Upload
vuongthuan
View
233
Download
1
Embed Size (px)
Citation preview
1
BAB 1
PENDAHULUAN
1.1 Latar Belakang
Perkembangan teknologi informasi yang sangat pesat dewasa ini
menjadikan teknologi informasi (TI) sebagai salah satu faktor penting
keberhasilan suatu perusahaan dalam mewujudkan inovasi baru. Dewasa ini TI
tidak hanya merupakan unit pendukung pada suatu perusahaan, melainkan TI
dipandang sebagai sesuatu yang bernilai untuk operasional suatu perusahaan
dalam mencapai rencana strategis bisnis perusahaan selaras dengan visi dan misi
perusahaan.
Sektor perbankan, adalah salah satu sektor perusahaan dimana
memerlukan TI yang handal untuk membantu bank dalam berkompetisi dengan
bank lainnya dalam memberikan kemudahan layanan kepada nasabah. Hampir
seluruh bank dewasa ini mengandalkan jaringan komunikasi data dalam kegiatan
operasional seperti transaksi teller yang terhubung dengan corebanking server,
karyawan yang mengecek email, dan lain-lain.
Salah satu industri yang termasuk dalam kategori membutuhkan teknologi
informasi untuk proses bisnis utama yaitu industri perbankan, teknologi informasi
bisa dikatakan menjadi ujung tombak dunia perbankan yang sekarang ini dituntut
untuk menyajikan pelayanan yang efektif, efisien, dan tentunya aman bagi para
nasabahnya, ATM (Anjungan Tunai Mandiri / Automated Teller Machine)
merupakan mesin yang memberikan kemudahan kepada nasabah dalam
2
melakukan transaksi perbankan secara otomatis selama 24 jam dalam 7 hari
termasuk hari libur (Kasmir 2007 : 327).bahkan sekarang ini ATM bisa digunakan
untuk melakukan banyak transaksi seperti transfer uang, pembelian pulsa, dan
pembayaran- pembayaran lainnya.
Di indonesia ATM dapat digunakan sebagai alat ukur untuk mengetahui
seberapa besar Bank tersebut, karena ATM adalah salah satu aset penting yang
dimiliki oleh Bank. Berdasarkan peraturan Bank Indonesia (PBI) nomor B.
9/15/PBI/2007 tentang penerapan manajemen risiko dalam penggunaan teknologi
informasi oleh Bank umum bahwa perkembangan teknologi informasi
memungkinkan Bank memanfaatkannya untuk meningkatkan efisiensi kegiatan
operasional dan mutu pelayanan Bank kepada nasabah dan juga teknologi
informasi merupakan aset yang berharga bagi Bank sehingga pengelolaannya
bukan hanya merupakan tanggung jawab unit kerja penyelenggara teknologi
informasi namun juga seluruh pihak yang menggunakannya (PBI,2007), melihat
dari peraturan BI tersebut maka secara otomatis mengikat setiap orang atau badan
dan dimuat dalam Lembaran Negara Republik Indonesia.
Meninjau dari PBI no 11/25/PBI/2009 tentang penerapan manajemen
risiko bagi bank umum, terdapat 8 (delapan) risiko yang harus dikelola bank.
Kedelapan jenis risiko tersebut adalah Risiko Kredit, Risiko Pasar, Risiko
Operasional, Risiko Likuiditas, Risiko Kepatuhan, Risiko Hukum, Risiko
Reputasi, dan Risiko Strategis. Maka ATM termasuk dalam jenis risiko
Operational karena ATM menjadi alat yang menggantikan teller dalam melayani
pelanggan, dan risiko reputasi karena apabila nasabah mengetahui bahwa kualitas
ATM pada suatu Bank itu buruk dalam artian bisa saja ATM itu mudah untuk
3
dicurangi oleh orang lain maka reputasi bank tersebut akan turun karena
kepercayaan nasabah terhadap Bank menurun.
