Pendahuluan
komunikasi data adalah proses pengiriman dan penerimaan data/informasi dari dua atau lebih device (alat,seperti komputer/laptop/printer/dan alat komunikasi lain)yang terhubung dalam sebuah jaringan. Baik lokal maupun yang luas, seperti internet
Resiko adalah suatu umpan balik negatif yang timbul dari suatu kegiatan dengan tingkat probabilitas berbeda untuk setiap kegiatan. Pada dasarnya resiko dari suatu kegiatan tidak dapat dihilangkan akan tetapi dapat diperkecil dampaknya terhadap hasil suatu kegiatan. Proses menganalisa serta memperkirakan timbulnya suatu resiko dalam suatu kegiatan disebut sebagai manajemen resiko.
Pembahasan
Seiring dengan berkembangnya teknologi informasi yang bergerak sangat cepat dewasa ini, pengembangan unit usaha yang berupaya menerapkan sistem informasi dalam organisasinya telah menjadi kebutuhan dasar dan semakin meningkat dari tahun ke tahun. Akan tetapi pola pembangunan sistem informasi yang mengindahkan faktor resiko telah menyebabkan beberapa organisasi mengalami kegagalan menerapkan teknologi informasi tersebut, atau meningkatnya nilai investasi dari plafon yang seharusnya, hal ini juga dapat menghambat proses pencapaian misi organisasi.
Pada dasarnya, faktor resiko dalam suatu perencanaan sistem informasi, dapat diklasifikasikan ke dalam 4 kategori resiko, yaitu :
a. Catastrophic (Bencana)
b. Critical (Kritis)
c. Marginal (kecil)
d. Negligible (dapat diabaikan)
Adapun pengaruh atau dampak yang ditimbulkan terhadap suatu proyek sistem informasi dapat berpengaruh kepada a) nilai unjuk kerja dari sistem yang dikembangkan, b) biaya yang dikeluarkan oleh suatu organisasi yang mengembangkan teknologi informasi, c) dukungan pihak manajemen terhadap pengembangan teknologi informasi, dan d) skedul waktu penerapan pengembangan teknologi informasi.
Suatu resiko perlu didefinisikan dalam suatu pendekatan yang sistematis, sehingga pengaruh dari resiko yang timbul atas pengembangan teknologi informasi pada suatu organisasi dapat diantisipasi dan di identifikasi sebelumnya. Mendefinisikan suatu resiko dalam pengembangan teknologi informasi pada suatu organisasi terkait *** dengan Siklus Hidup Pengembangan Sistem (System Development Life Cycle [SDLC]), dimana fase-fase penerapan SDLC dalam pengembangan teknologi informasi di spesifikasikan analisa resiko.
Pola Pendekatan
System Development Life Cycle [SDLC] adalah suatu tahapan proses perancangan suatu sistem yang dimulai dari tahap investigasi; pembangunan; implementasi; operasi/perawatan; serta tahap penyelesaian [4]. Dari dasar tersebut di atas, strategi penerapan manajemen resiko perlu mempertimbangkan dampak yang mungkin timbul dengan tingkat probabilitas yang berbeda untuk setiap komponen pengembangan sistem informasi.
Pola pendekatan manajemen resiko juga perlu mempertimbangkan faktor-faktor pada System Development Life Cycle (SDLC) yang terintegrasi, yaitu Mengindentifikasikan faktor-faktor resiko yang timbul dan diuraikan disetiap tahap perancangan sistem, yang tersusun sebagai berikut :
- Investigasi : Tahap ini suatu sistem didefinisikan, menyangkut ruang lingkup pengembangan yang akan dibuat, yang semua perencanaan atas pengembangan sistem di dokumentasikan terlebih dahulu. Dukungan yang dibutuhkan dari manajemen resiko pada tahap ini adalah faktor resiko yang mungkin terjadi dari suatu sistem informasi di identifikasikan, termasuk di dalamnya masalah serta konsep pengoperasian keamanan sistem yang semuanya bersifat strategis
- Pengembangan : Tahap ini merupakan tahap dimana suatu sistem informasi dirancang, pembelian komponen pendukung sistem di laksanakan, aplikasi di susun dalam program tertentu, atau masa dimana konstruksi atas sistem di laksanakan.
