L-1

Allegro Worksheet 1 RISK MEASUREMENT CRITERIA – REPUTATION AND CUSTOMER CONFIDENCE

Impact Area Low Moderate High

Reputation Reputation is minimally affected; little or no effort or expense is required to recover. Reputation is damaged, and some effort and expense is required to recover. Reputation is irrevocably destroyed or damaged. Customer Loss Less than _______% reduction in customers due to loss of confidence _______to _______% reduction in customers due to loss of confidence More than _______% reduction in customers due to loss of confidence Other:

Allegro Worksheet 2 RISK MEASUREMENT CRITERIA – FINANCIAL

Impact Area Low Moderate High

Operating Costs

Increase of less than _______% in yearly operating costs

Yearly operating costs increase by _______to _______%.

Yearly operating costs increase by more than _______%.

Revenue Loss Less than _______% yearly revenue loss

_______to _______% yearly revenue loss

Greater than _______% yearly revenue loss One-Time Financial Loss One-time financial cost of less than $_______________ One-time financial cost of $_______________ to $_______________ One-time financial cost greater than $_______________

L-3

Allegro Worksheet 3 RISK MEASUREMENT CRITERIA – PRODUCTIVITY

Impact Area Low Moderate High

Staff Hours

Staff work hours are increased by less than _______% for _______to _______ day(s).

Staff work hours are increased between _______% and _______% for _______to _______ day(s).

Staff work hours are increased by greater than _______% for _______to _______ day(s). Other: Other: Other:

Allegro Worksheet 4 RISK MEASUREMENT CRITERIA – SAFETY AND HEALTH

Impact Area Low Moderate High

Life

No loss or significant threat to customers’ or staff members’ lives

Customers’ or staff members’ lives are threatened, but they will recover after receiving medical treatment.

Loss of customers’ or staff members’ lives

Health

Minimal, immediately treatable degradation in customers’ or staff members’ health with recovery within four days Temporary or recoverable impairment of customers’ or staff members’ health Permanent impairment of significant aspects of customers’ or staff members’ health

Safety Safety questioned Safety affected Safety violated

L-5

Allegro Worksheet

5 RISK MEASUREMENT CRITERIA – FINES AND LEGAL PENALTIES

Impact Area Low Moderate High

Fines

Fines less than $_______________are levied. Fines between $_______________and $_______________are levied.

Fines greater than $_______________are levied.

Lawsuits

Non-frivolous lawsuit or lawsuits less than $_______________ are filed against the organization, or frivolous lawsuit(s) are filed against the organization. Non-frivolous lawsuit or lawsuits between $_______________ and $_______________are filed against the organization.

Non-frivolous lawsuit or lawsuits greater than

$_______________ are filed against the organization. Investigations No queries from government or other investigative organizations Government or other investigative organization requests information or records (low profile). Government or other investigative organization initiates a high-profile, in-depth investigation into organizational practices. Other:

Allegro Worksheet 6 RISK MEASUREMENT CRITERIA – USER DEFINED

L-7

Allegro Worksheet 7 IMPACT AREA PRIORITIZATION WORKSHEET

PRIORITY IMPACT AREAS

Reputation and Customer Confidence

Financial

Productivity

Safety and Health

Fines and Legal Penalties

Allegro Worksheet 8 CRITICAL INFORMATION ASSET PROFILE

(1) Critical Asset

What is the critical information asset?

(2) Rationale for Selection

Why is this information asset important to the organization?

(3) Description

What is the agreed-upon description of this information asset?

(4) Owner(s)

Who owns this information asset?

(5) Security Requirements

What are the security requirements for this information asset?

‰ Confidentiality Only authorized personnel can view this information asset, as follows:

‰ Integrity Only authorized personnel can modify this information asset, as follows:

‰ Availability

This asset must be available for these personnel to do their jobs, as follows:

This asset must be available for _____ hours, _____ days/week, _____ weeks/year.

‰ Other This asset has special regulatory compliance _{protection requirements, as follows:}

(6) Most Important Security Requirement

What is the most important security requirement for this information asset?

