term paper it security

8/18/2019 Term Paper IT Security

1/15

UNIVERSITAS INDONESIA

TUGAS MANAJEMEN INVESTASI TEKNOLOGI INFORMASI

Term Paper

IT Security Management : Korelasi Antara Nilai Investasi

dan Kerugian Finansial

KELAS 2014F - Kelompok 5

Anggota Kelompok:

Bagas Ryant Setiawan (1406661453)

Danuk Cahya Permana (1406661485)

Feri Firmansyah (1406661560)

Sasmito Handoko (1406661756)

Zaenal Arifin (1406661876)

FAKULTAS ILMU KOMPUTER

MAGISTER TEKNOLOGI INFORMASI

UNIVERSITAS INDONESIA

2016


2/15

PENDAHULUAN

1.1 Latar Belakang

Perkembangan Teknologi Informasi (TI) dewasa ini selain membawa manfaat

bagi penggunanya, juga menghadirkan ancaman terutama terhadap aspek

keamanan dari pemanfaatan TI. Salah satu ancaman yang berkembang dengan

sangat pesat di antaranya adalah malware. Data yang dirilis oleh Symantec dalam

laporan Internet Security Threat Report 2015 menyatakan bahwa sepanjang tahun

2014 terdapat 317 juta malware baru yang muncul. Dari data tersebut, maka

diperkirakan hampir sekitar 1 juta malware baru muncul setiap harinya. Jumlah

tersebut meningkat dibandingkan dengan tahun 2013, di mana tercatat 252 juta

malware baru ditemukan (Symantec, 2015).

Data survei Price Waterhouse Cooper (PWC) pada tahun 2015 menunjukkan

3 dampak dengan prosentase paling besar yang dirasakan oleh organisasi adalah

terkait kebocoran dan kehilangan data.

Gambar 1 Dampak Security Incidents pada Organisasi (PWC, 2015)


3/15

Dalam dunia yang memiliki tingkat ketergantungan terhadap TI yang semakin

meningkat, ancaman terhadap keamanan data merupakan suatu hal yang serius

dan perlu mendapat perhatian ekstra. Selain itu, beberapa regulasi yang ada juga

secara jelas mensyaratkan adanya perlindungan terhadap kerahasiaan data dan

informasi, contohnya:

● Health Insurance Portability and Accountability Act (HISPAA), pada tahun

1996 yang mensyaratkan perlindungan data kesehatan dari pasien.

● Sarbanes-Oxley Act (SOX) pada tahun 2002 yang terkait dengan akurasi data,

secara tegas memberikan konsekuensi denda dan/ atau kurungan bagi

organisasi yang gagal memenuhi persyaratan akurasi data.

Di Indonesia walaupun tidak secara eksplisit menyatakan persyaratan

perlindungan data, pada bagian penjelasan UU nomor 11 tahun 2008 tentang

informasi dan transaksi elektronik disebutkan bahwa perlunya perhatian terhadap

sisi keamanan dan kepastian hukum dalam pemanfaatan teknologi informasi, dan

penekanan pada pendekatan hukum untuk mengatasi gangguan keamanan dalam

penyelenggaraan sistem elektronik. Selain aspek compliance terhadap regulasi,

aspek potential loss juga harus menjadi perhatian bagi organisasi pengguna TI.

Kehilangan data-data penting tentunya dapat menjadi suatu kerugian bagiorganisasi tersebut, dilihat dari nilai data yang hilang maupun terhadap biaya

untuk mendapatkan data tersebut kembali.

Meskipun banyaknya ancaman terhadap keamanan teknologi informasi dan

adanya kebutuhan untuk melindungi sistem TI dari ancaman tersebut telah

diketahui, namun banyak organisasi masih ragu untuk mengimplementasikan

security management di dalam organisasinya. Salah satu alasannya adalah security

management secara kasat mata merupakan salah satu komponen biaya yang harusditanggung oleh perusahaan. “ How do we demonstrate that information security

has value” merupakan tantangan yang harus dijawab oleh para praktisi TI agar

dapat meyakinkan senior management untuk mengimplementasikan fitur

keamanan informasi di dalam organisasinya.