- Implementasi : Tahap ini kebutuhan atas keamanan sistem dikonfigurasikan, aplikasi sistem di uji coba sampai pada verifikasi atas suatu sistem informasi di lakukan.
- Pengoperasian dan Perawatan : Tahap ini merupakan tahap dimana sistem informasi telah berjalan sebagaimana mestinya, akan tetapi secara secara berkala sistem membutuhkan modifikasi, penambahan peralatan baik perangkat keras maupun perangkat lunak pendukung, perubahan tenaga pendukung operasi, perbaikan kebijakan maupun prosedur dari suatu organisasi.
- Penyelesaian/penyebaran : Tahap ini merupakan tahap dimana system informasi yang telah digunakan perlu di lakukan investasi baru karena unjuk kerja atas sistem tersebut telah berkurang, sehingga proses pemusnahan data, penggantian perangkat keras dan perangkat lunak, ataupun berhentinya kegiatan atau kepindahan organisasi ke tempat yang baru.
Setelah pola pendekatan manajemen resiko di definisikan dalam masing-masing tahap SDLC, maka tahap selanjutnya adalah menilai manajemen resiko dalam metodologi tertentu. Upaya memberikan penilaian atas dampak resiko dalam pengembangan sistem informasi, perlu dilakukan karena dapat memberikan gambaran atas besar atau kecilnya dampak ancaman yang mungkin timbul selama proses pengembangan sistem.
Metodologi Penilaian Resiko
Untuk menentukan kemungkinan resiko yang timbul selama proses pengembangan sistem informasi berlangsung, maka organisasi yang bermaksud mengembangkan sistem informasi perlu menganalisa beberapa kemungkinan yang timbul dari pengembangan sistem informasi tersebut. Adapun metodologi penilaian resiko pengembangan sistem informasi dapat diuraikan dalam 9 langkah[4], yang tersusun sebagai berikut :
a. Menentukan karakteristik dari suatu sistem
b. Mengidentifikasikan ancaman-ancaman
c. Mengidentifikasikan kelemahan sistem
d. Menganalisa pengawasan
e. Menentukan beberapa kemungkinan pemecahan masalah
f. Menganalisa pengaruh resiko terhadap pengembangan sistem
g. Menentukan resiko
h. Merekomendasikan cara-cara pengendalian resiko
i. Mendokumentasikan hasil keputusan
Menentukan Karakterisasi Sistem
Pada langkah pertama ini batasan suatu sistem yang akan dikembangan di identifikasikan, meliputi perangkat keras, perangkat lunak, sistem interface, data dan informasi, sumber daya manusia yang mendukung sistem IT, tujuan dari sistem, sistem dan data kritis, serta sistem dan data sensitif. Beberapa hal tambahan yang dapat diklasifikasikan pada karakteristik sistem selain hal tersebut di atas seperti bentuk dari arsitektur keamanan sistem, kebijakan yang dibuat dalam penanganan keamanan sistem informasi, bentuk topologi jaringan komputer yang dimiliki oleh organisasi tersebut, Manajemen pengawasan yang dipakai pada sistem TI di organisasi tersebut, dan hal lain yang berhubungan dengan masalah keamanan seputar penerapan Teknologi Informasi di organisasi yang bermaksud mengembangkan sistem informasi.
Adapun teknik pengumpulan informasi yang dapat diterapkan pada langkah ini meliputi :
- Membuat daftar kuesinoner. Daftar kuesioner ini di susun untuk semua level manajemen yang terlibat dalam sistem dengan tujuan mengumpulkan informasi seputar keamanan data dan informasi dengan tujuan untuk memperoleh pola resiko yang mungkin dihadapi oleh sistem.
