
jelas
terlihat
dalam
matriks
tersebut,
hal-‐hal
mana
saja
yang
termasuk
di
dalam
kategori
resiko
besar,
menengah,
dan
kecil.
Berdasarkan
pemetaan
ini,
terdapat
tiga
jenis
keputusan
yang
perlu
diambil
oleh
manajemen
perusahaan
terkait
dengan
strategi
pengembangan
sistem
keamanan
jaringan,
masing-‐masing
adalah:
Terhadap
ancaman
kejahatan
yang
beresiko
besar,
sewajarnya
perusahaan
berusaha
untuk
membangun
sistem
keamanan
jaringan
terkait
”at
any
cost”,
dalam
arti
kata
tanpa
mempertimbangkan
lagi
seberapa
besar
biaya
yang
harus
dikeluarkan.
Hal
ini
wajar
mengingat
jika
terjadi
kasus,
keberadaan
perusahaan
dalam
keadaan
terancam.
HALAMAN 6 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Terhadap
ancaman
kejahatan
yang
beresiko
menengah,
perusahaan
biasanya
akan
mengadakan
perhitungan
cost-‐bene�it
mengingat
ancaman
yang
ada
terkait
dengan
hilangnya
sumber
daya
�inansial.
Pada
saat
ini
biasanya
perusahaan
akan
menganggarkan
keuangannya
secara
wajar
sesuai
dengan
resiko
yang
dihadapi.
Terhadap
ancaman
kejahatan
yang
beresiko
kecil,
biasanya
perusahaan
memutuskan
untuk
membangun
sistem
keamanan
dengan
standar
minimum
saja.
Sumber:
Indrajit,
2002
PERHITUNGAN
COST-‐BENEFIT
Dari
matriks
yang
sama,
dapat
dilihat
adanya
9
(sembilan)
jenis
kategori
perhitungan
cost-‐
bene�it
yang
dapat
dijadikan
pedoman
bagi
para
pengambil
keputusan.
Berikut
adalah
penjelasan
dari
masing-‐masing
skenario
dimaksud
(Indrajit,
2002).
Investasi
”Resiko
Besar”
Prinsip
yang
dipergunakan
di
dalam
kategori
ini
adalah
perusahaan
harus
secara
mutlak
memiliki
sistem
keamanan
jaringan
–
jika
tidak
ingin
suatu
ketika
nanti
gulung
tikar
pada
saat
terjadi
kasus
kejahatan.
Jadi
keberadaannya
bersifat
mutlak.
Ditinjau
dari
segi
manfaat
(bene�it),
jelas
terlihat
bahwa
dengan
adanya
sistem
jaringan
keamanan
yang
baik,
perusaaan
”terbebas”
dari
sebuah
resiko
yang
mengancam
eksistensinya.
Justi�ikasi
biaya
(cost)
yang
harus
dikeluarkan,
sangat
terkait
erat
dengan
domain
resiko
keamanan
yang
ada:
Pada
Domain
Relasi
Internal,
biasanya
biaya
yang
harus
dikeluarkan
untuk
melindungi
perusahaan
dari
ancaman
kejahatan
jaringan
tidak
lagi
sekedar
menjadi
sebuah
biaya
investasi,
tetapi
lebih
merupakan
sebuah
”overhead”
–
yang
dibebankan
sebagai
biaya
operasional
–
sehari-‐hari
karena
sifatnya
yang
mutlak.
Secara
kontinyu
dan
berkala
sistem
keamanan
jaringannya
harus
selalu
diawasi
dan
dievaluasi,
dan
tentu
saja
diremajakan
sesuai
dengan
perkembangan
teknologi
baru
yang
ada.
Pada
Domain
Relasi
Mitra
Bisnis,
perusahaan
memiliki
kesempatan
untuk
dapat
memperkecil
biaya
yang
harus
dikeluarkan
dengan
cara
mengajak
para
mitranya
untuk
berbagi
biaya
(cost
sharing).
Hal
ini
dimungkinkan
mengingat
resiko
yang
sama
(walau
mungkin
dengan
derajat
yang
berbeda)
dihadapi
pula
oleh
mitra
bisnis
terkait,
sehingga
dengan
sedikit
usaha
negosiasi,
perusahaan
tidak
harus
sendirian
mengalokasikan
sumber
daya
�inansialnya
untuk
membangun
sistem
keamanan
jaringan.
HALAMAN 7 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Pada
Domain
Relasi
Konsumen,
keadaan
cukup
berbeda,
mengingat
banyaknya
jumlah
konsumen
yang
perlu
dilayani.
Dalam
kerangka
ini,
usulan
implementasi
anggaran
”tak
terbatas”
dapat
dilakukan
dengan
cara
mengajak
pihak
ketiga
untuk
bersama-‐sama
berinvestasi
dalam
mengelola
resiko
yang
ada.
Contohnya
adalah
perusahaan
asuransi
yang
memberikan
tawaran
perlindungan
terhadap
transaksi
elektronik,
dimana
jika
terjadi
kejahatan,
yang
bersangkutan
akan
mengganti
kerugian
konsumen;
sementara
jika
kejahatan
tidak
terjadi,
perusahaan
asuransi
mendapatkan
persentasi
dari
nilai
transaksi.
Dalam
kerangka
ini,
kedua
belah
pihak
sepakat
untuk
memilih
suatu
sistem
jaringan
yang
terjangkau
biayanya
(affordable),
namun
memiliki
kinerja
yang
cukup
baik
(bukan
”state-‐of-‐the-‐arts”).
