BAB IV ANALISIS RESIKO TEKNOLOGI INFORMASI

(1)

BAB IV

ANALISIS RESIKO TEKNOLOGI INFORMASI

IV.1 Penerapan Alur Metode Analisis Resiko

Kombinasi antara studi literatur dengan studi lapangan yang telah dilakukan, dapat menghasilkan suatu cara di dalam melakukan analisis resiko pada penelitian ini, yaitu dengan mengadopsi beberapa langkah-langkah yang terdapat pada manajemen resiko, dengan melakukan penyesuaian kondisi yang terdapat pada organisasi SBUPE.

IV.1.1 Penerapan Metode Kualitatif di SBUPE

Berikut ini, disajikan suatu alur yang dilakukan pada organisasi SBUPE untuk mengetahui tingkatan resiko secara kualitatif. Penjelasan mengenai alur tersebut, terdapat dalam sub Bab IV.2.

Pengelompokan Asset

Pengukuran Resiko

Tingkat Resiko

Vulnerability pada track and trace Threat pada track and

trace system

Identifikasi Asset dan Valuasi Asset

Information-Gathering Techniques

Profile SBUPE, proses bisnis, Identifikasi asset secara umum

Likelihood, Level Of Impact, Exposure Rating,

Vulnerability Level

(2)

IV.1.2 Penerapan Metode Kuantitatif di SBUPE

Berikut ini, disajikan suatu alur yang dilakukan pada organisasi SBUPE untuk mengetahui tingkatan resiko secara kuantitatif. Penjelasan mengenai alur tersebut, terdapat pada sub Bab IV.3

Gambar IV.2 Alur Penerapan Metode Kuantitatif Pengelompokan

Asset

ARO Threat dan

Vulnerability pada track and trace

system Identifikasi dan

Valuasi Asset Account Officer

Profile SBUPE, proses bisnis, Identifikasi asset

secara umum _{Langkah pada}

kualitatif Information-Gathering Techniques EF SLE ALE Cost/benefit Analysis Hasil Cost/ benefit < 1 ?? Kandidat safeguard diimplementasi Y T

(3)

IV.2 Pengelompokkan Asset

Di dalam memperkirakan penilaian resiko untuk suatu sistem IT, langkah yang pertama adalah menggambarkan lingkup usahanya (scope of the effort). Pada langkah ini, batasan-batasan dari IT mulai diidentifikasi, bersama dengan sumber daya dan informasi yang menjadi dasar sistemnya. Karakter suatu sistem IT dikenali, untuk menetapkan ruang lingkup usaha penilaian resiko, menggambarkan batasan-batasan otorisasi operasional, dan menyediakan informasi yang penting untuk menjelaskan resiko, contohnya:

hardware, software, konektifitas sistem, dan divisi yang bertanggung jawab atau

dukungan personilnya. [3]

Dari hasil analisis sistem seperti yang ditulis pada bab sebelumnya, didapatkan suatu tabulasi mengenai asset yang terdapat pada SBUPE secara umum. Pembuatan tabel ini, bertujuan untuk memudahkan pengelompokkan asset berdasarkan suatu kriteria (lihat tinjauan pustaka). Untuk pengelompokkan asset pada track and trace system terdiri dari:

- Information Asset, terdiri dari juklak, juknis, data keuangan perusahaan, data konsumen, dan data personil perusahaan,

- Paper Document, terdiri dari surat izin usaha, kontrak kerja, resi pengiriman APE, dan PKS,

- Software Asset, terdiri dari website, database, aplikasi perkantoran, sistem operasi, dan APE,

- Physical Asset, terdiri dari gedung, PC Desktop, dan barcode reader/gun reader. - People, terdiri dari karyawan PT. Pos dan karyawan outsourching,

- Service terdiri dari komunikasi track and trace system, listrik, jaringan komputer, telepon dan produk.

Nama-nama asset untuk klasifikasi tersebut di atas, dapat dilihat dalam Tabel IV.1 mengenai pengelompokkan asset yang terdapat pada SBUPE.