4/15

1.2 Permasalahan

Terkait dengan information security, tantangan terbesar dari implementasi

information security adalah bagaimana dapat mengetahui nilai manfaat (value)

dari information security. Untuk dapat menjawab tantangan tersebut pendekatan

yang dapat dilakukan adalah dengan melihat korelasi antara nilai investasi di

bidang security dengan tingkat kerugian (losses) yang dialami oleh organisasi.

Selanjutnya perubahan tingkat kerugian tersebut akan dapat merepresentasikan

nilai dari information security.

PEMBAHASAN

2.1 Investasi di Bidang Information Security

● Peningkatan biaya investasi di bidang information security

Dalam menghadapi ancaman yang semakin beragam dan meningkat terhadap

keamanan informasi (information security), dibutuhkan pula sejumlah kontrol

yang harus dilakukan untuk menjaga keamanan informasi. Hal tersebut

mengakibatkan biaya yang dikeluarkan untuk kontrol dari resiko keamanan

menjadi semakin bertambah. Berdasarkan data yang diperoleh dari PWC dalam

The Global State of Information Security Survey, menunjukkan bahwa pada tahun

2015 terjadi peningkatan biaya investasi dalam nilai investasi di bidang

information security sebesar 24%.

Gambar 2. Peningkatan biaya investasi di bidang Information Security

Dari survei tersebut juga didapatkan bahwa jenis kontrol yang diterapkan

perusahaan dalam melindungi kemanan informasi yang ditunjukan pada gambar 3.

Jenis kontrol tersebut meliputi pemberian training dan awareness program;

pembuatan security baseline/ standar untuk pihak ketiga; memiliki CISO/CSO


5/15

untuk menangani keamanan informasi; melakukan threat assessment, dan

sebagainya. Kendati demikian, jika dilihat dari prosentasinya yang masih dibawah

60 % menunjukan bahwa tidak semua organisasi menerapkan kontrol tersebut.

Penambahan biaya investasi juga disebabkan oleh adanya inisiatif strategis yang

dilakukan organisasi untuk meningkatkan keamanan dan untuk mengurangi

resiko, yaitu meliputi inisiatif Cloud Based Cyber Security, big data analytic,

cyber security insurance, risk based security framework dan formally collaborate

with others.

Gambar 3. Prosentasi kontrol yang dilakukan untuk mengamankan informasi

Adapun nominal dari biaya investasi dari sejumlah industri seperti industri

Financial Service, Government Service dan Telecommunication dibandingkan dari

semua industri dapat dilihat di gambar 4. Dari gambar 4 tersebut didapatkan

bahwa biaya investasi lebih $10 juta dikeluarkan lebih banyak pada industri

telekomunikasi dan finansial.

Gambar 4. Nilai investasi dalam bidang information security beberapa industri


6/15

● Perhitungan investasi dalam bidang Information security dan faktor

yang mempengaruhi besarnya investasi?

Pengukuran nominal biaya atau investasi yang efektif dalam menerapkan

information security terkadang menjadi kesulitan tersendiri bagi organisasi. Hal

ini disebabkan karena investasi dalam bidang security bukan merupakan investasi

yang memberikan keuntungan secara langsung, melainkan lebih menitikberatkan

pada pencegahan kerugian (loss prevention). Dengan kata lain, investasi dalam

bidang security tidak terlalu mengharapkan manfaat bagi perusahaan dalam hal

peningkatan pendapatan dan keuntungan secara langsung, melainkan dalam hal

pengurangan resiko dan dampaknya yang mengancam aset penting perusahaan.