Perjanjian
bisnis
lain
dapat
juga
terjadi
antara
perusahaan
dengan
beragam
industri
terkait,
misalnya
dengan
vendor
teknologi
informasi,
perusahaan
jasa
kemanan
jaringan,
konsultan,
atau
dengan
pihak-‐pihak
lainnya.
Investasi
”Resiko
Menengah”
Dalam
situasi
dimana
ancaman
keamanan
memiliki
resiko
yang
langsung
terhadap
pro�itabilitas
perusahaan
ini
(terjadi
potensi
pengurangan
pendapatan
dan
peningkatan
biaya
yang
dapat
dikuanti�ikasikan),
besarnya
investasi
yang
dikeluarkan
perusahaan
akan
sangat
tergantung
dari
perhitungan
tertentu.
Pada
Domain
Relasi
Internal,
formula
yang
biasa
dipergunakan
cukup
mudah.
Anggaplah
dengan
adanya
virus
yang
masuk
ke
dalam
sistem,
maka
produktivitas
perusahaan
menurun
sebesar
25%.
Maka
potensi
kerugian
perusahaan
yang
timbul
dalam
satu
hari
adalah
nilai
tersebut
dikalikan
dengan
rata-‐rata
pendapatan
perusahaan
yang
diperoleh
dalam
satu
hari.
Dengan
kata
lain
perusahaan
akan
dapat
mengira-‐ngira
hilangnya
potensi
pendapatan
yang
ada
dalam
satu
tahun.
Angka
tersebut
kemudian
dipakai
untuk
menghitung
nilai
investasi
sistem
jaringan
keamanan
dan
ROI
yang
terjadi
sebagai
bahan
pengambilan
keputusan.
Cara
kedua
adalah
dengan
menghitung
biaya
yang
harus
dikeluarkan
seandainya
terjadi
masalah
terkait
dengan
rusaknya
sistem
jaringan
yang
dipergunakan.
Katakanlah
untuk
memperbaikinya,
dibutuhkan
biaya
X,
dan
kejadian
tersebut
terjadi
hampir
setiap
bulan.
Maka
dapat
dengan
mudah
manajemen
menghitung
biaya
yang
harus
dikeluarkan
dalam
waktu
satu
tahun
hanya
untuk
memperbaiki
sistem
terkait
agar
bisnis
dapat
berjalan
kembali
secara
normal.
Pada
Domain
Relasi
Mitra
Bisnis,
biasanya
untuk
sistem
dengan
resiko
menengah
ini
kedua
perusahaan
yang
bermitra
berada
dalam
posisi
”seimbang”
dimana
keduanya
dapat
bersama-‐sama
membangun
sistem
unik
(proprietary)
yang
didedikasikan
untuk
kepentingan
bersama.
Mengenai
keputusan
jumlah
biaya
yang
perlu
dialokasikan,
biasanya
selain
faktor
resiko
dilihat
pula
”business
value”
yang
dapat
dinikmati
oleh
kedua
belah
pihak.
Pada
Domain
Relasi
Konsumen,
angka
besarnya
investasi
untuk
membangun
sistem
keamanan
jaringan
dihitung
melalui
potensi
kerugian
yang
mungkin
terjadi
dalam
setiap
kasus
kejahatan,
dikalikan
dengan
angka
probabilitas/
kemungkinan
terjadinya
tindakan
kriminal
tersebut.
Untuk
keperluan
tersebut,
perusahaan
harus
memiliki
daftar
jenis
kejahatan
yang
mungkin
terjadi
dengan
potensi
kerugian
dan
probabilitas
frekuensi
kejadian
sebelum
akhirnya
dapat
memperkirakan
total
biaya
yang
layak
untuk
diinvestasikan.
HALAMAN 8 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Investasi
”Resiko
Rendah”
Terhadap
jenis
ancaman
beresiko
rendah,
biasanya
prioritas
pengembangan
sistem
keamanan
jaringan
juga
menjadi
kecil
di
mata
manajemen
perusahaan.
Bisa
dikatakan
keberadaan
sistem
ini
bersifat
”optional”
atau
”nice
to
have”.
Paling
tidak
dalam
situasi
ini
perusahaan
memutuskan
untuk
menginstalasi
sistem
keamanan
jaringan
dengan
standar
paling
minimum.
Pada
Domain
Relasi
Internal,
manajemen
perusahaan
biasanya
melakukan
proses
perbandingan
(benchmarking)
di
perusahaan
pada
industri
sejenis
terhadap
jumlah
alokasi
atau
persentasi
biaya
yang
didedikasikan
untuk
membangun
dan
memelihara
sistem
jaringan
keamanan.
Pada
Domain
Relasi
Mitra
Bisnis,
ada
kesempatan
dimana
perusahaan
”melimpahkan”
atau
memberikan
keleluasaan
kepada
mitra
bisnisnya
untuk
membangun
sistem
terkait,
mengingat
keberadaan
sistem
ini
bagi
perusahaan
bersifat
”tidak
mendesak”
sementara
mungkin
bagi
mitra
bisnis
bersifat
sebaliknya.
Pada
Domain
Relasi
Konsumen,
hal
yang
kurang
lebih
sama
terjadi.
Mengingat
bahwa
kerugian
yang
diderita
perusahaan
tidak
terlampau
signi�ikan,
maka
faktor
resiko
dan
biayanya,
diserahkan
atau
dilimpahkan
kepada
para
konsumen
yang
ingin
melakukan
transaksi.