L-9A

Allegro Worksheet 9a INFORMATION ASSET RISK ENVIRONMENT MAP (TECHNICAL) INTERNAL

CONTAINER DESCRIPTION OWNER(S)

1.

2.

3.

4.

EXTERNAL

CONTAINER DESCRIPTION OWNER(S)

1.

2.

3.

Allegro Worksheet 9b INFORMATION ASSET RISK ENVIRONMENT MAP (PHYSICAL) INTERNAL

CONTAINER DESCRIPTION OWNER(S)

1.

2.

3.

4.

EXTERNAL

CONTAINER DESCRIPTION OWNER(S)

1.

2.

3.

L-9C

Allegro Worksheet 9c INFORMATION ASSET RISK ENVIRONMENT MAP (PEOPLE) INTERNAL PERSONNEL

NAME OR ROLE/RESPONSIBILITY DEPARTMENT OR UNIT 1. 2. 3. 4. EXTERNAL PERSONNEL

CONTRACTOR, VENDOR, ETC. ORGANIZATION 1.

2.

3.

Allegro - Worksheet 10 INFORMATION ASSET RISK WORKSHEET In form ati on As set Ri sk Threat Information Asset Area of Concern (1) Actor

Who would exploit the area of concern or threat?

(2) Means

How would the actor do it? What would they do?

(3) Motive

What is the actor’s reason for doing it?

(4) Outcome

What would be the resulting effect on the information asset? ‰ Disclosure ‰ Modification ‰ Destruction ‰ Interruption (5) Security Requirements

How would the information asset’s security requirements be breached?

(6) Probability

What is the likelihood that this threat scenario could occur?

‰ High ‰ Medium ‰ Low

(7) Consequences

What are the consequences to the organization or the information asset owner as a result of the outcome and breach of security requirements?

(8) Severity

How severe are these consequences to the organization or asset owner by impact area?

Impact

Area Value Score

Reputation & Customer Confidence Financial Productivity Safety & Health Fines & Legal Penalties User Defined Impact Area

PENILAIAN RISIKO SISTEM INFORMASI PADA BINA

NUSANTARA MENGGUNAKAN METODE OCTAVE

ALLEGRO

GROUP FIELD PROJECT

Welly 1022200770

Mikewati 1022200814

Program Pascasarjana Ilmu Komputer

PROGRAM STUDI MAGISTER MANAJEMEN SISTEM INFORMASI JENJANG S2

UNIVERSITAS BINA NUSANTARA

JAKARTA

2011

ALLEGRO

Mikewati, Welly, dan Ford Lumban Gaol

LAPORAN TEKNIS

 

Jakarta 26 Januari 2012

Menyetujui:

Ford Lumban Gaol, S.Si, M.Kom, Dr

PENILAIAN RISIKO SISTEM INFORMASI PADA BINA

NUSANTARA MENGGUNAKAN METODE OCTAVE

ALLEGRO

ABSTRAK

Penggunaan teknologi sistem informasi dalam perusahaan akan menimbulkan risiko –risiko. Tujuan penulisan thesis ini adalah mendukung manajemen risiko sistem informasi dalam perusahaan dengan melakukan sebuah penilaian risiko sistem informasi dengan menggunakan metode OCTAVE Allegro. Pengunaan metode OCTAVE Allegro dalam analisis risiko akan menghasilkan rencana mitigasi dan strategi keamanan bagi perusahaan. Rencana mitigasi dan strategi keamanan ini diharapkan dapat mendukung manajemen risiko sistem informasi dalam perusahaan dan meminimalisir kerusakan yang mungkin dapat ditimbulkan dari ancaman – ancaman yang ada.

Kata kunci: Penilaian risiko sistem informasi, OCTAVE Allegro

ABSTRACT

The use of information system technology within an enterprise will create risks. The goal of this thesis is to support information system risk management within the enterprise by doing information system risk assessment using OCTAVE Allegro. The use of OCTAVE Allegro on risks analysis will create mitigation plans and security strategies to the enterprise. This mitigation plans and security strategies are expected to support risk management within the enterprise and minimize the damage that may result from threats that exist.