(4)

Tabel IV.1 Pengelompokkan Asset SBUPE

NO KLASIFIKASI ASSET NAMA ASSET ** KETERANGAN

1 Information Asset Juklak Petunjuk pelaksanaan

Juknis Petunjuk teknis

Data keuangan perusahaan

Data konsumen

Data personil perusahaan

2 Paper Document Surat izin usaha

Kontrak kerja

Resi pengirimam APE Aplikasi pos express

PKS Perjanjian kerja sama

3 Software Asset Website

Database

Aplikasi perkantoran

Sistem Operasi

APE Aplikasi pos express

4 Physical Asset Gedung

PC desktop Personal Computer

Barcode reader / Gun reader

Printer

5 People Karyawan PT.Pos

Karyawan Outsourcing

6 Service Komunikasi T&T Track and trace

Listrik

Jaringan Komputer

Telepon

Produk

** Sumber: [21].

IV.3 Analisis Resiko Secara Kualitatif

Dari sekian banyak cara yang dapat digunakan untuk menganalisis resiko, terdapat dua metode dasar yang dapat digunakan yaitu penilaian secara kualitatif dan kuantitatif. Penilaian secara kualitatif dilakukan berdasarkan intuisi, sehingga pendekatan analisis resiko yang dilakukan relative sangat subyektif. Metode ini tidak menghasilkan pengukuran yang dapat menghitung spesifikasi besaran dari dampaknya, oleh karena itu pembuatan analisis cost-benefit mengenai rekomendasi pengendalian sulit diterapkan. Walaupun demikian metode dasar ini sangat diperlukan, untuk langkah awal analisis resiko secara kuantitatif.

(5)

IV.3.1 Identifikasi dan Valuasi Asset

Dari hasil pengelompokan asset secara umum yang terdapat di SBUPE (Tabel IV.1), selanjutnya dilakukan identifikasi pada asset yang berinteraksi secara langsung dengan

track and trace system. Di dalam tahap ini, dilakukan beberapa Information-Gathering Techniques (lihat tinjauan pustaka), dengan tujuan untuk mengumpulkan informasi yang relevant pada sistem IT dalam batasan operasional, sehingga dapat dilakukan pemberian range value pada asset-nya. Secara operasional, asset yang berinteraksi langsung dengan

batasan track and trace system SBUPE dapat dilihat dalam Table IV.2. Tabel IV.2 Identifikasi Asset dan Valuasi

NO. ASSET RANGE VALUE DESCRIPTION

1 PC Desktop: client HIGH Hardware

2 PC Desktop: server HIGH Hardware

3 Barcode Reader HIGH Hardware

4 Printer MEDIUM Hardware

5 HUB Link HIGH Hardware

6 Operating System MEDIUM Software

7 Aplikasi Pos Express HIGH Software

8 Website HIGH Software

9 Database HIGH Software

10 Aplikasi Perkantoran LOW Software

11 Karyawan PT. Pos HIGH People

12 Karyawan Outsourching HIGH People

13 Data Elektronik MEDIUM Information

14 Resi Pengiriman HIGH Information

15 Juklak dan Juknis LOW Information

IV.3.2 Threat Pada Track and Trace System

Ancaman merupakan potensi untuk suatu threat-source tertentu terjadi pada suatu

vulnerability, sebagai trigger eksploitasi kelemahan yang disengaja ataupun tidak

disengaja. Threat-source tidak akan menghasilkan resiko jika tidak ada vulnerability yang digunakan. Tujuan dari langkah ini adalah untuk mengidentifikasi potensi dari

threat-sources dan penyusunan suatu daftar yang memaparkan ancaman potensi threat-threat-sources

sehingga dapat diterapkan pada sistem IT yang dievaluasi. Suatu threat-source digambarkan sebagai keadaan atau peristiwa dengan potensi yang menyebabkan

(6)

kerusakan pada suatu sistem IT. Pada umumnya, threat-sources berasal dari alam, manusia, atau lingkungan. Prosedur yang dilakukan di SBUPE, pada saat mengidentifikasi threat untuk track and trace system adalah sebagai berikut:

a. Berdasarkan asset yang telah diidentifikasi dan valuasinya, dilakukan pembuatan

list/daftar kemungkinan threat yang terjadi,

b. Dari list/daftar tersebut, didapatkan suatu kemungkinan beberapa threat, yang kemudian dilakukan pencarian keterkaitan atau kecocokan, antara semua kemungkinan vulnerability dan threat tersebut,

c. Jika threat tersebut memiliki keterkaitan/kecocokan dengan suatu vulnerability yang dapat menghasilkan resiko, maka threat tersebut ditetapkan sebagai sumber

threat pada list/daftar threat,

d. Jika threat tersebut tidak memiliki keterkaitan/kecocokan dengan suatu

vulnerability untuk menghasilkan resiko, maka lakukan penghapusan threat dari

daftar/list tersebut,

e. Lakukan pengulangan prosedur b, c, dan d untuk semua threat yang terdapat pada

list/daftar threat,

f. Berdasarkan prosedur yang telah dilakukan, akan dihasilkan suatu daftar resiko, g. Lakukan pengukuran resiko tersebut.