Hal
ini
akan
berjalan
secara
efektif
terutama
jika
konsumen
juga
memandang
resiko
kerugian
yang
dihadapi
cukup
rendah
seandainya
terjadi
ancaman
keamanan.
Pada
akhirnya,
pengalaman
memperlihatkan
bahwa
keputusan
untuk
menentukan
apakah
perusahaan
akan
membangun
sistem
keamanan
jaringannya
atau
tidak
akan
sangat
tergantung
dari
dua
hal
utama,
yaitu:
peranan
sistem
dan
teknologi
informasi
bagi
perusahaan
terkait
dan
pola
atau
gaya
manajemen
pimpinan
perusahaan.
Jika
keberadaan
atau
posisi
sistem
dan
teknologi
informasi
sangat
kritikal
bagi
perusahaan
(terkait
dengan
peranannya
dalam
melancarkan
rangkaian
proses
bisnis
inti
atau
”core
processes”),
maka
jelas
permasalahan
keamanan
jaringan
merupakan
hal
yang
mutlak
diperhatikan.
Sebaliknya
jika
tidak,
maka
pemikiran
terhadap
perlu
tidaknya
dilakukan
pembangunan
terhadap
sistem
keamanan
jaringan
menjadi
hal
yang
tidak
mendapatkan
prioritas
utama.
Ditinjau
dari
gaya
kepemimpinan,
seorang
”risk
taker”
biasanya
justru
berani
mengambil
resiko
dengan
cara
tidak
perlu
memperhatikan
sungguh-‐sungguh
terhadap
isu
keamanan
ini;
sementara
seorang
”risk
averse”
biasanya
justru
tertarik
untuk
mencari
jalan
bagaimana
agar
segala
resiko
yang
mengancam
kelanggengan
usaha
bisnisnya
dapat
diminimalisasi.
Seperti
yang
sering
terjadi
dalam
fenomena
kehidupan
sehari-‐hari,
seorang
kepala
rumah
tangga
tidak
akan
pernah
ber�ikir
untuk
menyisihkan
sebagian
pendapatannya
guna
membeli
sistem
alarm
rumah,
sampai
tetangga
atau
teman
dekatnya
mengalami
musibah
perampokan.
-‐-‐-‐
akhir
dokumen
-‐-‐-‐
HALAMAN 9 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
Analisa Investasi Sistem Keamanan Jaringan
oleh Prof. Richardus Eko Indrajit - indrajit@post.harvard.edu
EKOJI999 Nomor
254, 20 Mei 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
Artikel ini merupakan satu dari 999 bunga rampai pemikiran Prof. Richardus Eko Indrajit di bidang sistem dan
teknologi informasi. Untuk berlangganan, silahkan kirimkan permohonan anda melalui alamat email indrajit@rad.net.id.
HALAMAN 1 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Dewasa
ini,
hubungan
antara
bisnis
dan
teknologi
informasi
bukan
lagi
merupakan
sebuah
relasi
demand-‐supply
belaka,
tetapi
keduanya
telah
menjadi
suatu
kesatuan
yang
tak
terpisahkan.
Fenomena
ini
terutama
terjadi
pada
perusahaan
moderen
yang
telah
menyadari
bahwa
informasi
telah
menjadi
salah
satu
faktor
produksi
penting
disamping
empat
sumber
daya
lain
yang
lebih
dikenal
sebagai
4M
(men,
machines,
materials,
dan
money).
Dalam
konteks
ini,
jelas
terlihat
bahwa
manajemen
perusahaan
harus
memiliki
mekanisme
efektif
untuk
mengelola
proses
penciptaan,
penyimpanan,
penyaluran,
dan
pengawasan
terhadap
informasi
ini
agar
keberadaannya
benar-‐benar
dapat
menjadi
sebuah
entiti
strategis
bagi
perusahaan.
Melihat
bahwa
pada
dasarnya
wujud
informasi
merupakan
sebuah
content
yang
berada
dalam
sebuah
”container”
yang
bernama
teknologi
informasi
(konvergensi
antara
teknologi
komputer
dan
telekomunikasi),
maka
faktor
pengelolaan
terhadap
teknologi
ini
menjadi
sangat
krusial.
Bukan
merupakan
rahasia
umum
lagi
bahwa
di
era
internet
ini,
banyak
terjadi
berbagai
tindakan
kriminal
berkaitan
dengan
pencurian
informasi
penting
dan
rahasia
yang
dimiliki
oleh
perusahaan.
Tindakan
ini
tidak
saja
bermuara
pada
terjadinya
kerugian
langsung
yang
harus
ditanggung/diderita
oleh
pihak
perusahaan
terkait,
tetapi
lebih
jauh
lagi
dapat
menjadi
ancaman
terhadap
keberadaan
dan
perkembangan
teknologi
informasi
sebagai
suatu
alat
bantu
untuk
meningkatkan
kualitas
kehidupan
manusia
pada
umumnya
dan
aktivitas
bisnis
(pertukaran
barang
dan
jasa)
pada
khususnya.
Walaupun
jelas
terlihat
dalam
kerangka
ini
bahwa
sudah
saatnya
manajemen
perusahaan
menaruh
perhatian
serius
terhadap
kondisi
sistem
keamanan
jaringan
teknologi
informasinya,
namun
pada
kenyataannya
hanya
sedikit
sekali
pimpinan
perusahaan
yang
memutuskan
untuk
menyisihkan
sebagian
anggarannya
untuk
membangun
sistem
yang
efektif.