Latar Belakang

Dewasa ini penggunaan teknologi informasi dalam perusahaan merupakan hal yang umum. Dalam penggunaannya, penggunaan teknologi informasi akan memunculkan risiko - risiko. Pengelolaan terhadap risiko – risiko ini merupakan hal yang perlu diperhatikan. Salah satu langkah awal perusahaan dalam mengelola risiko – risiko ini, perusahaan dapat melakukan pengukuran terhadap risiko teknologi informasi (penilaian risiko).

Banyak metode yang dapat digunakan untuk melakukan penilaian risiko. Metode

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) merupakan

salah satu metode yang dapat digunakan oleh perusahaan sebagai acuan untuk melakukan penilaian risiko. Metode OCTAVE sendiri memiliki tiga varian, yaitu OCTAVE, OCTAVE-S, dan OCTAVE Allegro. Metode yang digunakan dalam penulisan ini adalah metode OCTAVE

Allegro, dimana metode ini merupakan modifikasi dari metode OCTAVE. Perbedaan yang

mendasar dari OCTAVE dan OCTAVE Allegro adalah bahwa pendekatan OCTAVE Allegro lebih ditujukan secara spesifik kepada aset informasi dan data yang mendukung informasi tersebut.

Rumusan Permasalahan

Rumusan permasalahan yang mendasari dilakukannya penilaian risiko pada Bina Nusantara adalah :

1. Belum pernah diadakannya penilaian risiko pada Bina Nusantara yang menyebabkan kesulitan dalam menilai seberapa besar dampak dari risiko yang muncul.

2. Belum adanya kebijakan formal terkait keamanan teknologi informasi. Hal ini menimbulkan lambannya tindakan yang harus diambil untuk mencegah risiko yang mungkin terjadi dan penanggulangannya.

3. Kesulitan dalam mengkomunikasikan pentingnya nilai dari aset informasi yang dimiliki karena tidak adanya dokumentasi atau data - data yang mendukung.

Tujuan dan manfaat

Tujuan penulisan ini adalah membantu Bina Nusantara dalam mengevaluasi risiko – risiko terkait dengan aset informasi serta melindungi risiko – risiko tersebut dengan merancang strategi perlindungan.

Manfaat yang ingin dicapai dalam penelitian ini adalah:

• Mengelola penilaian risiko secara mandiri (self directed) bagi organisasi. • Mengidentifikasi risiko keamanan yang dapat menghambat visi dan misi

organisasi.

• Membuat keputusan terbaik untuk risiko – risiko tersebut.

• Membuat strategi perlindungan yang dirancang secara khusus untuk mengurangi risiko keamanan informasi yang memiliki prioritas tertinggi.

• Merancang kebutuhan dan regulasi.

• Pihak manajemen dapat secara efektif mengkomunikasikan nilai - nilai penting informasi keamanan informasi.

Ruang Lingkup

3. Metode yang digunakan dalam melakukan penilaian risiko adalah metode

OCTAVE Allegro.

Kerangka pikir

Kerangka pikir dalam penelitian ini dapat digambarkan seperti dibawah:

  Gambar 7. Kerangka Pikir

1. Studi pendahuluan

Pada tahap ini, didefinisikan latar belakang dari penelitian. Tahap ini dimulai dengan mendiskusikan ide penelitian terhadap perwakilan dari Bina Nusantara dan apa saja yang akan dilakukan dengan tesis ini. Langkah selanjutnya adalah mempelajari struktur organisasi Bina Nusantara, mempelajari proses bisnis Bina

Nusantara dan mempelajari sistem informasi Bina Nusantara. Selain itu, dilakukan pencarian artikel yang berkaitan dengan manajemen risiko sistem informasi melalui buku-buku, internet dan juga melalui dosen pembimbing tesis. Dari ide yang muncul, didiskusikan dengan dosen pembimbing dan ide - ide tersebut digunakan pada tahapan berikutnya, yaitu perumusan masalah.

2. Perumusan Masalah

Pada tahapan ini, dilakukan identifikasi permasalahan yang akan dibahas. Identifikasi dan perumusan permasalahan dilakukan agar sasaran penelitian tidak keluar dari alur yang dibuat.