Salah satu juornal of Internet Banking and Commerce yang berjudul A
Survey of ATM Security Implementation within the nigerian Banking Environment
menyatakan bahwa ”Electronic banking telah meningkatkan hubungan nasabah
bank dengan bank itu sendiri, karena pelayanan yang efektif sepanjang minggu
dimana nasabah memiliki akses ke rekening mereka diluar jam kerja untuk
melakukan transaksi. Tetapi infrastruktur keamanan yang ada pada ATM tidak
memadai untuk memerangi kecurangan ATM, maka dibutuhkan peningkatan
teknologi keamanan.”
Berdasarkan informasi yang diberikan oleh James Pang (Interpol)
diketahui bahwa total biaya penyerangan atas teknologi organisasi pada tahun
2013 adalah USD 11.6 million. Berdasarkan informasi yang diperoleh dari
kepolisian diketahui bahwa terjadi peningkatan sebesar 67,34% kasus kejahatan
dunia maya sepanjang tahun 2013 dari tahun 2012 (Tribunnews, 2013).
Berdasarkan hasil penelitian yang telah dilakukan diketahui bahwa :
Steven Suryanto, 2010 menyatakan bahwa permasalahan pada PT
Lyto Datarion Formula dikarenakan terdapat kekurangan pada pengelolaan
praktik keamanan teknologi informasi yang berjalan.
Rick Siswanto, Ramos Luther, 2011 menyatakan bahwa
permasalahan pada PT ABC dikarenakan tidak terdapat langkah-langkah
secara formal dalam manajemen risiko sistem informasi walaupun
penerapan risk assesment telah tersedia.
Welly, Mikewati, 2012 menyatakan bahwa permasalahan pada
4
Universitas Bina Nusantara adalah belum pernah diadakannya penilaian
risiko pada Bina Nusantara yang menyebabkan kesulitan dalam menilai
seberapa besar dampak dari risiko yang muncul.
Studi kasus ini akan mengevaluasi masalah-masalah dan pada akhirnya
akan mencoba untuk memberikan solusi tentang bagaimana mengelola risiko TI
yang mereka hadapi. Penggunaan teknologi informasi dalam perusahaan
merupakan hal yang umum. Dalam penggunaannya, penggunaan teknologi
informasi akan memunculkan risiko - risiko. Pengelolaan terhadap risiko – risiko
ini merupakan hal yang perlu diperhatikan. Salah satu langkah awal perusahaan
dalam mengelola risiko – risiko ini, perusahaan dapat melakukan pengukuran
terhadap risiko teknologi informasi (penilaian risiko). Banyak metode yang
dapat digunakan untuk melakukan penilaian risiko.
Metode yang digunakan dalam penulisan ini adalah metode OCTAVE,
dimana penggunaan metode ini telah dilakukan analisa terkait kesesuaian dengan
Bank ABC dikarenakan Bank skala besar (lebih dari 300 karyawan), memiliki
hierarki yang banyak, mengurus infrastruktur teknologi informasi sendiri,
memiliki kemampuan untuk melakukan alat evaluasi kerentanan, memiliki
kemampuan untuk menginterprestasikan hasil evaluasi kerentanan.
Metode OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation) merupakan salah satu metode yang dapat digunakan
oleh perusahaan sebagai acuan untuk melakukan penilaian risiko. Metode
OCTAVE sendiri memiliki tiga varian, yaitu OCTAVE, OCTAVE-S, dan OCTAVE
Allegro. Metode yang digunakan dalam penulisan ini adalah metode OCTAVE.
Metode OCTAVE merupakan versi OCTAVE yang pertama kali dikembangkan.