Memperhatikan
bahwa
salah
satu
alasan
yang
dikemukanan
adalah
tidak
jelasnya
manfaat
riil
yang
diperoleh
untuk
menjusti�ikasi
biaya
yang
telah
dikeluarkan,
artikel
ini
bertujuan
untuk
memberikan
beberapa
alternatif
pendekatan
seputar
teknik
analisa
dan
perhitungan
cost-‐bene�it
terhadap
isu
terkait.
Harapannya
adalah
agar
para
eksekutif
perusahaan
yang
ingin
mengembangkan
sistem
keamanan
jaringannya
tidak
harus
merasa
takut
akan
terjadinya”over
investment”
(investasi
yang
berlebih)
dalam
mengeksekusi
keputusan
alokasi
biaya
terkait.
DOMAIN
RESIKO
KEAMANAN
Berkaitan
dengan
aktivitas
yang
terjadi
pada
perusahaan,
paling
tidak
ada
3
(tiga)
domain
resiko
keamanan
yang
harus
benar-‐benar
diperhatikan,
masing-‐masing
adalah
(Indrajit,
2002):
Domain
Relasi
Internal
Domain
Relasi
Konsumen
Domain
Relasi
Mitra
Bisnis
Domain
Relasi
Internal
berkaitan
dengan
pengelolaan
informasi
(penciptaan,
penyimpanan,
penyaluran,
dan
pengawasan)
yang
melibatkan
berbagai
entiti
bisnis
–
yang
saling
terkait
satu
lainnya
–
dalam
batasan
wilayah
organisasi
usaha.
Contohnya
adalah
informasi
yang
mengalir
antar
departemen,
antar
fungsi,
antar
jabatan,
antar
unit
bisnis,
dan
lain-‐lain.
Domain
Relasi
Konsumen
berkaitan
dengan
pengelolaan
informasi
pada
suatu
wilayah
yang
terbentuk
karena
adanya
interaksi
antara
perusahaan
dengan
pelanggannya.
Contohnya
adalah
informasi
pro�il
pelanggan,
informasi
transaksi
melalui
internet,
informasi
pembayaran
dengan
kartu
kredit,
informasi
jual-‐beli
produk,
dan
lain-‐lain.
HALAMAN 2 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Domain
Relasi
Mitra
Bisnis
berkaitan
dengan
pengelolaan
informasi
dalam
suatu
wilayah
kolaborasi
antara
perusahaan
dengan
sejumlah
mitra
bisnisnya,
seperti
para
supplier,
vendor,
lembaga
keuangan,
dan
lain
sebagainya.
Dalam
kerjasama
ini,
beragam
informasi
mengalir
dari
perusahaan
ke
sejumlah
mitra
bisnis
dan
sebaliknya.
Contohnya
adalah
informasi
berkaitan
dengan
pemesanan
barang,
peminjaman
kredit
di
bank,
kontrak
kerjasama,
dan
lain-‐lain.
Sumber:
Indrajit,
2002
TIPE
RESIKO
BISNIS
Dengan
mengetahui
tiga
domain
di
atas,
maka
manajemen
dengan
mudah
dapat
mengidenti�ikasi
jenis
dan
tingkat
resiko
bisnis
apa
saja
yang
perlu
untuk
dipahami
dan
diperhatikan
secara
sungguh-‐sungguh.
Resiko
Keamanan
Internal
Dalam
domain
relasi
internal,
informasi
memiliki
dua
peranan
strategis.
Peranan
pertama
adalah
keberadaan
informasi
sebagai
salah
satu
faktor
produksi
penting
yang
secara
langsung
terlibat
dalam
proses
penciptaan
barang
dan/atau
jasa.
Dengan
adanya
informasi
ini
diharapkan
proses
utama
tersebut
(core
processes)
dapat
dilangsungkan
secara
efektif
dan
e�isien.
Termasuk
di
dalam
proses
ini
adalah
aktivitas
perencanaan
korporat,
aktivitas
pengelolaan
sumber
daya,
aktivitas
pengambilan
keputusan,
dan
lain
sebagainya.
Sehubungan
dengan
hal
ini,
faktor
keamanan
data
dan/atau
informasi
yang
buruk
akan
memiliki
dampak
langsung
kepada
perusahaan,
misalnya:
Masuknya
virus
yang
merusak
data
dan/atau
informasi
yang
dimiliki
perusahaan
akan
membuat
kegiatan
produksi
perusahaan
terganggu;
Bocornya
data
dan/atau
informasi
rahasia
perusahaan
ke
tangan
kompetitor
(terutama
yang
berkaitan
dengan
hak
milik
intelektual)
dapat
mendatangkan
kerugian
yang
sangat
besar;
Hilangnya
data
dan/atau
informasi
krusial
dapat
menghentikan
sejumlah
proses
dan
aktivitas
internal
perusahaan;
Dirubahnya
sejumlah
data
dan/atau
informasi
oleh
pihak
yang
tidak
bertanggung
jawab
akan
membuat
keputusan
strategis
yang
diambil
menjadi
salah;
HALAMAN 3 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Rusaknya
sistem
dapat
menurunkan
e�isiensi
kinerja
karena
sulitnya
melakukan
komunikasi;
dan
lain
sebagainya
Resiko
terbesar
yang
dihadapi
oleh
perusahaan
sehubungan
dengan
hal
ini
adalah
terganggunya
atau
terhentinya
proses
produksi
yang
berarti
hilangnya
kesempatan
perusahaan
untuk
menawarkan
produk
dan/atau
jasanya
kepada
pelanggan
–
yang
berarti
pula
ancaman
terhadap
eksistensi
usaha.
