Risk Assesment Sistem Informasi Manajemen Personel atau

Aplikasi Riwayat Hidup (RH) di lingkungan TNI AU

Untuk memenuhi tugas dari mata kuliah Risk Assesment and Security Management (RASM)

Dosen:

Toto Suharto,S.Kom.,MT.

Dibuat Oleh:

Iim Abdurrohim NIM: L.25.012.0010 Muhammad Taher Jupri NIM: L.25.012.0012

Adi Hendrarini NIM: L.25.012.0013

PROGRAM PASCA SARJANA TEKNIK INFORMATIKA

2015

Risk Assesment Sistem Informasi Manajemen Personel atau

Aplikasi Riwayat Hidup (RH) di lingkungan TNI AU

Untuk memenuhi tugas dari mata kuliah Risk Assesment and Security Management (RASM)

Dosen:

Toto Suharto,S.Kom.,MT.

Dibuat Oleh:

Iim Abdurrohim NIM: L.25.012.0010 Muhammad Taher Jupri NIM: L.25.012.0012

Adi Hendrarini NIM: L.25.012.0013

PROGRAM PASCA SARJANA TEKNIK INFORMATIKA

2015

Risk Assesment Sistem Informasi Manajemen Personel atau

Aplikasi Riwayat Hidup (RH) di lingkungan TNI AU

Untuk memenuhi tugas dari mata kuliah Risk Assesment and Security Management (RASM)

Dosen:

Toto Suharto,S.Kom.,MT.

Dibuat Oleh:

Iim Abdurrohim NIM: L.25.012.0010 Muhammad Taher Jupri NIM: L.25.012.0012

Adi Hendrarini NIM: L.25.012.0013

Daftar Isi

1. Studi Organisasi dan Analisa Sistem... 3

1.1. Studi Organisasi Disminpersau... 3

1.2. Analisis Sistem Riwayat Hidup (RH) ... 5

2. Identifikasi Risiko... 5

2.1. Identifikasi Asset... 6

2.2. Identifikasi Ancaman ... 7

2.3. Identifikasi Kerentanan ... 8

2.4. Analisis Tingkat Risiko... 15

2.5. Analisis Dampak Terhadap Sistem... 15

2.6. Evaluasi/ Perlakuan Risiko ... 16

2.7. Mitigasi Risiko... 19

Risk Assesment Sistem Informasi Manajemen

Personel atau Aplikasi Riwayat Hidup (RH) di

lingkungan TNI AU

1. Studi Organisasi dan Analisa Sistem

Penggunaan teknologi informasi oleh TNI Angkatan Udara saat ini masih dalam skala terbatas di beberapa bidang diantaranya Aplikasi Intelijen, Aplikasi Operasi, Aplikasi Logistik, Aplikasi Produksi Kesehatan, Aplikasi Perencanaan Program Kegiatan dan Aplikasi Personel. Khusus di bidang personel, teknologi informasi TNI AU yang telah digunakan dalam rangka peningkatan dan pengembangan pembinaan personel berupa aplikasi terapan meliputi Eksekutif Informasi Sistem (EIS), Riwayat Hidup (RH), Daftar Penghasilan Pokok (DPP), Photobase (personel) dan Nominatif Personel(1)_.

Penggunaan teknologi informasi yang telah diterapkan oleh TNI Angkatan Udara melalui beberapa aplikasi di atas, pada saat ini dilaksanakan oleh Disinfolahta sebagai pengolah data dan manajerial dalam penggunaan sistem data base, software, hardware, operator dan maintenance.

Sedangkan aplikasi terapan khususnya di bidang personel secara umum dilaksanakan di Disminpersau melalui upaya pembinaan tenaga manusia (binpersman) meliputi penyediaan, pendidikan, penggunaan, perawatan dan pemisahan personel.