3. Tujuan dan Manfaat yang Ingin Dicapai

Pada tahapan ini tim menentukan tujuan dan manfaat yang ingin dicapai dari penelitian yang akan dilakukan.

4. Studi Kepustakaan

Setelah semua proses di dalam studi pendahuluan dilakukan, proses selanjutnya adalah pembelajaran literatur yang berhubungan dengan penilaian risiko. Studi literatur ini dilakukan agar dapat menghasilkan suatu acuan dasar yang dapat digunakan dalam penelitian. Studi literatur dilakukan melalui jurnal-jurnal, buku-buku dan juga melalui internet.

5. Pengumpulan data

Bersamaan dengan studi kepustakaan yang dilakukan, peneliti melakukan pengumpulan data dengan cara:

a. Observasi

Mengamati kegiatan – kegiatan yang berhubungan dengan risiko TI pada IT

Directorate dan business unit atau directorate yang terkait secara langsung. Di

kebijakan (misalnya, dokumentasi, arahan), dokumentasi sistem (misalnya, buku petunjuk, desain sistem dan persyaratan dokumen), dan dokumentasi yang berkaitan dengan keamanan (misalnya, laporan audit sebelumnya, laporan penilaian risiko, hasil tes sistem, rencana keamanan sistem, kebijakan keamanan) yang dapat memberikan informasi yang baik mengenai kontrol keamanan yang digunakan oleh dan direncanakan untuk sistem TI.

b. Wawancara

Melakukan pengumpulan data yang dilakukan dengan bertanya dan mendengarkan jawaban langsung dari narasumber.

6. Analisis Menggunakan Metode OCTAVE Allegro

Terdapat empat tahapan utama dalam metode OCTAVE Allegro, yaitu: a. Membangun drivers

b. Membuat profil aset c. Mengidentifikasi ancaman

d. Mengidentifikasi dan mengurangi risiko

Lebih jelasnya mengenai metode OCTAVE Allegro, akan dibahas pada sub bab 3.4.

7. Rekomendasi Kebijakan Manajemen Risiko

Rekomendasi dan kebijakan manajemen risiko dijelaskan pada sub bab 3.4, metode OCTAVE Allegro langkah 8.

Dalam penelitian ini penulis melakukan penelitian kualitatif dimana pada akhir pembahasan nantinya penulis memberikan hasil berupa pendekatan pengurangan risiko sesuai dengan hasil yang diberikan oleh metode OCTAVE Allegro.

RANGKUMAN HASIL PEMBAHASAN

Hasil rangkuman yang dibuat berdasarkan 8 langkah OCTAVE Allegro yang ada. Dari tiap – tiap langkah yang ada, akan dijabarkan hasil apa saja yang didapat.

Langkah 1 – Membangun Kriteria Pengukuran Risiko

Dalam langkah 1, ada dua aktivitas yaitu penentuan impact area dan penentuan skala prioritas pada impact area yang telah ditentukan. Dari lima impact area yang ditentukan (reputasi dan kepercayaan pelanggan, finansial, produktivitas, keamanan dan kesehatan, dan denda dan penalti), diperoleh hasil sebagai berikut:

Impact area - Reputasi dan kepercayaan pelanggan

Dampak terhadap reputasi dan kepercayaan pelanggan dikategorikan high (tinggi) jika reputasi terkena dampak sangat buruk hingga hampir tidak dapat diperbaiki

Dampak terhadap kerugian pelanggan dikategorikan high (tinggi) jika terjadi lebih dari 10% pengurangan pelanggan yang diakibatkan hilangnya kepercayaan

Impact area - Finansial

Dampak terhadap biaya operasional dikategorikan high (tinggi) jika terjadi peningkatan lebih dari 10% pada biaya operasional per tahun

Dampak terhadap revenue loss dikategorikan high (tinggi) jika terjadi lebih dari 10% per tahun revenue loss

Dampak terhadap one-time financial loss dikategorikan high (tinggi) jika terjadi lebih dari Rp.100.000.000,-

Impact area - Keamanan dan Kesehatan

Dampak terhadap kehidupan dikategorikan high (tinggi) jika terjadi hilangnya nyawa pelanggan atau karyawan

Dampak terhadap kesehatan dikategorikan high (tinggi) jika terjadi penurunan permanen dari kesehatan pelanggan atau karyawan

Dampak terhadap Keselamatan dikategorikan high (tinggi) jika keselamatan pelanggan atau karyawan terganggu

Impact area - Denda dan Penalti

Denda dikategorikan high (tinggi) jika bernilai lebih dari Rp.100.000.000,- Tuntutan Hukum dikategorikan high (tinggi) jika tuntutan dengan nilai lebih dari Rp.100.000.000,- akan dikenakan kepada Bina Nusantara.