Oleh karena itu, pendekatan keuangan klasik melalui perhitungan ROI ( Return of

Investment ) tidak terlalu tepat untuk mengukur inisiatif yang berhubungan dengan

security. Untuk mengukur manfaat dari investasi dalam bidang security, dapat

menggunakan pengukuran kuatitatif melalui perhitungan Return on Security

Investment (ROSI). Perhitungan ini menitikberatkan kepada manfaat dari investasi

di bidang security berdasarkan seberapa banyak kerugian/ kehilangan yang dapat

dihindari. Menurut Enisa (2012), ROSI dapat memberikan jawaban secarakuantitatif mengenai seberapa besar biaya yang harus dikeluarkan oleh organisasi

untuk investasi dalam security.

Return of Security Investment (ROSI)

Berdasarkan Enisa (2012) untuk menilai investasi dalam bidang security

diperlukan evaluasi terhadap seberapa besar potensi kerugian yang bisa dilindungi

dengan investasi tersebut. Oleh karena itu, nilai investasi tersebut harus

dibandingkan dengan nilai pengurangan resiko. Nilai pengurangan resiko dapat

diukur melalui quantitative risk assessment yang melibatkan beberapa faktor

berikut:

Single Lost Expectancy (SLE)

Menurut Enisa (2012), Single Lost Expectancy (SLE) merupakan jumlah

ekspektasi biaya yang akan hilang jika risiko terjadi. Sedangkan menurut Gibson


7/15

(2011) SLE merupakan total kerugian finansial akibat suatu insiden yang

mencakup nilai hardware, software, dan data. Dengan kata lain SLE bisa dianggap

sebagai nilai dari suatu aset ketika keamanan aset tersebut terganggu. Dalam

implementasinya pengukuran nilai dari suatu aset tidak hanya melihat dari nilai

eksplisit aset tersebut melainkan juga harus menghitung dampak bisnis jika aset

tersebut hilang atau terganggu keamanannya. Misalnya ketika komputer yang

berisi data penting perusahaan hilang, maka yang dihitung tidak hanya nilai/harga

dari komputer tersebut melainkan nilai dari informasi yang terdapat dalam

komputer tersebut termasuk dampaknya bagi bisnis ketika informasi tersebut

hilang.

Annual Rate of Occurrence (ARO)

Menurut Enisa (2012), Annual Rate of Occurrence (ARO) merupakan

kemungkinan dari resiko yang terjadi dalam satu tahun. Sedangkan menurut

Gibson (2011), ARO merupakan jumlah seberapa kali kerugian dari suatu

ancaman diharapkan terjadi dalam setahun.

Annual Loss Expectancy (ALE)

Menurut Enisa (2012), Annual Loss Expectancy (ALE) merupakan kerugian

secara finansial tahunan yang dapat diharapkan dari risiko tertentu pada aset

tertentu. Sedangkan menurut Gibson (2011), ALE didefinisikan sebagai total

kerugian yang diperkirakan dari risiko yang diberikan selama satu tahun. ALE

bisa dihitung melalui perkalian dari SLE dengan ARO.

Perhitungan ROSI

Berikut ini perhitungan dari Return of Security Investment berdasarkan Enisa

(2012):


8/15

Di mana monetary loss reduction didefinisikan sebagai selisih dari ALE tanpa

mengimplementasikan security solution, dengan modified ALE (mALE) dengan

mengimplementasikan security solution. Sedangkan Cost of Solution merupakan

total biaya yang dikeluarkan sebagai kontrol atau solusi dari resiko. Dengan

demikian perhitungannya menjadi sebagai berikut:

Monetary loss reduction juga bisa didefinisikan sebagai ratio pencegahan

(mitigation ratio) dari ALE, sehingga perhitungannya menjadi sebagai berikut:

2.2 Risiko dan Ancaman

● Peningkatan risiko dan ancaman

Berdasarkan data hasil survei “The Global State of Information Security”

yang dilakukan oleh PWC, CIO, dan CSO, dalam kurun waktu 2009 sampai

dengan 2015, insiden keamanan yang terdeteksi dari tahun ke tahun semakin

meningkat. Pada tahun 2015, insiden keamanan yang terdeteksi meningkat 38%

dibandingkan tahun 2014, sedangkan tahun 2014 terjadi peningkatan sebesar 48%

dibanding dengan tahun 2013. Data dari survei tersebut juga menunjukkan bahwa

tingkat pertumbuhan tahunan dari insiden keamanan yang terdeteksi mengalami

peningkatan sebesar 66% dari tahun ke tahun sejak 2009. Hal ini menunjukkan

bahwa ancaman terhadap keamanan informasi semakin meningkat setiap

tahunnya. Dengan semakin banyak ditemukannya pelanggaran terhadapkeamanan, berarti risiko keamanan yang harus dihadapi oleh suatu perusahaan

juga menjadi semakin besar.

Menurut Gibson (2011), ancaman dapat berdampak pada keamanan

informasi meliputi aspek confidentiality, integrity, dan availability yang harus

dijaga untuk mengamankan aset perusahaan. Ancaman umumnya dikategorikan

sebagai ancaman dari manusia atau alam, dan katagori dapat disengaja atau tidak

disengaja. Ancaman manusia dapat berupa internal atau eksternal di mana


9/15

ancaman internal merupakan ancaman terbesar bagi suatu perusahaan. Elmrabit,

Yang, dan Yang (2015) mengategorikan ancaman internal menjadi tujuh

subkategori berdasarkan pengaruh terhadap tujuan keamanan informasi organisasi

dan faktor manusia yang bertindak dengan cara yang berbahaya yang dapat dilihat

pada tabel berikut.

Tabel 1. Kategori Ancaman Internal

Impact Effect to Organisation

Information Security

Human Factors to Act a Threat

Confiden

tiality

Integrity Availabil

ity

Motive Opportu

nity

Capabili

ty

IT Sabotage Low Medium High High Medium Medium

Fraud Low High Low High High Medium

Theft of

Intellectual

Property

High Low Low High High Medium

Social

Engineering

High High High High Low Low

Unintentional Medium Medium Medium No Low Low

Cloud

Computing

Medium Low Low High High Low

National

Security

High High High High High High

(Sumber: Elmrabit, Yang, & Yang, 2015)

Berdasarkan tabel di atas, terlihat bahwa kategori yang memberikan

dampak paling tinggi terhadap keamanan informasi organisasi adalah Social

Engineering dan National Security, sedangkan kategori berdasarkan faktor

manusia yang berdampak paling tinggi adalah National Security.

Data insiden keamanan yang terjadi sepanjang tahun 2015 berasal dari

berbagai sumber. Berikut sumber insiden keamanan berdasarkan data hasil survei

“The Global State of Information Security” tahun 2015:


10/15

Gambar 5. Sumber Insiden Keamanan (Sumber: PWC, 2015)

Berdasarkan gambar di atas, dapat dilihat bahwa sumber insiden keamanan

terbesar berasal dari current employees yaitu sebesar 33,56%, adapun yang

terkecil berasal dari domestic intelligence service yaitu sebesar 6,28%. Insiden

keamanan yang bersumber dari hackers menempati urutan ketiga terbesar yaitu

sebesar 22,59%. Dari data tersebut membuktikan bahwa ancaman eksternal sepertihackers masih menjadi ancaman yang serius dan perlu diperhatikan.

● Dampak yang ditimbulkan/ Loss pada organisasi

Insiden keamanan atau pelanggaran yang dilakukan terhadap keamanan

dapat memberikan dampak terhadap organisasi berupa dampak finansial maupun

dampak non-finansial. Dampak finansial meliputi penurunan pendapatan,

gangguan sistem bisnis, hukuman peraturan, dan penurunan jumlah pelanggan.

Dampak non-finansial meliputi kehancuran reputasi, pembajakan produk, inovasi

terganggu, pencurian desain atau prototipe produk, dan kehilangan informasi yang

sensitif seperti rencana Mergers and Acquisitions (M&A) dan strategi perusahaan

(PWC, 2015).