Di dalam menentukan Likelihood Of Occurrence, selain didapatkan dari data survey organisasi yang memantau statistik kejadian suatu insiden atau berdasarkan pengalaman suatu organisasi, sumber yang dapat dijadikan referensi dalam pemberian nilai adalah hasil melalui Information-Gathering Techniques.Terdapat dua teknik yang dapat dipergunakan di SBUPE dalam melakukan analisis resiko di-track and trace system, yaitu On-site Interviews dan Document Review (lihat karakteristik sistem pada tinjauan pustaka).

Likelihood Of Occurrence adalah kemungkinan banyaknya suatu threat yang terjadi

dalam suatu kurun waktu, dimana dalam proses penentuannya sangat subyektif. Metode untuk menentukan value-nya dapat dilakukan dengan memberikan suatu rating secara kualitatif, sebagai berikut: [8]

(7)

• High (3) = 71% - 100% • Medium (2) = 31% - 70% • Low (1) = 1% - 30%

Terdapat tiga aspek keamanan yang ditinjau terkait sistem SBUPE berdasarkan C.I.A triangle model, sebagai berikut:

• Confidentiality, harus dapat menjamin, bahwa hanya karyawan tertentu saja yang memiliki hak untuk dapat mengakses informasi tertentu.

• Integrity, harus menjamin kelengkapan informasi dan menjaga dari korupsi, kerusakan, atau ancaman lain yang menyebabkannya perubahan dari aslinya. • Availability: adalah aspek keamanan informasi yang menjamin pengguna dapat

mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini adalah manusia atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi.

Human dan Non-Human merupakan pelaku yang mempunyai potensi threat pada track and trace system dengan value berikut ini. Untuk hasil threat assesment yang terdapat

pada sistemnya dapat dilihat dalam Tabel IV.3.

Tabel IV.3 Threat Assesment

No Actor Klasifikasi Threat Likelihood of _occurrence Source C I A

1 Human Deliberate Administration failure High √

2 Human Deliberate Assault on an employee Low √ √

3 Human Deliberate Blackmail Medium √ √

4 Human Deliberate Bomb/Terrorism Low √ √

5 Human Deliberate Browsing of proprietary information Medium √ 6 Non Human

Accidental Client/server failure High _{√ √}

7 Human Deliberate Computer abuse High √ √ √

8

Human

Deliberate

Computer crime (cyber stalking)

Low _{√ √}

9 Human Deliberate Credit card fraud Low √ √

10 Human Deliberate Disgruntled employees High √ √ √ Non

Human

Nature Earthquake Medium _√

11

Information-Gathe

ring Techniques

√ √

Human Deliberate Economic exploitation Low 12

(8)

Tabel IV.3 (Lanjutan) Threat Assesment

No Actor Klasifikasi Threat Likelihood of _occurrence Source C I A

13 Human Deliberate Fraud and theft Medium √ √ √ 14 Human Deliberate Fraudulent act (replay,

impersonation, interception)