Peranan
kedua
dari
informasi
adalah
sebagai
alat
bantu
terciptanya
kontrol
internal
yang
baik
di
dalam
perusahaan
–
terutama
yang
berkaitan
dengan
aspek
”good
corporate
governance”
yang
belakangan
ini
mutlak
dituntut
oleh
mayoritas
stakeholder
organisasi.
Sejumlah
kasus
keamanan
yang
kerap
terjadi
sehubungan
dengan
hal
ini
misalnya:
Manipulasi
laporan
keuangan
dan
perpajakan
karena
buruknya
sistem
keamanan
aplikasi
maupun
database
perusahaan;
Diubahnya
data
dan/atau
informasi
sejumlah
ukuran
kinerja
bisnis
pada
masing-‐
masing
unit
atau
departemen
agar
tidak
terlihat
adanya
kinerja
buruk
yang
terjadi;
Digantinya
isi
dari
sejumlah
dokumen
arsip
agar
tidak
terkena
jeratan
hukum;
Dibukanya
dokumen-‐dokumen
rahasia
oleh
mereka
yang
tidak
berhak
untuk
mengaksesnya;
dan
lain
sebagainya.
Adapun
resiko
terbesar
yang
dihadapi
oleh
perusahaan
jika
faktor
keamanan
terhadap
data
dan/atau
informasi
tidak
terjaga
dalam
konteks
ini
adalah
potensi
terjadinya
”chaos”
atau
kekacauan
internal,
yang
tentu
saja
akan
berdampak
langsung
dan
sangat
buruk
terhadap
operasional
usaha.
Resiko
Keamanan
Konsumen
Perusahaan
dapat
eksis
menjalankan
usahanya
karena
adanya
konsumen
yang
setia
membeli
produk
dan/atau
jasa
yang
ditawarkan.
Dengan
kata
lain,
konsumen
merupakan
faktor
penentu
dari
hidup
matinya
usaha.
Dalam
menjalankan
bisnisnya
sehari-‐hari,
tentu
saja
terjadinya
relasi
yang
intens
antara
perusahaan
dengan
para
konsumennya.
Dan
di
dalam
era
internet
seperti
saat
ini,
sejumlah
dan
beragam
interaksi
antara
perusahaan
dengan
konsumennya
terjadi
di
dunia
maya.
Berbeda
dengan
resiko
kemanan
internal
dimana
hanya
kalangan
terbatas
saja
terhubung
dengan
jaringan
komputer
perusahaan,
di
dalam
dunia
maya,
puluhan
bahkan
ratusan
juta
individu
maupun
kelompok
saling
terhubung
satu
dengan
yang
lain
–
sehingga
secara
langsung
meningkatkan
kompleksitas
dan
mempertinggi
resiko
terjadinya
tindak
kejahatan
terhadap
perusahaan
melalui
pencurian
maupun
pengrusakan
terhadap
informasi
yang
mengalir
di
internet.
Paling
tidak
ada
tiga
jenis
resiko
keamanan
yang
dapat
terjadi
dalam
konteks
relasi
ini:
Resiko
keamanan
yang
berpotensi
mendatangkan
kerugian
bagi
konsumen;
Resiko
keamanan
yang
berpotensi
mendatangkan
kerugian
bagi
perusahaan;
dan
Resiko
keamanan
yang
berpotensi
mendatangkan
kerugian
bagi
kedua
belah
pihak.
HALAMAN 4 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Sumber:
Indrajit,
2002
Jenis
pertama
merupakan
ancaman
nyata
terhadap
para
konsumen
yang
menginginkan
untuk
melakukan
transaksi
jual
beli
melalui
internet
(e-‐commerce).
Tindakan
kriminal
yang
telah
terjadi
di
dunia
maya
dimana
dampaknya
sangat
merugikan
para
konsumen
adalah:
Pencurian
nomor
kartu
kredit,
sehingga
orang
lain
yang
tidak
berhak
dapat
dengan
leluasa
mempergunakannya
untuk
berbelanja
di
internet;
Penyadapan
data
dan/atau
informasi
yang
bersifat
”privacy”
dimana
sering
disalahgunakan
oleh
mereka
yang
mencurinya
untuk
melakukan
hal-‐hal
yang
tidak
diinginkan
(spamming,
pemerasan,
marketing,
dll.);
Pengambilan
kata
kunci
rahasia
(password)
sehingga
dapat
disalahgunakan
orang
lain
(melakukan
pemesanan
palsu,
mengganti
konten,
mem�itnah,
mengadu
domba,
dll.);
dan
lain
sebagainya.
Jenis
kedua
adalah
hal-‐hal
yang
berpotensi
mendatangkan
kerugian
bagi
perusaaan,
seperti
yang
terjadi
karena
aktivitas
kriminal
sebagai
berikut:
Pemesanan
palsu
terhadap
sejumlah
barang
yang
telah
dikirimkan
ke
konsumen
dan
kembali
lagi
ke
perusahaan;
Penjualan
produk
dan/atau
jasa
kepada
pihak
yang
tidak
berhak;
Tidak
dapat
diaksesnya
situs
jual
beli
karena
dirusak
(diboikot);
Pengambilan
produk
digital
tanpa
meninggalkan
catatan
jual-‐beli;
dan
lain
sebagainya.
Dalam
situasi
dimana
terjadi
sejumlah
tindakan
kriminal
sekaligus,
tentu
saja
kedua
pihak
yaitu
masing-‐masing
konsumen
dan
perusahaan
mengalami
kerugian
secara
bersama-‐sama.
