Analisa Risiko Proyek Pengembangan

Software

Pada

E-Banking

Delis Permata Sari1) _{Dr-Ing. M.Hendayun.} 2)

delisper@gmail.com hendayun@aol.de

1)2)_{Program Studi Program Pendidikan Magister program studi Teknik Informatika Universitas Langlangbuana}

Bandung

ABSTRAK

Bank sebagai institusi yang memiliki izin untuk melakukan banyak aktifitas, memiliki peluang yang sangat luas dalam memperoleh pendapatan (income). Dalam menjalankan aktifitas, untuk memperoleh pendapatan perbankan selalu dihadapkan pada risiko. Belakangan ini, terutama dengan semakin meningkatnya berbagai transaksi perbankan yang didukung Teknologi Informasi (TI) dengan keberadaan E-Banking. Masalah risiko atau tingkat keamanan di bank tidak hanya yang terkait langsung dengan pelayanan yang dimiliki bank, yang langsung digunakan untuk melakukan transaksi oleh nasabah, seperti penggunaan E-Banking.

Permasalahan yang terjadi pada perusahaan adalah tidak adanya identifikasi terhadap risiko-risiko yang mungkin terjadi. Ada sebuah kasus dimana nasabah tidak bisa mengakses akunnya secara online, nilai rekening yang secara tiba-tiba berkurang tanpa sepengetahuan pemiliknya, hingga dibajaknya data privasi nasabah bank. Hal ini dapat mengganggu bahkan merusak kestabilitasan hidup suatu perusahaan.

Pada artikel ini, dilakukan penjelasan cara kerja perusahaan, mencari risiko-risiko yang ada, penilaian terhadap setiap risiko yang ada dan respon terhadap risiko-risiko itu. Proses risk assessment dilakukan berdasarkan NIST 800-30 yang menjelaskan tentang sepuluh langkah risk assesment dan OWASP Risk Rating Methodology tentang penentuan bobot setiap risiko berdasarkan kriteria tertentu. OWASP dipakai sebagai acuan untuk menentukan bobot setiap risiko. Kata Kunci: Secure software requirement, risk assessment, OWASP Risk Rating, e-banking.

ABSTRACT

Bank as of that institutions have permission to do much activity, a very wide has an opportunity in obtaining revenue (income). In running activity, to earn income banking always will be exposed to risk. In recent years, it has been overcome by the growing number of transactions supported by Information

Technology (IT) with the existence E-Banking. Not only directly related to services owned by banks, which directly used to conduct transa ctions with customers, such as using E-Banking.

The problems that occur in the company there is no identification of the risks that occur. There was a case where customers could not access their accounts online, whose accounts were suddenly reduced unbeknownst to their owners, until the hijacking of bank privacy data. This can disrupt and even damage the stability of a company's life.

In this article, an explanation of how the company works, look for existing risks, an assessment of each risk and response to those risks. The risk assessment process is based on NIST 800-30 describing the ten steps of risk assessment and the OWASP Risk Rating Methodology on determining the weight of each risk according to certain criteria. OWASP is used a s a reference to determine the weight of each risk.

Keywords: Secure software requirements, risk assessment, OWASP Risk Rating, e-banking.

1. PENDAHULUAN

Perkembangan dunia perbankan dari tahun ke tahun saat ini semakin pesat. Hal ini terlihat dari semakin banyaknya jumlah bank, baik milik asing maupun pemerintah. Pada tahun 2017, tercatat bahwa terdapat 116 bank yang tersebar di seluruh Indonesia (http://keuangan.kontan.co.id/news/ojk-jumlah-bank-saat-ini-116-di-indonesia). kondisi ini tentu semakin memotivasi setiap bank untuk memberikan performansi terbaik mereka. Selain itu, kompetisi di dunia perbankan saat ini tidak hanya berupa penawaran jasa secara offline , tetapi juga telah menuju e-environment seperti penerapan e-banking (Gonzalez dkk ., 2004 dalam Rod dkk., 2009). Survei yang dilakukan Biro Riset Info Bank (BIRI) dan Marketing Research Indonesia (MRI) juga membuktikan bahwa layanan e-banking semakin menjadi faktor penting dalam menentukan tingkat kepuasan nasabah.

pun, memiliki beberapa resiko yang dapat mengganggu bahkan merusak kestabilitasan hidup suatu perusahaan. Tak terkecuali proyek E-Banking. Ada sebuah kasus dimana nasabah tidak bisa mengakses akunnya secara online, nilai rekening yang secara tiba-tiba berkurang tanpa sepengetahuan pemiliknya, hingga dibajaknya data privasi nasabah bank.