Medium

√ √ √

15 Human Deliberate Hacking Medium √ √

16 Human Deliberate Information bribery Medium √ √ 17 Human Deliberate Information theft Medium √ √

18 Human Deliberate Information warfare Medium √ √

19 Human Low Input of falsified, corrupted data

Medium √

√

20 Human Deliberate Interception Low √ √

21 Human Low Intrusion on personal privacy

Medium

√ √

22 Human Deliberate Malicious code (virus, logic bomb, Trojan horse)

High _{√ √}

23 Human Deliberate Negligent persons Medium √ √

24 Non Human

Accidental Power failure Medium _{√ √}

25 Human Deliberate Sabotage of data Medium √ √

26

Human Deliberate Sale of personal information

Medium _{√ √ √}

27 Human Deliberate Social engineering Low √ √

28 Human Deliberate Spoofing Low √ √

29 Human Deliberate System attack (distributed denial of service)

Medium _{√ √}

30 Human Deliberate System bugs Medium √ √

31 Human Deliberate System intrusion Medium √ √

32 Human Deliberate System penetration Medium

Information-Gathering T

echniques

√ √

33 Human Deliberate System sabotage Low √ √

34 Human Deliberate System tampering Low √ √

35 Human Deliberate Telecom fraud Low √ √

36 Human Deliberate Terminated employees Low √

37 Human Deliberate Theft of laptop/PC Medium √ √ √ 38 Human Deliberate Theft of proprietary data Medium √ √ √ 39 Human Deliberate Unauthorized access Medium √ √

Medium Human Deliberate Unauthorized system

access (access to classified, proprietary, and/or technology-related information) 40 √ √ √

Human Deliberate Web browser privacy Low √

(9)

IV.3.3 Vulnerability Pada Track & Trace System

Vulnerability merupakan kelemahan yang ada pada asset dalam suatu organisasi. Vulnerability tidak menyebabkan rusaknya suatu asset, melainkan menciptakan suatu

kondisi yang dapat mengakibatkan threat terjadi. Analisis suatu ancaman pada suatu sistem IT harus meliputi suatu analisis hubungan vulnerability dengan sistem lingkungannya. Tujuan dari langkah ini untuk mengembangkan daftar rincian

vulnerability (kekurangan atau kelemahan) yang dapat dieksploitasi atau dimanfaatkan

oleh potensi threat. Prosedur yang dilakukan di SBUPE, pada saat mengidentifikasi

vulnerability untuk track and trace system adalah sebagai berikut.

a. Berdasarkan asset yang telah diidentifikasi dan valuasinya, dilakukan pembuatan

list/daftar kemungkinan vulnerability terjadi.

b. Dari list/daftar tersebut, didapatkan suatu kemungkinan beberapa vulnerability, yang kemudian dilakukan pencarian keterkaitan atau kecocokan, antara semua kemungkinan threat dan vulnerability tersebut.

c. Jika vulnerability tersebut memiliki keterkaitan/kecocokan dengan suatu threat yang dapat menghasilkan resiko, maka vulnerability tersebut termasuk di dalam

list/daftar untuk vulnerability.

d. Jika vulnerability tersebut tidak memiliki keterkaitan/kecocokan dengan suatu

threat untuk menghasilkan resiko, maka lakukan penghapusan vulnerability dari

daftar/list tersebut.

e. Lakukan pengulangan prosedur b, c, dan d untuk semua vulnerability yang terdapat pada list/daftar vulnerability.

f. Berdasarkan prosedur e yang telah dilakukan, akan dihasilkan suatu daftar resiko. g. Lakukan pengukuran resiko tersebut

(10)

Untuk hasil identifikasi vulnerability pada organisasi ini, dapat dilihat dalam Tabel IV.4. Tabel IV.4 Daftar Vulnerability pada Asset Organisasi

No. Vulnerability Asset

Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE.

1

Pengubahan User Id atau password tidak dilakukan oleh unit processing

2

Tidak adanya user interface dari aplikasi, untuk fasilitasitas pengubahan User Ide atau password

3

Pemberian privileges untuk APE tidak dapat langsung dilakukan oleh supervisor, hanya dapat dilakukan oleh pihak pembuat aplikasi (divisi Teksisfo)

Aplikasi Pos Ekspres

4

Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi

5

Masih terjadi scanning barcode pada resi tidak dapat dibaca oleh Gun/Barcode Reader

6

Tidak adanya pengawasan penggunaan barcode yang rusak/sobek

Resi

pengirimam APE

7

Standard operating procedure dari juklak tidak dilaksanakan 8

Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi.

9

Tidak adanya keberlanjutan revisi untuk juklak beserta dokumentasinya

Juklak 10

Standard operating procedure dari juknis tidak dilaksanakan 11

12

Juknis Tidak adanya keberlanjutan revisi untuk juknis beserta

dokumentasinya 13

14

Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi APE dengan proses akuntansi

Data keuangan perusahaan

15 Hak akses pada unit processing tidak terbatas dalam mengubah

data konsumen pada database APE

16 Data konsumen tidak tidak dirahasiakan, melainkan di-publish

pada LAN.