1.1. Studi Organisasi Disminpersau

Atas dasar Peraturan Kepala Staf TNI Angkatan Udara (Perkasau) tentang Pokok Organisasi dan Prosedur Dinas Administrasi Personel TNI AU;

personel meliputi sebagian fungsi pembinaan personel yang terdiri atas penyediaan/pengadaan, pendidikan, penggunaan, pemisahan dan penyiapan penyaluran personel TNI AU serta pembinaan bidang profesi administrasi dan dinas khusus . Pasal 3 berbunyi: Dalam rangka pelaksanaan tugas Disminpersau menyelenggarakan fungsi-fungsi sebagai berikut(2)_:

a. Menyelenggarakan pembinaan prajurit TNI AU, meliputi: 1) Penyediaan prajurit TNI AU

2) Penggunaan prajurit TNI AU

3) Pemisahan dan penyaluran prajurit TNI AU b. Menyelenggarakan pembinaan PNS TNI AU meliputi:

1) Pengadaan PNS TNI AU 2) Penggunaan PNS TNI AU 3) Pemisahan PNS TNI AU

c. Menyelenggarakan pembinaan profesi Korps Administrasi dan Khusus serta pembinaan Wanita TNI AU.

d. Menyelenggarakan penyiapan calon siswa pendidikan untuk prajurit dan PNS TNI AU.

e. Mengadakan koordinasi dan kerja sama dengan badan-badan dan instansi terkait di dalam dan diluar TNI AU.

f. Mengajukan pertimbangan dan saran kepada Kasau mengenai hal-hal yang berhubungan dengan bidang tugasnya.

Bab II Pasal 4 tentang Susunan Organisasi sebagi berikut:

a. Eselon Pemimpin: Kepala Dinas Administrasi Personel TNI AU, disingkat Kadisminpersau;

b. Eselon Pembantu Pemimpin/Staf: Sekretariat Dinas, disingkat Setdis; c. Eselon Staf Pelaksana:

1) Subdinas Penyediaan Prajurit, disingkat Subdisdiajurit. 2) Subdinas Administrasi Prajurit, disingkat Subdisminjurit. 3) Subdinas Administrasi Pegawai Negeri Sipil disingkat

Subdisminpns.

5) Subdinas Pembina Profesi Administrasi dan Khusus, disingkat Subdisbinprof Adm & Sus.

1.2. Analisis Sistem Riwayat Hidup (RH)

Fokus penilaian risiko yang dijadikan kasus pada penulisan ini adalah pada aplikasi riwayat hidup (RH) personel TNI AU.

Tujuan aplikasi digambarkan dalam diagram ikan dibawah ini:

1.2-1Gambar Tujuan Aplikasi Riwayat Hidup (RH)

2. Identifikasi Risiko

2.1. Identifikasi Asset

Didalam identifikasi asset ini penilaian asset menggunakan metode penilaian kualitatif dari kebutuhan terhadap keterjaminan Confidentiality, Integrity dan Availability (C,I,A) adapun kriteria nya sebagai berikut:

Aspek Keterjaminan

C,I,A Bobot

Low (L) 1

Medium (M) 2

High (H) 3

Adapun daftar identifikasi aset sebagai berikut:

NO KLASIFIKASI_ASSET DESKRIPSI KETERJAASPEK

MINAN

Nilai Asset

1. Data/ Informasi C I A

a. Berkas fisik

Dokumen duplikat berupa: dikum/ ijazah, dikma/dikbangum, kursus pendidikan militer, sk kenaikan pangkat, sk jabatan, tanda kehormatan

L

1 L1 M2 4

b. Data digital

Seluruh data riwayat hidup personel TNI AU dan PNS TNI AU yang tersimpan didalam database dan ditempatkan didalam server

H

3 M2 H3 8

c. Data User Berisi seluruh data user yangmemiliki hak akses kedalam aplikasi personel