- Interview. Bentuk lain dari pengumpulan data dengan cara interview terhadap IT Support atau personil yang terlibat dalam sistem informasi.
- Review atas dokumen. Review atas dokumen pengembangan sistem, Dokumen kebijakan, atau dokumen keamanan informasi dapat memberikan gambaran yang bermanfaat tentang bentuk dari kontrol yang saat ini diterapkan oleh SI maupun rencanan pengembangan dari pengawasan di masa depan.
- Penerapan Tool. Menggunakan suatu tool aplikasi yang memiliki tujuan untuk mengumpulkan informasi tentang sistem informasi yang digunakan merupakan salah satu cara untuk dapat memetakan sistem secara keseluruhan, seperti penggunakan network monitor, maupun tools lain.
Hasil output dari langkah pertama ini akan menghasilkan Penaksiran atas karakteristik sistem IT, Gambaran tentang lingkungan sistem IT serta gambaran tentang batasan dari sistem yang dikembangkan.
Mengidentifikasikan ancaman-ancaman
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Timbulnya ancaman dapat dipicu oleh suatu kondisi dari sumber ancaman. Sumber ancaman dapat muncul dari kegiatan pengolahan informasi yang berasal dari 3 hal utama, yaitu (1) Ancaman Alam; (2) Ancaman Manusia, dan (3) Ancaman Lingkungan. Ancaman yang berasal dari manusia memiliki karakteristik tersendiri, serta memiliki alasan tersendiri dalam melakukan gangguan terhadap sistem informasi yang ada. Organisasi yang membutuhkan daftar dari sumber ancaman, perlu melakukan hubungan dengan badan-badan atau sumber-sumber yang berhubungan dengan keamanan, seperti misalnya sumber ancaman dari alam diharapkan hubungan dengan BMG yang menangani masalah alam, atau pihak intelijen atau media massa yang dapat mendeteksi sumber ancaman dari manusia. Hasil output dari ancaman ini merupakan pernyataan atau daftar yang berisikan sumber ancaman yang mungkin dapat mengganggu sistem secara keseluruhan.
Menurut Roger S. Pressman level ancaman, dapat di definisikan dalam 4 kategori yang didefinisi dalam tabel berikut :
| Tingkat Ancaman | Definisi |
| Catastrophics | Pada level ini tingkat ancaman dapat dikategorikan sangat merusak, dimana sumber ancaman memiliki motif besar saat melakukan kegiatannya. dampak yang ditimbulkan dari tingkat ini dapat membuat sistem tidak berfungsi sama sekali. |
| Critical | Level ini dapat dikategorikan cukup membuat merusak sistem IT, akan tetapi penggunaan kontrol yang diterapkan pada sistem telah dapat menahan kondisi kerusakan sehingga tidak menyebabkan kerusakan yang besar pada sistem. |
| Marginal | Pada level ini kontrol keamanan mampu mendeteksi sumber ancaman yang menyerang sistem IT, walau tingkat kerusakan pada sistem masih terjadi akan tetapi masih dapat di perbaiki dan dikembalikan kepada kondisi semula |
| Negligible | Pada level ini sumber ancaman tidak dapat mempengaruhi sistem, dimana kontrol atas sistem sangat mampu mengantisipasi adanya kemungkinan ancaman yang dapat mengganggu sistem |
Penutup
Kesimpulan
Jadi, Pendekatan manajemen resiko dalam pembangunan IT merupakan proses penting untuk menghindari segala kemungkinan-kemungkinan yang terjadi saat IT tersebut dalam proses pengembangan, maupun saat maintenance dari IT dilaksanakan. Proses penganalisaan dampak resiko dapat di susun dalam bentuk matriks dampak untuk memudahkan para pengambil kebijakan pada proses mitigasi resiko.
Referensi
Tidak ada komentar:
Posting Komentar