Investigasi dikategorikan high (tinggi) jika pemerintah atau organisasi investigasi lainnya akan memulai penyelidikan yang lebih mendalam terhadap praktek Bina Nusantara terkait dengan tuntutan.

Dari kelima impact area tersebut, reputasi dan kepercayaan pelanggan

merupakan prioritas yang paling pertama diikuti oleh finansial, denda dan

penalti, produktivitas, serta keamanan dan kesehatan.

Langkah 2 – Mengembangkan Information Asset Profile

Aset informasi yang berhasil diidentifikasikan sebanyak 17, namun dari 17 aset tersebut didapatkan 9 aset informasi kritikal yaitu profil dosen, profil mahasiswa, jadwal kuliah mahasiswa, jadwal mengajar dosen, transaksi nilai mahasiswa, konten

materi kuliah, transaksi pembayaran uang kuliah, absensi kelas, dan kehadiran dosen. Pertimbangan – pertimbangan dalam memilih aset informasi kritikal tersebut adalah:

‐ Aset Informasi yang penting bagi Bina Nusantara

‐ Aset informasi yang digunakan dalam kegiatan operasional sehari – hari ‐ Aset informasi yang jika hilang, dapat mengganggu kemampuan Bina

Nusantara untuk mencapai tujuan dan misi perusahan

Ada tiga kebutuhan keamanan, yaitu confidentiality, integrity, dan availability. Dari profil aset informasi ini, kebutuhan keamanan yang paling penting, mayoritas terletak pada integrity. Hal ini dikarenakan aset informasi harus dapat dipertanggungjawabkan kebenarannya untuk digunakan dalam berbagai kegiatan operasional di Bina Nusantara.

Di bawah ini merupakan contoh dari profil aset untuk profil mahasiswa.

Critical Asset Profil mahasiswa

Rationale for Selection Mahasiswa mempunyai peran penting dalam

proses bisnis yang ada pada core process Binus. Profil mahasiswa sendiri digunakan hamper di setiap proses yang ada di Binus itu sendiri. Profil mahasiswa yang dicatat dan digunakan merupakan data yang dimulai saat mahasiswa tersebut telah melalui proses penerimaan mahasiswa baru, hingga pada akhirnya mahasiswa tersebut lulus.

Description Aset ini terdiri dari data diri mahasiswa, seperti

nomor pendaftaran, nomor induk mahasiswa, nama, alamat, agama, tahun angkatan, email, no hp, dsb

Owner Manajer, IS Dev Univ (ext.2310)

Security Requirements

Confidentiality

Informasi mengenai profil mahasiswa bersifat privasi bagi mahasiswa, sehingga dijaga agar tidak disalah gunakan oleh pihak yang tidak

bertanggung jawab. Informasi ini hanya diberikan akses ke pihak-pihak tertentu untuk tujuan

membantu mahasiswa. Contohnya: admisi,

jurusan, kemahasiswaan, alumni, binuscareer, biro nilai, web parent, dsb.

In Contoh perubahan profil mahasiswa: ganti no hp,

ganti alamat.

Availabili

ty Informasi ini harus tersedia bagi mahasiswa,

layanan mahasiswa, binus career, jurusan, kemahasiswaan, alumni, binuscareer, biro nilai,

web parent, dsb.

Most Important Security Requirement

Integrity

Alasan: profil mahasiswa haruslah benar dan up to

date karena profil mahasiswa ini banyak

digunakan untuk berbagai keperluan saat perkuliahan berlangsung, seperti penagihan dan pelunasan pembayaran, beasiswa, sertifikat seminar yang diadakan di lingkungan Bina Nusantara, Penjadwalan kuliah dan ujian, serta untuk keperluan wisuda. Jika data ini sejak awal salah, maka akan berpengaruh ke banyak area.