Oleh karena itu, dalam perencanaannya membangun proyek dalam perusahaan, dibutuhkan manajemen yang baik dan perlu diperhatikan dan merumuskan beberapa resiko yang akan dihadapi, baik itu resiko kecil, besar ataupun sangat besar yang dapat mengganggu kestabilitasan kehidupan suatu perusahaan.

2. DASAR TEORI

2.1. PENGERTIAN E-BANKING

Perbankan Elekronik (bahasa Inggris: banking) E-banking yang juga dikenal dengan istilah internet banking ini adalah melakukan transaksi, pembayaran, dan transaksi lainnya melalui internet dengan website milik bank yang dilengkapi sistem keamanan. Dari waktu ke waktu, makin banyak bank yang menyediakan layanan atau jasa internet banking yang diatur melalui Peraturan Bank Indonesia No. 9/15/PBI/2007 Tahun 2007 tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum. Penyelenggaraan internet banking merupakan penerapan atau aplikasi teknologi informasi yang terus berkembang dan dimanfaatkan untuk menjawab keinginan nasabah perbankan yang menginginkan servis cepat, aman, nyaman murah dan tersedia setiap saat (24 jam/hari, 7 hari/minggu) dan dapat diakses dari mana saja baik itu dari HP, Komputer, laptop/ note book, PDA, dan sebagainya.

Aplikasi teknologi informasi dalam internet banking akan meningkatkan efisiensi, efektifitas, dan produktifitas sekaligus meningkatkan pendapatan melalui sistem penjualan yang jauh lebih efektif daripada bank konvensional. Tanpa adanya aplikasi teknologi informasi dalam internet banking, maka internet banking tidak akan jalan dan dimanfaatkan oleh industri perbankan. Secara umum, dalam penyediaan layanan internet banking, bank memberikan informasi mengenai produk dan jasanya via portal di internet, memberikan akses kepada para nasabah untuk bertransaksi dan meng-update data pribadinya.

Adapun persyaratan bisnis dari internet banking antara lain :

a). aplikasi mudah digunakan

b). layanan dapat dijangkau dari mana saja c). murah

d). dapat dipercaya

e). dapat diandalkan (reliable).

Berbagai jenis teknologinya diantaranya meliputi : a) Anjungan Tunai Mandiri (Automated Teller Machine)

b) Sistem Aplikasi Perbankan (Banking Application System)

c) Sistem Penyelesaian Bruto Waktu-Nyata (Real-Time Gross Settlement System)

d) Perbankan Daring (Internet Banking) e) Sistem Kliring Elektronik

Bank Indonesia sendiri lebih sering menggunakan istilah Teknologi Sistem Informasi Perbankan untuk semua terapan teknologi informasi dan komunikasi dalam layanan perbankan, atau lebih populer dengan istilah perbankan elektronik (electronic banking)

2.2 SOFTWARE ENGINEERING

Ada beberapa contoh software engineering yang ada: 1. Waterfall : Diciptakan oleh William Royce. Dalam kenyataannya, model siklus ini sangat sulit untuk diterapkan, karena dibutuhkan sebuah koordinasi yang baik dari tim perangkat lunak, serta kerjasama yang toleratif antara pihak pengembang dengan pihak pengguna [5].

2. Spiral : Diawali dari perencanaan dari perangkat lunak itu sendiri, yang didalamnya termasuk waktu pengerjaan, sumber daya yang dibutuhkan dan informasi menyangkut pengerjaan proyek. Tahap berikutnya adalah analisa risiko. Dilanjutkan dengan proses pembuatan software. Saat proses pembuatan software dianggap selesai, maka masuk tahap construction and release [5].