Pada Gambar 1 mengenai dampak dari insiden keamanan seperti

dijelaskan sebelumnya di bagian latar belakang, menggambarkan variasi dampak


11/15

yang diterima organisasi akibat adanya pelanggaran terhadap keamanan. Dampak

paling besar adalah customer records compromised yaitu sebesar 38,27% dan

yang paling kecil adalah legal exposure/ lawsuit yaitu 9,61%. Hal ini memberikan

gambaran bahwa dampak yang ditimbulkan dari insiden keamanan dapat menjadi

sangat berbahaya bagi organisasi karena paling banyak kaitannya dengan data

pelanggan. Berikut ini adalah dampak yang ditimbulkan dari insiden keamanan

bagi organisasi (PWC, 2015):

❏ Data pelanggan dikompromikan

❏ Data karyawan dikompromikan

❏ Kehilangan atau kerusakan data internal

❏

Pencurian kekayaan intelektual "lunak" (misalnya, proses,

pengetahuan institusional, dll)

❏ Pencurian kekayaan intelektual "keras" (misalnya, rencana strategis

bisnis, dokumen kesepakatan, dokumen keuangan yang sensitif, dll)

❏ Merek atau reputasi dikompromikan

❏ Kehilangan pelanggan

❏ Paparan atau gugatan hukum

2.3 Information security value

● Peningkatan investasi sebagai realisasi sistem kontrol

Untuk menanggapi ancaman yang semakin berkembang, organisasi

dituntut untuk selalu memperbaharui teknologi keamanan TI yang telah dimiliki.

Dalam kaitannya dengan teknologi yang semakin berkembang, peningkatan

sistem keamanan TI biasanya diasosiasikan dengan peningkatan biaya investasi.

Hal ini disebabkan karena biaya investasi berbanding lurus dengan kapabilitas

perlindungan yang diberikan oleh suatu sistem. Semakin banyak ancaman yang

dapat diatasi oleh sistem perlindungan, maka semakin mahal harga dari sistem

tersebut. Teknologi yang digunakan menentukan kemampuan organisasi untuk

menangkal ancaman yang datang dari luar.

Berdasarkan survei yang dilakukan oleh PWC pada tahun 2016, terdapat 6

tindakan yang paling banyak dilakukan oleh organisasi untuk meningkatkan


12/15

keamanan TI mereka. Tindakan-tindakan tersebut dapat dilihat pada gambar 6

berikut.

Gambar 6. Jenis Perlindungan yang Diimplementasikan (Sumber: PWC, 2015)

Hasil survei tersebut memperlihatkan bahwa investasi dalam bidang

keamanan TI dilakukan tidak hanya pada sisi teknologi saja, tetapi juga dari sisisumber daya manusia dan proses/ prosedur. Teknologi pengamanan paling hebat

sekalipun akan menjadi tidak berguna jika tidak didukung oleh sumber daya

manusia yang memadai. Komitmen dari manajemen diperlukan untuk mengatasi

ancaman yang timbul dari orang dalam. Program pelatihan dan peningkatan

kesadaran pegawai terhadap keamanan merupakan bentuk investasi yang penting

pada sisi sumber daya manusia.

Dari sisi prosedur dan kebijakan, pembuatan strategi keamanan yang

menyeluruh merupakan langkah yang banyak dilakukan. Keberadaan Chief

Information Security Officer (CISO) yang bertanggung jawab untuk memastikan

aset informasi dan teknologi terlindungi dengan baik juga merupakan salah satu

upaya yang dilakukan oleh organisasi untuk meningkatkan keamanan TI. Prosedur

dan kebijakan berfungsi untuk mengatur interaksi antara sisi manusia dan

teknologi.