Langkah 3 – Identifikasi Information Asset Containers

Information asset container terbagi menjadi tiga, yaitu technical, physical, dan people

dimana masing-masing mempunyai sisi internal dan eksternal. Dari 9 critical asset

information, yang paling banyak mempunyai container adalah profil mahasiswa.

Profil mahasiswa diakses, disimpan, atau dikirim melalui dua database, tiga belas aplikasi, dua jenis kontainer fisik, dan staff – staff dari sembilan unit kerja.

Langkah 4 – Identifikasi Areas of Concern

Profil mahasiswa juga mempunyai area of concern yang paling banyak. Dari area of

concern tersebut, yang paling sering adalah bug/error pada aplikasi dan pemanfaatan

celah keamanan lewat aplikasi baik pihak dalam maupun luar, serta kesalahan saat

Langkah 5 – Identifikasi Threat Scenarios

Areas of concern kemudian diperluas menjadi threat scenario yang mendetailkan

lebih jauh mengenai property dari threat. Properti dari threat antara lain, actor,

means, motives, outcome, dan security requirement.

Di bawah ini merupakan salah satu contoh threat scenarios dari profil mahasiswa.

1

Area Of Concern Threat Properties

Dikarenakan jumlah profil mahasiswa yang banyak, terjadi kesalahan dalam peng-inputan data oleh staff SRSC

1.Actor staff SRSC

2.Means Staff menggunakan aplikasi

stusi

3.Motives Terjadi karena human error

(accindental)

4.Outcome Modification, Interruption

5.Security Requirements

Penambahan validasi – validasi terhadap field-field yang diinput oleh Staff

Langkah 6 – Identifikasi Risiko

Langkah ini bertujuan untuk menentukan bagaimana threat scenario yang telah dicatat dapat memberikan dampak bagi perusahaan dimulai dengan mereview

risk measurement criteria, fokus terhadap bagaimana definisi dampak high (tinggi) , medium, dan low untuk perusahaan. Kemudian relative risk score akan dihitung. Relative risk score dapat digunakan untuk menganalisa risiko dan membantu

organisasi untuk memutuskan strategi terbaik dalam menghadapi risiko. Setiap area

of concern tiap information asset yang telah didefinisikan, dipertimbangkan

konsekuensi yang mungkin terjadi. Konsekuensi tersebut mempunyai impact area yang dinilai tingkat value-nya yang kemudian diberikan score. Score diperoleh melalui perkalian priority dengan value dari impact area. Cara menghitung score dapat dilihat di tabel di bawah ini.

kepercayaan pelanggan 5 5 10 30 Finansial 4 4 8 12 Produktivitas 2 2 4 6 Keamanan dan Kesehatan 1 1 2 3

Denda dan Penalti 3 3 6 9

Langkah 7 – Analisis Risiko

Di bawah ini adalah salah satu setiap area of concern dari information asset yang telah didefinisikan dan dipertimbangkan konsekuensi yang mungkin terjadi berdasarkan relative risk score. Dari hasil pengamatan, rata-rata yang paling besar scorenya adalah Reputation & Customer Confidence.

1

Area Of Concern Risk

Dikarenakan jumlah profil mahasiswa yang banyak, terjadi kesalahan dalam peng-inputan data oleh staff SRSC

Consequences

Staff SRSC harus mendatakan ulang data-data yang salah lewat aplikasi atau bantuan dari staff IT sehingga banyak waktu yang terbuang untuk menginputnya.

Severity

Impact Area Value Score

Reputation & Customer Confidence

Med 10

Financial Low 4

Productivity High (tinggi) 6

Safety & Health Low 1

Fines & Legal Penalties

Low 3

Relative Risk Score 24

Langkah 8 – Pemilihan Mitigation Approach

Dari pengelompokan risiko yang ada, selanjutnya diambil langkah mitigasi risiko – risiko tersebut. Pembagian pengambilan langkah mitigasi dikelompokkan menjadi:

Relative Risk Matrix Risk Score

30 to 45 16 to 29 0 to 15

POOL 1 POOL 2 POOL3

POOL Mitigation Approach

1 Mitigate 2 Defer/Mitigate 3 Accept

Berikut ini merupakan contoh mitigasi risiko atas area of concern.