4. Prototyping : Prototyping dimulai dengan pengumpulan kebutuhan klien lalu dievaluasi dan setelah itu dijadikan sebagai dasar pembuatan software.

2.3. Metodologi Analisa Risiko

1. Metodologi analisa kuantitatif, yaitu metodologi yang berkisar antara proses mengoleksi, menganalisa, menginterpretasi dan menulis hasil dari sebuah penelitian yang menitikberatkan pada kuantitas (angka). Secara garis besar, data yang dihasilkan adalah data dalam bentuk angka [3]. Satu hal yang mencolok dalam analisa kuantitatif adalah penggunaan survey yang menyediakan data numerik terhadap trend, kebiasaan dari sebuah populasi. Untuk koleksi data memakai kuesioner atau interview. 2. Metodologi analisa kualitatif, yaitu metodologi yang menitik beratkan pada koleksi data, analisa interpretasi dan laporan yang berbeda dengan metode kuantitatif. Memakai sampel, koleksi

dari data yang open-ended, analisa teks atau gambar, represenasi informasi yang berbentuk figur dan tabel merupakan ciri khas dari metode kualitatif. Secara garis besar, data yang dihasilkan dari analisa kualitatif adalah berbentuk teks [3]. Salah satu bentuk metode kualitatif yang dipakai adalah case study, dimana peneliti melakukan analisa terhadap suatu kasus tertentu.

3. Metodologi campuran, merupakan metodologi yang menggabungkan metodologi kuantitatif dan kualitatif. Metode ini menggabungkan survey yang dilakukan pada kuantitatif untuk menentukan strata atau tingkatan yang didapat dari metode kualitatif [3]. Dalam metode ini, data yang dikumpulkan berbentuk angka dan teks atau gambar. Berikut contoh model inti dalam metodologi campuran menurut [2]:

• Convergent parallel mixed method: Metodologi campuran dimana peneliti menggabungkan data kuantitatif dan kualitatif untuk menyediakan analisa pada permasalahan.

• Explanatory sequential mixed method: Metodologi dimana peneliti melakukan metodologi kuantitatif, menganalisa hasilnya dan kemudian membuat hasil penelitian untuk menjelaskan hasil lebih detail denan metode kualitatif. Disebut sequential karena pada fase kuantitatif diikuti oleh fase kualitatif

• Exploratory sequential mixed method: Kebalikan dari explanatory sequential method, dimana peneliti memulai penelitian dengan metode kualitatif. Data yang didapat lalu dianalisa untuk dipakai dalam fase berikutnya yaitu metode kuantitatif.

2.4. Risk Assessment

Risk assesment adalah sebuah cara untuk menentukan risiko – risiko yang mungkin terjadi dalam manajemen risiko. Menurut NIST ada 10 langkah dalam risk assesment yang harus dijalani [6]:

1.System Characterization : Menentukan batasan – batasan dari sistem IT yang sedang dipakai. Metode dalam mengumpulkan data – data karakteristik adalah dengan kuesioner dan interview.

2.Threat Identification : Mengidentifikasi sumber ancaman yang mungkin terjadi, dimana ancaman dari manusia merupakan ancaman terbesar yang mungkin terjadi.

3.Vulnerability Identification : Merupakan identifikasi kelemahan dalam sebuah sistem, misalnya pada bagian desain, implementasi.

4.Control Analysis : Tujuan dari langkah ini adalah menganalisa kontrol yang sudah diimplementasi untuk meminimalisasi kemungkinan dari ancaman yang akan mengeksploitasi kelemahan yang ada.

5.Threat Source / Vulnerability Pairs : Menentukan sumber ancaman beserta kelemahannya yang menjadi perhatian terbesar. Kelemahan tanpa sumber ancaman bukan merupakan risiko, begitu juga sebaliknya. 6.Likelihood Determination : Menetukan kemungkinan dari kelemahan – kelemahan yang ada untuk dieksploitasi.

7.Impact Analysis : Menentukan dampak yang berasal dari latihan ancaman dari setiap pasangan sumber ancaman/kelemahan yang menjadi perhatian.