H

3 H3 H3 9

2. Perangkat Lunak

a. Sistem operasi Baik di server maupun di klien_{menggunakan SO yang sama} M₂ H₃ M₂ 7 b. Web browser Aplikasi yang digunakan untuk_{menjalankan aplikasi riwayat hidup} M₂ M₂ H₃ 7

c. DBMS Yang digunakan sebagai pengolahdatabase untuk aplikasi riwayat hidup

H

3 H3 H3 9

d. Aplikasi riwayat_hidup Adalah aplikasi utama untukmenjalankan seluruh sistem manajamen personel

H

3 M2 H3 8

3. Perangkat keras dan perangkat jaringan komputer a. Access point Perangkat transmisi data secarawireless menghubungkan node

dengan jaringan

M

2 M2 M2 6

c. Modem Perangkat untuk koneksi jaringan_{lokal dengan penyedia ISP} H₃ M₂ H₃ 8

d. Kabel (UTP) Media transmisi data untukmenghubungkan perangkat satu dengan yang lain

M

2 M2 M2 6

e. PC Server Perangkat komputer yang digunakanuntuk menyimpan aplikasi riwayat hidup

H

3 H3 H3 9

f. Client PC

Semua perangkat komputer baik pc, laptop, notebook, dan tablet yang terhubung dalam jaringan komputer untuk melakukan akses kepada aplikasi riwayat hidup

H

3 H3 M2 8

4. Sumber daya manusia

a. Administrator Orang/ bagian yang melakukan tugasuntuk melakukan maintenance dan manajemen teknologi informasi

H

3 M2 M2 7

b. User akses_terbatas Orang/bagian yang memiliki hakakses terhadap aplikasi dengan batasan tertentu (Non administrator)

M

2 M2 M2 6

c. User umum Orang/bagian yang mendapatkanakses terbatas/ view saja untuk melihat informasi umum

L

1 L1 L1 3

2.2. Identifikasi Ancaman

Dalam menentukan penilaian ancaman terhadap asset ada dua katergori yang dapat dilakukan yaitu melihat kekuatan ancamannya dan kemungkinan seringnya terjadi, adapun bobot masing-masing penilaian ancaman tersebut dibawah ini:

Penilaian ancaman dengan melihat kekuatan ancamanya:

Kekuatan

Ancaman Keterangan Bobot

Low (L) Ancaman tidak mempengaruhi operasi

bisnis 1

Medium (M) Ancaman mempengaruhi operasi bisnis,

tetapi masih bisa ditangani 2

High (H) Ancaman sangat mempengaruhi dan

mengganggu operasi bisnis 3

Penilaian ancaman dengan melihat probabilitas kemungkinan seringnya terjadi ancaman:

Probabilitas Bobot

(J)

Kadang-kadang (K) 2

Sering (S) 3

Ancaman terhadap asset yang dimiliki sebagai berikut:

No Nama Asset Jenis

Ancaman KekuatanAncaman Probabilitas NilaiAncaman 1 Data/ Informasi

a. Berkas fisik Threat-1 L(1) K(2) 2

b. Data digital Threat-2 H(3) K(2) 6

c. Data User Threat-3 H(3) J(1) 3

2. Perangkat Lunak

a. Sistem operasi Threat-4 H(3) K(2) 6

b. Web browser Threat-5 M(2) K(2) 4

c. DBMS Threat-6 H(3) K(2) 6

d. Aplikasi riwayat hidup Threat-7 H(3) K(2) 6

3. Perangkat keras dan_{perangkat jaringan komputer}

a. Access point Threat-8 M(2) K(2) 4

b. Switch/hub Threat-9 M(2) J(1) 2

c. Modem Threat-10 H(3) K(2) 6

d. Kabel (UTP) Threat-11 M(2) K(2) 4

e. PC Server Threat-12 H(3) K(2) 6

f. Client PC Threat-13 H(3) S(3) 9

4. Sumber daya manusia

a. Administrator Threat-14 H(3) K(2) 6

b. User akses terbatas Threat-15 H(3) K(2) 6

c. User umum Threat-16 L(1) J(1) 1

2.3. Identifikasi Kerentanan

Untuk melakukan penilaian tingkat kerentanan ada beberapa teknik penilaian kerentanan diantaranya adalah:

1) Automated vulnerability scanning tools 2) Security testing and evaluation

3) Penetration Testing 4) Code Review

5) Interview people and users 6) Questionnaires

Penetration Testing adalah metode untuk mengevaluasi keamanan sistem komputer atau jaringan dengan mensimulasikan serangan dari sumber yang berbahaya. Sebagai contoh serangan yang dilakukan oleh Black Hat Hacker ,

Cracker , Defacer , dsb(3)_.

Gambar 2.3-1Penetration Testing Roadmap(3)

Penulis menuliskan artikel tentang penetration testing ini sebelumnya akan dijadikan referensi dalam penilaian kerentanan ini tetapi karena sesuatu hal yang belum bisa penulis lakukan sesuai dengan arahan pentesting maka penulis melakukannya dengan cara by referensi internet untuk setiap ancamannya.

Adapun penilaian kerentanan memiliki bobot sebagai berikut:

Nilai Kerentanan Keterangan Bobot

Low (L) Aset yang sulit untuk diubah sehingga

membutuhkan waktu lama untuk diserang 1

Medium (M) Aset yang tidak terlalu sulit untuk diubah tapi dibutuhkan waktu agak lama untuk diserang

2

Daftar identifikasi kerentanannya sebagai berikut:

No Asset Jenis

Ancaman Bentuk Ancaman Kerentanan NilaiKerentanan Total Nilai

1 Data/ Informasi

a. Berkas fisik Threat-1

 Faktor Perusak: Bencana alam dan Manusia (sengaja maupun tidak sengaja) (4)

 Bencana kebakaran(4)

 Ruang penyimpanan karena struktur bangunan, lokasi maupun bahan yang digunakan mudah rusak (4)

 Tidak semua ruang penyimpanan berkas memiliki alarm fire

L(1)

L(1)

2

b. Data digital Threat-2

 Data korups

 Malware/ spyware/ Trojan Horse

 Virus & worm

 Pelanggaran pemeliharaan sistem informasi

 Tidak terdapat proteksi penggunaan komputer terhadap pengguna/ user

 Tidak ada aplikasi pendeteksi dari gangguan keamanan dari komputer

 Setiap user pengguna komputer dengan bebas menggunakan eksternal storage

 Tidak ada mekanisme pengawasan pengguna komputer

c. Data User Threat-3

 Pemberitahuan akses login ke pihak yang tidak

berwenang

 Penyadapan (sniffing)

 Belum ada kebijakan yang mengatur tentang pentingnya akses login pribadi user ke sistem

 Tidak ada proteksi terhadap data yang tersimpan

M(2)

H(3)

5

2. Perangkat Lunak

a. Sistem operasi Threat-4  Error register

 Waktu komputer error

 Tidak dilakukan maintenance berkala

 Tidak adanya pemeriksaan berkala

 Tidak terpasang aplikasi pendeteksi

M(2) M(2)

 Virus & Worm  dan pengamanPengguna dengan bebas

menggunakan eksternal disk M(2)

b. Web browser Threat-5

 Java/ active x error

 Software error

 Web physing

 Tidak ada penjadwalan secara berkala update pada web browser

 Tidak ada aturan yang mengatur instalasi komputer

 Tidak ada konfirmasi yang membenarkan user jika berhasil mengakses situs yang benar

M(2) M(2) M(2)

6

c. DBMS Threat-6

 Aplikasi error (crash)

 Penyalahgunaan hak akses

 Terjadinya error antara koneksi basisdata dengan aplikasi

 Tidak ada pembaharuan dari versi database

 Tidak ada prosedur pemantauan pada penggunaan mesin server

 Tidak ada log untuk mencatat aktifitas administrator dan user lainnya

 Mekanisme atau prosedur

pemeliharaan aplikasi tidak terjadual

L(1) L(1)