Data konsumen

(11)

Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi

Data personil melalui LAN dapat diakses dan tidak dilakukan batasan dalam pengungkapan informasi

17

Hasil penilaian kecakapan personil tidak ditutupi, melainkan di-publish pada area LAN.

Data personil perusahaan 18

Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini. Surat izin usaha 19

20

Anggaran untuk melakukan pelatihan komputer

(software/hardware) tidak ada dalam rencana kerja anggaran pada saat tahun berlangsung

21

Tidak adanya pengawasan fisik terhadap web server secara langsung oleh unit ini, ditempatkan pada ruang server gedung pos bandung

Unit ini tidak mempunyai personil khusus yang menangani

masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung

22

Website

23

Anggaran untuk melakukan pelatihan komputer

(software/hardware) tidak ada dalam rencana kerja anggaran pada saat tahun berlangsung

Tidak adanya pengawasan fisik terhadap server database secara langsung oleh unit ini, ditempatkan pada ruang server gedung pos bandung

24

Unit ini tidak mempunyai personil khusus yang menangani

masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung

25

Database

26 Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini.

Surat Kontrak kerja Antivirus yang sudah ter-install pada komputer, tidak di-update

atau diperbaharui versi untuk database antivirus yang ada.

Aplikasi perkantoran 27

Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi.

Sistem Operasi 28

Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak

diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Gedung

29

Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan.

30

Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui versi untuk database antivirus yang ada. 31

Unit ini tidak mempunyai personil khusus yang menangani kerusakan hardware/sotware.

PC desktop 32

(12)

Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional

33

Barcode pada paket/barang kiriman tidak dapat dibaca oleh Gun/barcode Reader

34

Sensitive ketika scanning kertas barcode tidak stabil

Barcode reader/ Gun reader 35

36

Tidak adanya cadangan pita printer

Printer 37

Tidak adanya pembinaan rohani yang dilakukan secara berkala. 38

Pelatihan hardware/software untuk mendukung operasional tidak dilakukan pada semua personil

39

Sosialisasi/presentasi awal terhadap produk baru yang dihasilkan oleh organisasi tidak dilakukan.

40

Pengembangan wawasan baru mengenai jasa kurir tidak dilakukan pada semua personil

Karyawan PT.Pos 41

Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini. PKS 42

Tidak adanya pembinaan rohani yang dilakukan secara berkala. 43

Pelatihan hardware/software untuk mendukung operasional tidak dilakukan pada semua personil

44

Sosialisasi/presentasi awal terhadap produk baru yang dihasilkan oleh organisasi tidak dilakukan.

45

Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil

Karyawan Outsourcing 46

Tidak adanya kebijakan yang mengatur hak akses data/informasi jika terjadi pengungkapan informasi.

47

Komunikasi T&T

Jika terjadi down pada server, maka komunikasi track and trace system dilakukan melalui pesawat telephone.

48

UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan.

49

Tidak adanya pengawasan penggunaan listrik 50

Listrik

51

Di dalam menggunakan suatu sumber daya pada unit ini, tidak ada prosedur khusus yang membuat pengawasan penggunaan semua sumber daya.

Untuk arsitektur jaringan komputer unit ini tidak terpisah, masih digabungkan dengan unit kerja yang ada di gedung pos bandung. 52

Jaringan Komputer

(13)

Sambungan telephone yang terdapat pada unit ini, tidak menggunakan kode password atau lock

53

54 Tidak ada pengawasan dalam penggunaan telepon Telephone

Tidak ada penempatan khusus untuk posisi pesawat telepon, ada pada ruangan umum unit processing.

55

56

Di dalam menggunakan suatu sumber daya produk pada unit ini, tidak ada prosedur khusus yang membuat pengawasan penggunaan semua sumber daya.

57 Jika tidak terdapat suatu kasus pada saat operasional, maka

pengembangan produk tidak dilakukan

58 Untuk pengembangan produknya, tidak melibatkan unit Pos

Ekspress.

Produk

IV.3.4 Resiko Pada Track & Trace System

Dari hasil identifikasi threat dan vulnerability, akan didapatkan suatu resiko dengan melakukan keterkaitan dan kecocokan setiap threat dan vulnerability yang terjadi. Berikut ini disajikan suatu tabulasi (Tabel IV.5) hasil dari threat dan vulnerability yang menghasilkan suatu resiko pada organisasi atau unit ini.