HALAMAN 5 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Resiko
Keamanan
Mitra
Bisnis
Seperti
halnya
pada
konsumen,
terdapat
tiga
jenis
resiko
yang
terkait
dengan
relasi
ini,
yaitu
masing-‐masing:
Resiko
keamanan
yang
berpotensi
mendatangkan
kerugian
bagi
mitra
bisnis;
Resiko
keamanan
yang
berpotensi
mendatangkan
kerugian
bagi
mitra
perusahaan;
Resiko
keamanan
yang
berpotensi
mendatangkan
kerugian
bagi
kedua
belah
pihak.
Contoh-‐contoh
kasus
kejahatan
yang
berkaitan
dengan
ketiga
jenis
kerugian
tersebut
antara
lain:
Pemesanan
palsu
yang
dilakukan
oleh
pihak
yang
berhasil
masuk
ke
dalam
domain
akses
jaringan
sehingga
pihak
pemasok
(supplier)
mengirimkan
bahan
baku
kepada
perusahaan
yang
tidak
membutuhkannya;
Proses
autorisasi
dan
autenti�ikasi
yang
seolah-‐oleh
telah
berjalan
dengan
sempurna
padahal
sifatnya
semu
(menjalankan
program
aplikasi
yang
”ditanam”
oleh
pelaku
kejahatan);
Penggunaan
”signature”
palsu
untuk
melakukan
transaksi
dan/atau
pengaksesan
terhadap
dokumen
dan
arsip
rahasia;
dan
lain
sebagainya.
TINGKAT
KRITIKALITAS
KEAMANAN
Melihat
sejumlah
kasus
yang
pernah
terjadi
–
dan
beragam
trend
kejahatan
yang
mengancam
tersebut
–
perusahaan
dapat
memilahnya
menjadi
tiga
jenis
resiko,
yaitu
(Indrajit,
2002):
Resiko
Besar
–
keadaan
dimana
jika
terjadi
suatu
kasus
kejahatan
tertentu,
perusahaan
akan
terancam
keberadaan
atau
eksistensinya;
Resiko
Menengah
–
keadaan
dimana
jika
terjadi
suatu
kasus
kejahatan
tertentu,
perusahaan
akan
mengalami
kerugian
yang
cukup
signi�ikan
walaupun
tidak
sampai
mengancam
keberadaannya;
dan
Resiko
Kecil
–
keadaan
dimana
jika
terjadi
suatu
kasus
kejahatan
tertentu,
kerugian
yang
terjadi
tidak
terlampau
mempengaruhi
kinerja
perusahaan
secara
keseluruhan.
Jika
tingkat
resiko
ini
dikaitkan
dengan
tipe
resiko
bisnis
yang
telah
dikemukakan
sebelumnya,
akan
dapat
diperoleh
sebuah
matriks
yang
memperlihatkan
portofolio
tingkat
kritikalitas
sistem
keamanan
jaringan
ditinjau
dari
resiko
bisnis
terburuk
yang
dapat
ditimbulkan.
Secara
jelas
terlihat
dalam
matriks
tersebut,
hal-‐hal
mana
saja
yang
termasuk
di
dalam
kategori
resiko
besar,
menengah,
dan
kecil.
Berdasarkan
pemetaan
ini,
terdapat
tiga
jenis
keputusan
yang
perlu
diambil
oleh
manajemen
perusahaan
terkait
dengan
strategi
pengembangan
sistem
keamanan
jaringan,
masing-‐masing
adalah:
Terhadap
ancaman
kejahatan
yang
beresiko
besar,
sewajarnya
perusahaan
berusaha
untuk
membangun
sistem
keamanan
jaringan
terkait
”at
any
cost”,
dalam
arti
kata
tanpa
mempertimbangkan
lagi
seberapa
besar
biaya
yang
harus
dikeluarkan.
Hal
ini
wajar
mengingat
jika
terjadi
kasus,
keberadaan
perusahaan
dalam
keadaan
terancam.
HALAMAN 6 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Terhadap
ancaman
kejahatan
yang
beresiko
menengah,
perusahaan
biasanya
akan
mengadakan
perhitungan
cost-‐bene�it
mengingat
ancaman
yang
ada
terkait
dengan
hilangnya
sumber
daya
�inansial.
Pada
saat
ini
biasanya
perusahaan
akan
menganggarkan
keuangannya
secara
wajar
sesuai
dengan
resiko
yang
dihadapi.
Terhadap
ancaman
kejahatan
yang
beresiko
kecil,
biasanya
perusahaan
memutuskan
untuk
membangun
sistem
keamanan
dengan
standar
minimum
saja.
Sumber:
Indrajit,
2002
PERHITUNGAN
COST-‐BENEFIT
Dari
matriks
yang
sama,
dapat
dilihat
adanya
9
(sembilan)
jenis
kategori
perhitungan
cost-‐
bene�it
yang
dapat
dijadikan
pedoman
bagi
para
pengambil
keputusan.
Berikut
adalah
penjelasan
dari
masing-‐masing
skenario
dimaksud
(Indrajit,
2002).
Investasi
”Resiko
Besar”
Prinsip
yang
dipergunakan
di
dalam
kategori
ini
adalah
perusahaan
harus
secara
mutlak
memiliki
sistem
keamanan
jaringan
–
jika
tidak
ingin
suatu
ketika
nanti
gulung
tikar
pada
saat
terjadi
kasus
kejahatan.
Jadi
keberadaannya
bersifat
mutlak.