M(2)

4

d. Aplikasi riwayat_hidup Threat-7

 Brute force login

 Ilegal encoding

 Kesalahan penggunaan perangkat lunak

 Tidak ada batasan ketika user gagal melakukan login

 Tidak ada batas jumlah karakter password

 Belum ada kebijakan penyandian

 Pemahaman pengguna terhadap antar muka masih kurang

 Kurangnya dokumentasi mengenai

M(2)

L(1) L(1)

 Session Hijacking

 SQL Injection

penggunaan perangkat lunak

 Tidak ada kebijakan yang mengharuskan pengguna membersihkan temporary

 Aplikasi menerima seluruh karakter yang di inputkan

 Kurang pengujian atau validasi pada aplikasi sehingga terbuka untuk di hack

M(2)

M(2)

3. Perangkat keras danperangkat jaringan komputer

a. Access point Threat-8

 Interfensi sinyal

 Guessing password attack

 Pencurian hardware

 Ip address scanning

 Terganggu karena dekat dengan perangkat yang mengganggu sinyal

 Password yang digunakan terlalu mudah

 Terpasang ditempat yang tidak aman

 Konfigurasi jaringan komputer yang masih menggunakan default

L(1)

M(2) H(3) H(3)

9

b. Switch/hub Threat-9

 Kerusakan perangkat

 Pencurian perangkat

 Faktor usia perangkat yang terlalu lama tidak ada update

 Kurangnya perhatian terhadap penyimpanan perangkat

L(1) L(1)

2

c. Modem Threat-10  IP spoofing  Konfigurasi menggunakan defaultKonfigurasi yang tidak memenuhi standar keamanan

 Wiretapping

 telnet remote login

 Ottentifikasi yang terlalu mudah

 Data yang saling bertukar pada media jaringan komputer tidak terlindungi

 Setiap kompter yang terhubung dengan internet dapat mengakses dan melakukan login terhadap router

L(1)

L(1)

d. Kabel (UTP) Threat-11

 Kerusakan fisik kabel jaringan komputer

 Korosi dan pembekuan

 Kurang pemeliharaan kabel karena tidak ada pemeliharaan berkala

 Kurang perhatian pemeliharaan terhadap kabel

L(1)

L(1)

2

e. PC Server Threat-12

 Gangguan listrik

 Api

 DNS spooffing

 Sumber listrik yang tidak stabil

 Tidak dipatuhi kebijakan larangan merokok sehingga api dari rokok menimbulkan kebakaran

 Tidak ada pemantauan terhadap user yang mengakses server

M(2) H(3)

M(2)

7

f. Client PC Threat-13  Pencurian perangkat keras  Kurangnya pengawasan danperlindungan fisik terhadap

penyimpanan media perangkat keras

M(2) 2

4. Sumber daya manusia

a. Administrator Threat-14

 Kesalahan penanganan

 Kesalahan pengkodean programming

 Prosedur rekruitmen personil yang tidak sesuai

 Kesalahan penggunaan perangkat TI

 Pelatihan keamanan yang tidak cukup

 Tidak cukup pengujian terhadap perangkat lunak

L(1)

L(1)

 Pelanggaran ketersediaan

personil  Hanya satu orang yang mengertipengelolaan TI

 Ketidakhadiran personil

L(1)

b. User akses_terbatas Threat-15

 Kesalahan penggunaan perangkat TI

 Pencurian dokumen

 Penyebaran data rahasia

 Pelatihan yang tidak cukup

 Prosedur rekruitmen personil yang tidak sesuai

 Kebijakan hak akses menggunakan infrastruktur TI yang belum memadai

 Bekerja tanpa ada pengawasan yang cukup

 Belum ada aturan atau kebijakan yang mengatur penjaminan data yang bersifat rahasia