8.Risk Determination : untuk menentukan risiko yang ada dengan menggunakan risk-level matrix. Tabel 1 menggambarkan bentuk risk-level matrix

9.Control Recommendations : Selesaikan risk assesment ini dengan menentukan kontrol apa yang harus dilakukan untuk meminimalisasi risiko dari pasangan ancaman/kelemahan yang menjadi perhatian utama.

Tabel 1 Risk-level matrix

2.5. OWASP Risk RatingMethodology

Open World Application Security Object (OWASP) adalah suatu organisasi nirlaba yang memiliki misi yaitu meningkatan keamanan dari suatu softwa re [4]. Berikut adalah metode penilaian risiko yang dibuat OWASP :

1. Mengidentifikasi risiko,

2. Menentukan faktor-faktor untuk estimasi likelihood

3. Menentukan faktor-faktor yang berpengaruh terhadap impact,

4. Menghitung risk severity,

5. Memutuskan risiko mana saja yang harus diprioritaskan berdasarkan Risk Severity nya. Langkah pertama yaitu mengidentifikasi risiko. Dalam mengidentifikasi risiko, perlu adanya informasi terkait jenis risiko apa saja yang mungkin terjadi, bentuk dan proses penyerangan risiko yang dapat terlaksana. Langkah kedua adalah menentukan faktor likelihood. Secara sederhana perhitungan likelihood dapat dilakukan dengan langsung membagi risiko ke dalam beberapa kategori yakni high, medium, low. Ada beberapa faktor yang dapat membantu penentuan likelihood, yang pertama adalah threat agent.:

1. Skill Level 2. Motive 3. Opportunity 4. Size

Faktor berikutnya adalah vulnerability faktor, dimana faktor ini dipakai untuk mengestimasi kemungkinan vulnerability ditemukan dan dipergunakan. Vulnerablity faktors juga dibagi ke dalam beberapa kriteria yakni sebagai berikut:

1. Ease of Discovery 2. Ease of Exploit 3. Awareness

4. Intrusion Detection

Langkah berikutnya adalah menghitung impact dari risiko yang ditemukan. Ada 2 jenis impact faktors yaitu technical dan business impact factor. Berikut adalah beberapa faktor dalam technical impact factor:

1. Loss of Confidentiality 2. Loss of Integrity 3. Loss of Avalaibility 4. Loss of Accountability

Berikut adalah beberapa faktor dalam business impact factor:

1. Financial Damage 2. Reputation Damage 3. Non-Compliance 4. Privacy Violation

Tahap berikutnya adalah menentukan severity dari setiap risiko yang ditemukan dengan cara mencari rata-rata dari factor setiap risiko.Setelah itu ditentukan levelnya melalui likelihood and impact levels. Setiap risiko mempunyai bobot likelihood dan impact yang berbeda, mulai dari low, lalu medium, dan yang paling tinggi adalah high. Gambar 3 menunjukkan likelihood and impact level.

Gambar 1 Likelihood and Impact Levels

3. MODEL DAN STRATEGI BISNIS

3.1 Cara Kerja E-Banking

Aplikasi teknologi informasi dalam internet banking secara garis besar dapat dibagi menjadi dua bagian: front-end (yang berhubungan dengan nasabah) dan back-end (yang berhubungan dengan bank). Kedua bagian ini biasanya dipisahkan dengan firewall (bisa sebuah firewall atau beberapa firewall jika dibutuhkan keandalan dan kinerja yang sangat tinggi).

menggunakan web browser sebagai user interface. Hal yang menarik untuk dibahas pada bagian front-end adalah disain dari interface yang memudahkan bagi pengguna. Perlu diingat bahwa nasabah memiliki latar belakang dan mekanisme akses yang beragam. Ada nasabah yang melakukan akses dari kantor dengan komputer desktop yang high-end, sementara itu ada nasabah yang menggunakan komputer biasa. Untuk itu disain jangan menggunakan grafik yang berlebihan dan susah untuk diakses.