5
Metode OCTAVE dilakukan dengan cara diadakannya rangkaian workshop dan
difasilitasi oleh tim analisis yang dibuat dari unit bisnis yang ada didalam
perusahaan dan departemen IT. Metode OCTAVE ditujukan untuk perusahaan
besar yang memiliki lebih dari 300 orang staf. Secara spesifik, metode OCTAVE
didesain untuk perusahaan yang memiliki karakteristik sebagai berikut: memiliki
multi level hirarki, mengurus infrastruktur IT mereka sendiri, memiliki
kemampuan untuk melakukan alat evaluasi kerentanan dan memiliki kemampuan
untuk menginterpretasikan hasil dari evaluasi kerentanan.
Dalam mengelola aset informasi sebuah organisasi besar disini adalah
bank ABC dibutuhkan kebijakan demi keamanan sumber daya informasi tersebut.
Hal ini guna menjaga keseluruhan sumber daya yang dimiliki, bank ABC sebagai
perusahaan perbankan yang memberikan pelayanan dalam jasa keuangan harus
selalu menjaga kerahasiaan perusahaan terlebih dalam menjaga kerahasiaan data-
data nasabah. Oleh karena itu, kebijakan formal yang diambil bank ABC terkait
keamanan teknologi informasi. Selain itu dalam penelitian ini akan dikaji Apa
kesulitan dalam mengkomunikasikan pentingnya nilai dari aset informasi yang
dimiliki.
Karena dalam sebuah organisasi besar banyak permasalahan yang timbul
akibat kurangnya komunikasi dan koordinasi yang dapat menjadi hambatan besar
dalam melakukan aktivitas sebuah organisasi.
1.2 Perumusan Masalah
Rumusan permasalahan yang mendasari dilakukannya analisis risiko
pada Bank ABC adalah :
6
1. Sistem Security ATM yang belum memadai
2. Modus kejahatan apa dan factor penyebab terjadinya kejahatan di
ATM Bank ABC
3. Seberapa besar tingkat kritikal aset mesin ATM bagi Bank ABC
1.3 Tujuan dan Manfaat Penelitian
Tujuan dari penulisan penelitian ini adalah Melakukan evaluasi atas
pengelolaan risiko atas keamanan informasi pada Bank ABC mencakup analisa
atas kekuatan dan kelemahan dari pengelolaan risiko keamanan sistem informasi
pada ATM Bank ABC dengan menggunakan metode OCTAVE.
Manfaat dari penulisan penelitian ini diharapkan dapat digunakan oleh berbagai
pihak seperti :
1. Bank ABC
1) Hasil Evaluasi dapat memberikan masukan bagi Bank ABC
dalam meningkatkan strategi pengelolaan risiko keamanan
informasi.
2) Rekomendasi yang diberikan dapat digunakan untuk
menghindari dan mengurangi dampak negatif bagi Bank ABC.
2. Penulis
1) Memberikan peningkatkan atas pengetahuan dan
kemampuan atas ilmu manajemen risiko atas keamanan informasi
menggunakan metode OCTAVE.
2) Nilai tambah didalam jenjang karir.
3. Akademik
7
1) Memberikan Pengetahuan dan Pemahaman tentang metode
OCTAVE
2) Memberikan gambaran tentang Audit kemanan IT terutama
ATM di sebuah Bank
4. Perbankan
1) Memberikan Pengetahuan tentang metode yang digunakan dalam audit
keamanan IT
2) Sebagai sarana cross check di bidang perbankan untuk perbaikan di masa depan
1.4 Batasan Masalah
1. Penulisan penelitian dilakukan untuk meneliti kasus keamanan informasi
pada Bank ABC dimana acuan dari evaluasi manajemen risiko atas pengelolaan
keamanan informasi teknologi internet banking yang telah diidentifikasi oleh unit
electronic banking dan penulis.
2. Pelaksanaan evaluasi manajemen risiko atas pengelolaan keamanan
informasi dilakukan pada unit electronic banking Bank ABC dan difokuskan pada
permasalah yang biasa terjadi Unit Electronic Banking khususnya mesin ATM.
3. Metode yang digunakan dalam melakukan penilaian risiko adalah metode
OCTAVE
8