1

Risk Mitigation

Area of

Concern Staff IT yang dapat memasukkan malicious code

Action Mitigate

Container Control

Staff IT

Mengadakan training secara regular terhadap staff mengenai tanggung jawab dalam melindungi information asset.

2

Area of Concern

Penyebaran hak akses(password) terhadap aplikasi siskul yang dapat mengakses data dosen oleh staff AOC yang memiliki akses

Action Mitigate

Container Control

Aplikasi

siskul Dibuat pergantian password secara berkala. Staff AOC

Dilakukan penyuluhan terhadap staff AOC mengenai pentingnya keamanan password.

Staff AOC

Jika terjadi kesalahan dalam input data, maka staff yang bersangkutan akan dikenakan sanksi.

Kesimpulan

Dari penilaian yang dilakukan pada Bina Nusantara, maka diperoleh kesimpulan sebagai berikut:

1. Bina Nusantara belum pernah melakukan evaluasi untuk menilai aset infomasi yang sifatnya kritikal serta ancaman dan risiko yang mungkin terjadi.

2. Bina Nusantara belum pernah membuat perencanaan pengurangan risiko untuk mengurangi risiko-risiko yang mungkin terjadi.

3. OCTAVE Allegro merupakan suatu evaluasi risiko keamanan informasi yang sifatnya

self-directed yang memungkinan organisasi untuk membuat keputusan dalam

perlindungan informasi berdasarkan risiko terhadap confidentiality, integrity, dan

availability dari aset informasi kritikal.

4. Untuk membuat keputusan perlindungan informasi yang paling terbaik, sangat penting untuk mengidentifikasikan ancaman atas aset kritikal. Secara kolektif, semua sumber dari ancaman didokumentasikan dalam threat profile. Threat profile dapat digunakan untuk mengidentifikasikan serangkaian threat terhadap setiap critical

asset. Jika organisasi mengerti ancaman dari aset kritikal, maka langkah selanjutnya

akan sangat mudah untuk mengerti risiko terhadap organisasi dan mengambil langkah-langkah untuk mengurangi risiko tersebut. 

5. Hasil dari serangkaian langkah dalam penilaian risiko di Bina Nusantara adalah: • Langkah 1 – Membangun Kriteria Pengukuran Risiko: Menentukan impact area

dari Bina Nusantara. Impact area yang dipilih adalah reputasi dan kepercayaan pelanggan, financial, produktivitas, keamanan dan kesehatan, dan denda dan penalti.

Dari masing-masing impact area ini, diberikan penilaian kondisi seperti apakah

impact area tersebut dikatakan low, medium, dan high. Selain itu, masing-masing impact area diberikan skala prioritas. Reputasi dan kepercayaan pelanggan

merupakan prioritas terbesar yang dipilih karena jika reputasi dan kepercayaan pelanggan terjaga atau meningkat, maka customer akan menyebarkannya dari mulut ke mulut sehingga membuka peluang untuk lebih banyak mahasiswa yang masuk ke Bina Nusantara.

• Langkah 2 – Mengembangkan Information Asset Profile: Untuk menentukan aset informasi apa saja yang kritikal bagi Bina Nusantara, assessment dilakukan dengan berfokus kepada core process dari binus itu sendiri. Awalnya aset-aset penting didefinisikan bersama dengan Manajer IS Dev Univ. Dari kumpulan aset penting tersebut, aset informasi kritikal yang berhasil diidentifikasikan dalam penulisan ini adalah: Profil dosen, Profil mahasiswa, Jadwal kuliah mahasiswa, Jadwal mengajar dosen, Transaksi nilai mahasiswa, Konten materi kuliah, Transaksi pembayaran uang kuliah, Absensi Kelas, dan Kehadiran dosen.