13/15

● Perbandingan antara nilai investasi dan financial loss

Penambahan anggaran investasi keamanan TI merupakan upaya

peningkatan kontrol atas ancaman yang ada. Penentuan besarnya investasi pada

keamanan TI bergantung kepada seberapa besar nilai aset informasi yang harus

dilindungi. Nilai aset tersebut bervariasi berdasarkan besarnya organisasi dan jenis

industri. Organisasi harus terlebih dahulu mengetahui berapa nilai aset informasi

yang mereka miliki, kemudian menentukan banyaknya tindakan kontrol yang

diambil.

Penambahan anggaran investasi keamanan TI diharapkan dapat

mengurangi kerugian finansial atau mempertahankan kerugian pada tingkatan

yang dapat diterima. Berdasarkan survey The Global State of Information Security

PWC yang dikeluarkan tahun 2016, rata-rata responden meningkatkan anggaran

untuk keamanan TI pada organisasi mereka sebesar 24% pada tahun 2015.

Adapun peningkatan anggaran tersebut menghasilkan penurunan kerugian

finansial sebesar 5% dari tahun 2014 ke tahun 2015.

Tujuan utama dari investasi pada IT Security adalah untuk mencegah

timbulnya biaya yang muncul apabila terjadi insiden keamanan sistem. Dengan

demikian, value dari keamanan TI dapat dihitung berdasarkan selisih antarakerugian yang terjadi apabila investasi belum dilakukan dan kerugian yang terjadi

setelah investasi dilakukan. Value dari keamanan TI adalah besarnya nilai risiko

yang dapat dikendalikan.


14/15

KESIMPULAN

Dari uraian di atas, dapat ditarik beberapa kesimpulan terkait permasalahan

investasi dalam bidang IT security yang menjadi inti dari pembahasan, yaitu

sebagai berikut:

● Semakin meningkatnya ancaman cyber security serta kehilangan informasi

organisasi yang penting, membuat organisasi menjadi semakin peduli akan

pentingnya investasi di bidang IT Security.

● Investasi di bidang IT Security merupakan bentuk kontrol pencegahan threat

untuk mempertahankan loss pada level yang dapat diterima.

● Value dari keamanan TI ( IT Security) dapat dihitung berdasarkan selisih

antara kerugian yang terjadi apabila investasi TI belum dilakukan dan

kerugian yang terjadi setelah investasi dilakukan. Value dari IT Security

adalah besarnya nilai risiko yang dapat dikendalikan.

● Investasi di bidang IT Security, tidak akan berdampak luas dan signifikan jika

tidak mendapat dukungan dan komitmen yang kuat dari pihak manajemen

organisasi.● Kebijakan serta pelaksanaan IT Security harus selaras dengan proses bisnis

organisasi, berkolaborasi dengan tujuan bisnis serta berfungsi melindungi aset

utama organisasi.


15/15

DAFTAR PUSTAKA

Elmrabit, N., Yang, S., & Yang, L. (2015). Insider Threats in Information

Security Categories and Approaches. IEEE , 6.

Gibson, D. (2011). Managing Risk in Information Systems. Sudbury: Jones &

Bartlett Learning, LLC.

PWC. (2015). PWC Corporation. Retrieved from PWC Corporate Web site:

http://www.pwc.com/gx/en/issues/cyber-security/information-security-

survey/data-explorer.html

Symantec. (2015). Symantec Corporation. Retrieved from Symantec

Corporate web site:

http://symantec.postclickmarketing.com/ISTR20?cid=70150000000dkPwAAI

Enisa. (2012). Introduction to Return on Security Investment. European

Network and Information Security Agency.

Gibson, Darill. (2011), Managing Risk in Information Systems, Jones &

Bartlett Learning
http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/data-explorer.htmlhttp://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/data-explorer.htmlhttp://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/data-explorer.htmlhttp://symantec.postclickmarketing.com/ISTR20?cid=70150000000dkPwAAIhttp://symantec.postclickmarketing.com/ISTR20?cid=70150000000dkPwAAIhttp://symantec.postclickmarketing.com/ISTR20?cid=70150000000dkPwAAIhttp://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/data-explorer.htmlhttp://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/data-explorer.html

term paper it security

Documents