Ditinjau
dari
segi
manfaat
(bene�it),
jelas
terlihat
bahwa
dengan
adanya
sistem
jaringan
keamanan
yang
baik,
perusaaan
”terbebas”
dari
sebuah
resiko
yang
mengancam
eksistensinya.
Justi�ikasi
biaya
(cost)
yang
harus
dikeluarkan,
sangat
terkait
erat
dengan
domain
resiko
keamanan
yang
ada:
Pada
Domain
Relasi
Internal,
biasanya
biaya
yang
harus
dikeluarkan
untuk
melindungi
perusahaan
dari
ancaman
kejahatan
jaringan
tidak
lagi
sekedar
menjadi
sebuah
biaya
investasi,
tetapi
lebih
merupakan
sebuah
”overhead”
–
yang
dibebankan
sebagai
biaya
operasional
–
sehari-‐hari
karena
sifatnya
yang
mutlak.
Secara
kontinyu
dan
berkala
sistem
keamanan
jaringannya
harus
selalu
diawasi
dan
dievaluasi,
dan
tentu
saja
diremajakan
sesuai
dengan
perkembangan
teknologi
baru
yang
ada.
Pada
Domain
Relasi
Mitra
Bisnis,
perusahaan
memiliki
kesempatan
untuk
dapat
memperkecil
biaya
yang
harus
dikeluarkan
dengan
cara
mengajak
para
mitranya
untuk
berbagi
biaya
(cost
sharing).
Hal
ini
dimungkinkan
mengingat
resiko
yang
sama
(walau
mungkin
dengan
derajat
yang
berbeda)
dihadapi
pula
oleh
mitra
bisnis
terkait,
sehingga
dengan
sedikit
usaha
negosiasi,
perusahaan
tidak
harus
sendirian
mengalokasikan
sumber
daya
�inansialnya
untuk
membangun
sistem
keamanan
jaringan.
HALAMAN 7 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Pada
Domain
Relasi
Konsumen,
keadaan
cukup
berbeda,
mengingat
banyaknya
jumlah
konsumen
yang
perlu
dilayani.
Dalam
kerangka
ini,
usulan
implementasi
anggaran
”tak
terbatas”
dapat
dilakukan
dengan
cara
mengajak
pihak
ketiga
untuk
bersama-‐sama
berinvestasi
dalam
mengelola
resiko
yang
ada.
Contohnya
adalah
perusahaan
asuransi
yang
memberikan
tawaran
perlindungan
terhadap
transaksi
elektronik,
dimana
jika
terjadi
kejahatan,
yang
bersangkutan
akan
mengganti
kerugian
konsumen;
sementara
jika
kejahatan
tidak
terjadi,
perusahaan
asuransi
mendapatkan
persentasi
dari
nilai
transaksi.
Dalam
kerangka
ini,
kedua
belah
pihak
sepakat
untuk
memilih
suatu
sistem
jaringan
yang
terjangkau
biayanya
(affordable),
namun
memiliki
kinerja
yang
cukup
baik
(bukan
”state-‐of-‐the-‐arts”).
Perjanjian
bisnis
lain
dapat
juga
terjadi
antara
perusahaan
dengan
beragam
industri
terkait,
misalnya
dengan
vendor
teknologi
informasi,
perusahaan
jasa
kemanan
jaringan,
konsultan,
atau
dengan
pihak-‐pihak
lainnya.
Investasi
”Resiko
Menengah”
Dalam
situasi
dimana
ancaman
keamanan
memiliki
resiko
yang
langsung
terhadap
pro�itabilitas
perusahaan
ini
(terjadi
potensi
pengurangan
pendapatan
dan
peningkatan
biaya
yang
dapat
dikuanti�ikasikan),
besarnya
investasi
yang
dikeluarkan
perusahaan
akan
sangat
tergantung
dari
perhitungan
tertentu.
Pada
Domain
Relasi
Internal,
formula
yang
biasa
dipergunakan
cukup
mudah.
Anggaplah
dengan
adanya
virus
yang
masuk
ke
dalam
sistem,
maka
produktivitas
perusahaan
menurun
sebesar
25%.
Maka
potensi
kerugian
perusahaan
yang
timbul
dalam
satu
hari
adalah
nilai
tersebut
dikalikan
dengan
rata-‐rata
pendapatan
perusahaan
yang
diperoleh
dalam
satu
hari.
Dengan
kata
lain
perusahaan
akan
dapat
mengira-‐ngira
hilangnya
potensi
pendapatan
yang
ada
dalam
satu
tahun.
Angka
tersebut
kemudian
dipakai
untuk
menghitung
nilai
investasi
sistem
jaringan
keamanan
dan
ROI
yang
terjadi
sebagai
bahan
pengambilan
keputusan.
Cara
kedua
adalah
dengan
menghitung
biaya
yang
harus
dikeluarkan
seandainya
terjadi
masalah
terkait
dengan
rusaknya
sistem
jaringan
yang
dipergunakan.
Katakanlah
untuk
memperbaikinya,
dibutuhkan
biaya
X,
dan
kejadian
tersebut
terjadi
hampir
setiap
bulan.
Maka
dapat
dengan
mudah
manajemen
menghitung
biaya
yang
harus
dikeluarkan
dalam
waktu
satu
tahun
hanya
untuk
memperbaiki
sistem
terkait
agar
bisnis
dapat
berjalan
kembali
secara
normal.