Sisi back-end (dapur) merupakan hal yang terpenting. Implementasi di sisi ba ck-end harus dapat memenuhi aspek-aspek yang disyaratkan (secara bisnis maupun secara teknis). Dari sisi back-end, terlihat adanya trend untuk menggunakan middleware, dimana sistem dipisahkan menjadi tiga aspek:

• Presentation layer

• Transaction layer • Data (base) layer

Pemisahan di atas dilakukan untuk memudahkan implementasi dan mempercepat deployment aplikasi baru. Pendekatan layering ini mirip dengan layering di sisi network yang terbukti ampuh dalam dunia Internet. Implementasi yang ada saat ini sering sepotong-sepotong sehingga menyulitkan pengelolaan (management). Data tersebar di berbagai database yang terkait dengan aplikasi tertentu sehingga menyulitkan untuk mengintegrasikan data-data. Implementasi yang terpadu (integrated) akan memudahkan perusahaan di kemudian hari.

Aplikasi teknologi informasi dalam internet banking harus memenuhi aspek-aspek sbb:

1. Mudah meluncurkan aplikasi / produk / servis lain. Saat ini mungkin bank baru memikirkan Internet Banking. Akan tetapi di kemudian hari akan muncul layanan mobile banking, TV banking, dan berbagai layanan baru lainnya yang belum terbayang pada saat ini. Sistem yang ada harus dapat meluncurkan layanan ini dengan cepat. Time to market merupakan kunci utama dalam era digital ini.

2. Scalability, baik dalam ukuran maupun dalam kecepatan. Sistem yang ada harus dapat melayani nasabah dalam jumlah kecil, misalnya ribuan orang, sampai ke nasabah dalam jumlah besar, misalnya belasan juta orang. Seringkali sistem yang dikembangkan hanya dapat bekerja untuk jumlah nasabah yang sedikit sehingga ketika servis menjadi populer dan nasabah mulai banyak menggunakan servis tersebut maka servis menjadi sangat lam bat.

3. Dapat mengakomodasi platform / sistem yang berbeda-beda (heterogen). Multi-channel access merupakan paradigma yang harus didukung. Pada masa yang akan datang, layanan diharapkan dapat diakses dari berbagai platform; mulai dari datang ke counter, diteruskan dengan akses lewat Internet, dan kemudian diselesaikan melalui handphone.

4. Memiliki sifat resilency, tahan bantingan dan cepat kembali ke kondisi semula jika terjadi masalah. Musibah tidak dapat diprediksi. Banjir, kebakaran, kerusuhan, dan berbagai hal lainnya dapat menyebabkan terhentinya layanan. Servis Banking (termasuk Internet Banking) harus dapat kembali menjalankan layanan dalam waktu sesingkat mungkin.

5. Manageable. Sistem yang ada harus dapat dikelola dengan baik. Meningkatnya variasi dan kompleksitas dari layanan sering menyebabkan kompleksitas di sisi sistem yang mengimplementasikan layanan tersebut. Untuk itu sistem Internet Banking yang ada harus dapat dikelola (manageable). Jika tidak, sistem akan menjadi kacau balau dan tidak terkendali.

3.2. Strategi bisnis Aplikasi E-Banking

Di Indonesia, internet banking telah diperkenalkan pada konsumen perbankan sejak beberapa tahun lalu. Beberapa bank besar baik BUMN atau swasta Indonesia yang menyediakan layanan tersebut antara lain BCA, Bank Mandiri, BNI, BII, Lippo Bank, Permata Bank dan sebagainya.

Dengan adanya internet banking, memberikan keuntungan antara lain:

1. Business expansion.

Dahulu sebuah bank harus memiliki sebuah kantor cabang untuk beroperasi di tempat tertentu. Kemudian hal ini dipermudah dengan hanya meletakkan mesin ATM sehingga dia dapat hadir di tempat tersebut. Kemudian ada phone banking yang mulai menghilangkan batas fisik dimana nasabah dapat menggunakan telepon untuk melakukan aktivitas perbankannya. Sekarang ada internet banking yang lebih mempermudah lagi karena menghilangkan batas ruang dan waktu.