M(2)

M(2) M(2)

6

c. User umum Threat-16  Penyalahgunaan hak akses  Kurangnya kebijakan atau aturantentang hak akses menggunakan infrastruktur TI

2.4. Analisis Tingkat Risiko

Untuk menentukan tingkat risiko menggunakan estimasi kuantitatif yaitu:

Tingkat risiko = asset x threat x vulnerability Threat = kekuatan ancaman x probabilitas

Maka daftar ini menunjukkan tingkat risiko yang ada:

No Asset Nilai

Asset NilaiAncaman NilaiKerentanan TingkatRisiko KriteriaRisiko 1 Data/ Informasi

a. Berkas fisik 4 2 2 16 N

b. Data digital 8 6 8 384 D

c. Data User 9 3 5 135 L

2. Perangkat Lunak

a. Sistem operasi 7 6 6 252 H

b. Web browser 7 4 6 168 M

c. DBMS 9 6 4 216 M

d. Aplikasi riwayat

hidup 8 6 8 384 D

3. Perangkat keras dan perangkat jaringan

4. Sumber daya manusia

a. Administrator 7 6 3 126 L b. User akses terbatas 6 6 6 216 M

c. User umum 3 1 3 9 N

2.5. Analisis Dampak Terhadap Sistem

Bobot nilai kriteria dampak terhadap sistem

Bobot

Nilai Kriteria Dampak Batas Bawah Batas Atas

1 Negligible (N) 3 81

2 Low (L) 82 162

3 Medium (M) 163 243

4 High (H) 244 323

Bobot nilai dampak = nilai asset x ancaman x (ancaman x probabilitas) Daftar nilai dampak terhadap sistem

No Asset Nilai

Aset NilaiAncaman Nilai(ancaman x probabilitas)

Nilai

Dampak KriteriaDampak

1 Data/

4. Sumber daya

manusia

a. Administrator 7 3 6 126 L

b. User akses

terbatas 6 3 6 108 L

c. User umum 3 1 1 3 N

2.6. Evaluasi/ Perlakuan Risiko

Access point M T M T AM A A M A T A A M T T A T

Switch/hub N T AM T AM A A AM T T A A AM T T A T

Modem M T M T AM A A M A T A A M T T A T

Kabel (UTP) N T AM T AM A A AM T T A A AM T T A T

PC Server D AM M AM M A A M A AM A A M AM AM A AM

Client PC L T AM T A T T A T T T T A T T T T

Sumber daya manusia

Administrator L T AM T A T T A T T T T A T T T T

User akses

terbatas M T M T AM A A M A T A A M T T A T

User umum N T AM T AM A A AM T T A A AM T T A T

Catatan penjelasan: Diterima = T Dialihkan = A Mitigasi = M

2.7. Mitigasi Risiko

Berkas Fisik

Ancaman Kerentanan Skenario

Daftar Pustaka

1. Devano, Iwan Surya Dharma. OPTIMALISASI SISTEM INFORMASI MANAJEMEN DALAM PEMBINAAN PERSONEL TNI ANGKATAN UDARA

GUNA MENDUKUNG TUGAS PADA LIMA TAHUN MENDATANG. dibaca

pada tanggal 22/04/2015 : http://iwansuryadharma.blogspot.com/, 2009. Internet Blog.

2. TNI MARKAS BESAR ANGKATAN UDARA. Penyempurnaan

Pokok-Pokok Organisasi dan Prosedur Disminpersau Disaeroau. Jakarta :

Peraturan KASAU No. Perkasau/10/III/2008 Tanggal 10 Maret 2008, 2008. Perkasau.

3. Hacking: Penetration Testing Concept. Binus Hacker. [Online] Independent Hacking Community. [Cited: Mei 12, 2015.] http://www.binushacker.net/hacking-penetration-testing-concept.html.