Pada
Domain
Relasi
Mitra
Bisnis,
biasanya
untuk
sistem
dengan
resiko
menengah
ini
kedua
perusahaan
yang
bermitra
berada
dalam
posisi
”seimbang”
dimana
keduanya
dapat
bersama-‐sama
membangun
sistem
unik
(proprietary)
yang
didedikasikan
untuk
kepentingan
bersama.
Mengenai
keputusan
jumlah
biaya
yang
perlu
dialokasikan,
biasanya
selain
faktor
resiko
dilihat
pula
”business
value”
yang
dapat
dinikmati
oleh
kedua
belah
pihak.
Pada
Domain
Relasi
Konsumen,
angka
besarnya
investasi
untuk
membangun
sistem
keamanan
jaringan
dihitung
melalui
potensi
kerugian
yang
mungkin
terjadi
dalam
setiap
kasus
kejahatan,
dikalikan
dengan
angka
probabilitas/
kemungkinan
terjadinya
tindakan
kriminal
tersebut.
Untuk
keperluan
tersebut,
perusahaan
harus
memiliki
daftar
jenis
kejahatan
yang
mungkin
terjadi
dengan
potensi
kerugian
dan
probabilitas
frekuensi
kejadian
sebelum
akhirnya
dapat
memperkirakan
total
biaya
yang
layak
untuk
diinvestasikan.
HALAMAN 8 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013
SERI 999 E-ARTIKEL SISTEM DAN TEKNOLOGI INFORMASI
PROF. RICHARDUS EKO INDRAJIT
Investasi
”Resiko
Rendah”
Terhadap
jenis
ancaman
beresiko
rendah,
biasanya
prioritas
pengembangan
sistem
keamanan
jaringan
juga
menjadi
kecil
di
mata
manajemen
perusahaan.
Bisa
dikatakan
keberadaan
sistem
ini
bersifat
”optional”
atau
”nice
to
have”.
Paling
tidak
dalam
situasi
ini
perusahaan
memutuskan
untuk
menginstalasi
sistem
keamanan
jaringan
dengan
standar
paling
minimum.
Pada
Domain
Relasi
Internal,
manajemen
perusahaan
biasanya
melakukan
proses
perbandingan
(benchmarking)
di
perusahaan
pada
industri
sejenis
terhadap
jumlah
alokasi
atau
persentasi
biaya
yang
didedikasikan
untuk
membangun
dan
memelihara
sistem
jaringan
keamanan.
Pada
Domain
Relasi
Mitra
Bisnis,
ada
kesempatan
dimana
perusahaan
”melimpahkan”
atau
memberikan
keleluasaan
kepada
mitra
bisnisnya
untuk
membangun
sistem
terkait,
mengingat
keberadaan
sistem
ini
bagi
perusahaan
bersifat
”tidak
mendesak”
sementara
mungkin
bagi
mitra
bisnis
bersifat
sebaliknya.
Pada
Domain
Relasi
Konsumen,
hal
yang
kurang
lebih
sama
terjadi.
Mengingat
bahwa
kerugian
yang
diderita
perusahaan
tidak
terlampau
signi�ikan,
maka
faktor
resiko
dan
biayanya,
diserahkan
atau
dilimpahkan
kepada
para
konsumen
yang
ingin
melakukan
transaksi.
Hal
ini
akan
berjalan
secara
efektif
terutama
jika
konsumen
juga
memandang
resiko
kerugian
yang
dihadapi
cukup
rendah
seandainya
terjadi
ancaman
keamanan.
Pada
akhirnya,
pengalaman
memperlihatkan
bahwa
keputusan
untuk
menentukan
apakah
perusahaan
akan
membangun
sistem
keamanan
jaringannya
atau
tidak
akan
sangat
tergantung
dari
dua
hal
utama,
yaitu:
peranan
sistem
dan
teknologi
informasi
bagi
perusahaan
terkait
dan
pola
atau
gaya
manajemen
pimpinan
perusahaan.
Jika
keberadaan
atau
posisi
sistem
dan
teknologi
informasi
sangat
kritikal
bagi
perusahaan
(terkait
dengan
peranannya
dalam
melancarkan
rangkaian
proses
bisnis
inti
atau
”core
processes”),
maka
jelas
permasalahan
keamanan
jaringan
merupakan
hal
yang
mutlak
diperhatikan.
Sebaliknya
jika
tidak,
maka
pemikiran
terhadap
perlu
tidaknya
dilakukan
pembangunan
terhadap
sistem
keamanan
jaringan
menjadi
hal
yang
tidak
mendapatkan
prioritas
utama.
Ditinjau
dari
gaya
kepemimpinan,
seorang
”risk
taker”
biasanya
justru
berani
mengambil
resiko
dengan
cara
tidak
perlu
memperhatikan
sungguh-‐sungguh
terhadap
isu
keamanan
ini;
sementara
seorang
”risk
averse”
biasanya
justru
tertarik
untuk
mencari
jalan
bagaimana
agar
segala
resiko
yang
mengancam
kelanggengan
usaha
bisnisnya
dapat
diminimalisasi.
Seperti
yang
sering
terjadi
dalam
fenomena
kehidupan
sehari-‐hari,
seorang
kepala
rumah
tangga
tidak
akan
pernah
ber�ikir
untuk
menyisihkan
sebagian
pendapatannya
guna
membeli
sistem
alarm
rumah,
sampai
tetangga
atau
teman
dekatnya
mengalami
musibah
perampokan.
-‐-‐-‐
akhir
dokumen
-‐-‐-‐
HALAMAN 9 DARI 9
(C) COPYRIGHT BY RICHARDUS EKO INDRAJIT, 2013