2. Customer loyality.

3. Revenue and cost improvement.

Biaya untuk memberikan layanan perbankan melalui Internet Banking dapat lebih murah daripada membuka kantor cabang atau membuat mesin ATM. 4. Competitive advantage.

Bank yang memiliki internet banking akan memiliki keuntungan dibandingkan dengan bank yang tidak memiliki internet banking. Dalam waktu dekat, orang tidak ingin membuka account di bank yang tidak memiliki fasilitas Internet Banking.

5. New business model.

Internet Banking memungkinan adanya bisnis model yang baru. Layanan perbankan baru dapat diluncurkan melalui web dengan cepat.

4. PENILAIAN RISIKO

Penilaian risiko dilakukan dengan mengacu pada metode Risk Rating Methodology yang dikeluarkan OWASP.

4.1 Risk Likelihood

Kriteria yang dijadikan pedoman untuk menilai aspek likelihood

meliputi Awareness (AW), Skill Level (SL), Teamwork (TW), Management dan Stakeholder Support (MS) dijabarkan hasil penilaian kriteria likelihood. Hasil likelihood pada Tabel 2 digunakan untuk menghitung

Tabel 2.Penilaian Likelihoodng overall risk severity.

4.2 Risk Impact

Kriteria yang dijadikan pedoman dalam menilai aspek impact meliputi Kehilangan Integritas (I), Avalability (AV), Accountability (AC), Layanan (S). Untuk setiap kriteria impact Dilakukan pembobotan seperti terlihat pada Tabel 3 agar sesuai dengan dampak bisnis pada perusahaan.

Tabel 3 Pembobotan Aspek Impact

Berdasarkan hasil dari pembobotan diatas dapat diberikan penilaian aspek impact seperti terlihat pada Tabel 4.

Tabel 4 Penilaian Aspek Impact

4.3 Risk Severity

Risk Severity didapat dari hasil perkalian penilaian aspek likelihood dengan penilaian aspek impact. Hasil risk severity dapat dilihat pada Tabel 5.

No Faktor Risiko AW SL T W MS Likelihood Ca tegory

1 IT belum memiliki strategi dan perencanaan yang jelas untuk masa mendatang. Hal ini menyebabkan proses IT memungkinkan akan mengganggu proses bisnis yang sekarang dan dibutuhkan di masa depan

8 7 6 8 7.25High

2 T idak adanya identifikasi terhadap proses-proses bisnis perusahaan yang terkait pada keamanan IT menyebabkan proses monitoring tidak berjalan secara efektif karena proses bisnis bisa saja tidak terdeteksi

8 3 7 8 6.5High

3 T idak adanya prosedur pencegahan insiden (khususnya untuk

ha rdwa re), IT Continuity P la n, Disa ster Recovery P lan, IT Security P la n , tidak ada pelatihan karyawan terkait kemungkinan adanya insiden

8 2 7 0 4.25Medium

Impact Jumlah Persentase Desimal Pengali

Kehilangan Integritas 53 26.5% 0.265 2.385

Ava ibility 45 22.5% 0.225 2.025

Accounta bility 47 23.5% 0.235 2.115

Layanan 55 27.5% 0.275 2.475

T otal 200 100% 1 9

Faktor Risiko I AV AC S Sum

1

IT belum memiliki strategi dan perencanaan yang jelas untuk masa mendatang. Hal ini menyebabkan proses IT memungkinkan akan mengganggu proses bisnis yang sekarang dan

dibutuhkan di masa depan 2.12 1.8 0.7 2.2 6.82

2

terhadap proses-proses bisnis perusahaan yang terkait pada keamanan IT menyebabkan proses monitoring tidak berjalan secara efektif karena proses bisnis bisa saja tidak

terdeteksi 2.12 0.23 0.7 1.9 4.945

3

T idak adanya prosedur pencegahan insiden (khususnya untuk

ha rdwa re), IT Continuity P la n, Disa ster Recovery P la n, IT Security P la n , tidak ada pelatihan karyawan terkait

Tabel 5 Risk Severity

4.4 Risk Response

Untuk tiap-tiap risiko diberikan response yang sesuai. Response yang dapat diberikan antara lain adalah accept, avoid, reduce/lessen ataupun transfer seperti dapat dilihat pada Tabel 6,

Tabel 6 Risk Response

5. KESIMPULAN DAN SARAN

Dari proses analisa risiko yang dilakukan dapat disimpulkan bahwa d itemukan risiko yang paling kritikal dan dilakukan pemberian respon. Risiko tersebut adalah Risiko yang menjadi prioritas pertama:

1. Tidak adanya pendekatan monitoring peforma IT yang menggunakan matriks nilai menyebabkan tidak bias dipastikan keberlangsungan proses IT yang di implementasikan di Bank.Z.