• Langkah 3 – Identifikasi Information Asset Containers: Information asset

containers dimana aset informasi kritikal Bina Nusantara tersebut disimpan,

dipindahkan, atau diproses diidentifikasikan dengan membagi container dalam kategori technical, physical, dan people.

• Langkah 4 – Identifikasi Areas of Concern: Areas of concern diidentifikasikan dengan melihat container yang telah diidentifikasikan di langkah sebelumnya. • Langkah 5 – Identifikasi Threat Scenarios: Areas of concern diperluas menjadi

perusahaan.

• Langkah 7 – Analisis Risiko: Pada tahap ini, pengukuran secara kualitatif dilakukan dengan menghitung score untuk setiap risiko pada information asset.

• Langkah 8 – Pemilihan Mitigation Approach: Menentukan tindakan-tindakan yang dapat dilakukan untuk memitigasi setiap risiko.

Saran

Saran yang dapat diusulkan dalam penelitian ini adalah sebagai berikut:

1. Membuat peraturan yang tertulis mengenai tanggung jawab dalam menjaga keamanan informasi dan sanksi bagi yang melanggar serta melakukan sosialisasi mengenai peraturan tersebut secara bertahap kepada karyawan Bina Nusantara.

2. Membuat simulasi secara visual untuk memudahkan karyawan untuk mengerti bagaimana pentingnya aset informasi, ancaman dan risiko yang mungkin terjadi, serta konsekuensi yang harus mereka hadapi bila terjadi.

3. Melakukan evaluasi keamanan informasi kembali dengan menggunakan Octave

Allegro secara berkala, misalnya satu tahun sekali.

4. Untuk penulisan berikutnya, ruang lingkup penulisan dapat menggunakan area lain di

IT Directorate Bina Nusantara, seperti bagian school, function, atau bisnis unit yang

lain, seperti marketing dan HRD.

DAFTAR PUSTAKA

 

Christopher Alberts, A. D. (2002). Managing Information Security Risks: The OCTAVE

Approach . Addison Wesley.

 

Conner, B., Noonan, T., & Holleyman II, R. (2004). Information Security Governance:

Toward a Framework for Action. (Business Software Alliance).

 

Gary Stoneburner, A. G. (2002). Risk Management Guide for Information Technology

Systems . Computer Security Division Information Technology Laboratory National Institute

of Standards and Technology.  

Jake Kouns, D. M. (2010). Information Technology Risk Management In Enterprise

Enviroments. New Jersey: John Wiley & Sons.

 

McLeod Jr.,R., Schell, G. (2004). Sistem Informasi Manajemen, edisi ke-8. Terjemahan Widyantoro, Agus, PT. Indeks, Jakarta.

Marie Wright, Third generation risk management practices, Computer Fraud & Security, Volume 1999, Issue 2, February 1999, Pages 9-12, ISSN 1361-3723, 10.1016/S1361-3723(99)80005-0.

Michael E. Whitman and Herbert J.Mattord (2010). Management of Information Security,3rd

O’Brien, James. (2006). Pengantar Sistem Informasi – Perspektif Bisnis dan Manajerial, edisi ke-12. Terjemahan Fitriasari,D., dan Deny Arnos Kwary. Salemba Empat. Jakarta.

Schwartz, M. , “Computer security: Planning to protect corporate assets,” Journal of Business Strategy, vol. 11(1), pp. 38-41, 1990.

Saint-Germain, R. “Information security management best practice based on ISO/IEC

17799,” The Information Management Journal, vol. August 2005, pp. 60-66, 2005.

Van de Haar, H., & von Solms, R. (2003, April). Deriving Information Security Control

Profiles for an Organization. Computers & Security, 22 (3), 233 – 244.

Technical Department of ENISA Section Risk Management. (2006). Risk Management:

Implementation principles and Inventories for Risk Management/Risk Assessment methods and tools . ENISA.

 

Wilkinson, J. W. (1995). Sistem Akuntansi dan Informasi, jilid ke-1, edisi ke-2, cetakan ke-4. Terjemahan Sinaga, M. Erlangga. Jakarta.

Woody, C. (2006). Applying OCTAVE: Practitioners Report . Carnegie Mellon University.