2. Risiko yang menjadi prioritas kedua: Tidak adanya identifikasi terhadap proses-proses yang berpengaruh besar pada proses-proses bisnis perushaaan menyebabkan proses monitoring tidak berjalan secara efektif karena tidak dapat langsung fokus kepada proses yang mendukung proses bisnis perusahaan.

Saran yang diberikan adalah perusahaan menerapkan manajemen risiko secara penuh sehingga kemungkinan muncul risiko bias dikurangi. Selain hal tersebut, perlu diadakan peninjauan ulang Pada analisa risiko keterangan dari wawancara terhadap pihak terkait menjadi sesuatu yang sangat penting. Banyak hal yang tidak dapat diungkap risikonya apabila metode wawancara yang digunakan kurang maksimal. Oleh karena itu untuk pengembangan selanjutnya dapat menggunakan metode wawancara yang lebih baik.

6. REFERENSI

[1] Chrisdiyanto, I. 2013. IT Risk Assesment Di Perpustakaan Universitas Kristen Petra. Surabaya : Universitas Kristen Petra [2] Creswell, J. 2014. Research Design Fourth Edition. USA : SAGE Publications, Inc.

[3] Garbarino, S. dan Holland, J. 2009. Quantitative and Qualitative Methods in Impact Evaluation and Measuring Result. UK : GSDRC [4] OWASP Foundation. 2014. OWASP Risk Rating Methodology.URI:

https://www.owasp.org/index.php/OWASP_Risk_Rating_ Methodology

[5] Rizky, S. 2011. Konsep Dasar Rekayasa Perangkat Lunak. Jakarta : Prestasi Pustaka

[6] Guide for Conducting Risk Assessments. 2012. Guide for Conducting Risk Assessments. URI:

https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final

No Risiko L I Risk Severit y

1

IT belum memiliki st rat egi dan perencanaan yang jelas unt uk masa mendat ang. Hal ini menyebabkan proses IT memungkinkan akan mengganggu proses bisnis yang sekarang dan

dibut uhkan di masa depan 7.25 6.82 51.15

2

T idak adanya ident ifikasi t erhadap proses-proses yang t erkait pada keamanan IT pada proses bisnis perusahaan menyebabkan proses monit oring t idak berjalan secara efekt if karena proses bisnis bisa saja

t idak t erdet eksi 6.5 4.94 32.11

3 karyawan t erkait

kemungkinan adanya insiden 4.25 6.29 26.7325

Rank Risiko Severity ResponseLat ar Belakang

1 IT belum memiliki st rat egi dan perencanaan yang jelas unt uk masa mendat ang. Hal ini menyebabkan proses IT memungkinkan akan mengganggu proses bisnis yang sekarang dan dibut uhkan di masa depan

Critica l Lessen Risk respone t erhadap resiko ini bert ujuan unt uk mengurangi likelihood resiko t idak adanya st rat egi IT dengan anjuran pembuat an st rat egi IT . Hal ini dapat diwujudkan dengan penyusunan st rat egi dengan perencanaan sist em IT dan NIST 800-30 unt uk security self-a ssesement Guide

2 T idak adanya ident ifikasi t erhadap proses-proses bisnis perusahaan yang t erkait pada keamanan IT menyebabkan proses monit oring t idak berjalan secara efekt if karena proses bisnis bisa saja t idak t erdet eksi

High Lessen Risk respone t erhadap resiko t erkait keamanan IT jangan sampai sepert i pada NIST 800-30

3 T idak adanya prosedur pencegahan insiden karyawan t erkait kemungkinan adanya insiden