Ukuran dari suatu resiko berasal dari kombinasi antara exposure rating, level

vulnerability, dan tingkat efektifitas safeguard. Secara sederhana, pengukuran resiko

secara kualitatif dilakukan dengan memberikan skala high, medium, dan low. Pengukuran resiko dengan skala tersebut memiliki kekurangan, yaitu untuk resiko dengan exposure,

vulnerability, dan safeguard yang bernilai high, akan memiliki hasil yang sama dengan

resiko untuk exposure, vulnerability, dan safeguard yang bernilai low. Oleh karena itu, untuk tingkatan pengukuran resiko diberikan lima skala, yaitu: [8]

• High = 5

• Moderately high = 4 • Medium = 3

• Low = 2 • Very low = 1

Pada Tabel II.8, penentuan resiko dilakukan secara conservative dengan vulnerability

level lebih berperan terhadap perubahan tingkat resiko, jika dibandingkan dengan safeguard effectiveness.

(14)

Tabel IV.5 Daftar Resiko di SBUPE

THREAT VULNERABILITY RESIKO TINGKAT/

NILAI **

Administration

failure Pengembangan wawasan mengenai _{jasa kurir tidak dilakukan pada} semua personil Pengubahan data Moderately high(4) Client/server failure

Kerusakan data

elektronik _High(5)

Computer abuse

Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE.

Pencurian Asset Informasi

High(5)

Earthquake Kerjasama dengan pihak asuransi

yang ada pada unit ini, tidak

diperbaharui/tidak mencakup untuk kondisi sumber daya terkini.

Kerusakan akibat

api atau air _Medium(3)

Fraud and theft Tidak adanya keberlanjutan revisi untuk juknis beserta

dokumentasinya Pencurian High(5) Fraudulent act (replay, impersonation, interception)

Pengungkapan informasi secara

tidak tepat Medium(3)

Malicious code (virus, logic bomb, Trojan horse)

Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui untuk versi database antivirus yang ada.

Terinfeksi virus High(5)

Power failure UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Kegagalan hardware/software Moderately high(4) Theft of laptop/PC

Pencurian Very low(1)

(15)

Tabel IV.5 (Lanjutan) Daftar Resiko di SBUPE

THREAT VULNERABILITY RESIKO TINGKAT/

NILAI ** Unauthorized

access

Tidak adanya pelaksanaan

rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Penyalahgunaan data Medium(3) Unauthorized system access (access to classified, proprietary, and/or technology-related information)

Unit ini tidak mempunyai personil khusus yang menangani masalah teknis

harware/software/networking, masih ditangani oleh divisi IT

gedung pos Bandung Hak akses illegal Very low(1)

** Hasil perhitungan pada Tabel IV.6

IV.3.5 Pengukuran Resiko

Di dalam proses pengukuran resiko secara kualitatif, nilai likelihood didapatkan dari

Information-Gathering Techniques berdasarkan tabel IV.3. Sedangkan untuk menentukan

nilai skala high = 3, medium = 2, dan low = 1, dapat dilihat dari Tabel II.4.

Untuk menentukan nilai Level of impact, estimasinya berdasarkan threat pada Tabel IV.5. Kemudian, untuk skala high, medium, dan low, dapat lihat Tabel pada II.5.

Berdasarkan nilai likelihood dan impact, kemudian dilakukan penentuan exposure rating dengan referensi Tabel II.10.

Vulnerability berdasarkan estimasi dengan berpedoman pada threat (action) yang

dihasilkannya.

Risk level matrik dalam Tabel II.7 dapat dijadikan referensi untuk memberikan penilaian

resiko. Untuk pemberian nilai resiko pada laporan ini, menggunakan pengembangan dari Tabel II.8, dimana nilai resikonya berdasarkan pada exposure rating, vulnerability level, dan safeguard effectiveness.

(16)

Tabel IV.6 Pengukuran Resiko Vulnerability Likeliho od Lev el Of Impa ct Exposure Rati ng Vulbera b ility Lev el Risk Threat Administration failure

Pengembangan wawasan mengenai jasa kurir

tidak dilakukan pada semua personil 3 2 8 1 4 Client/server

failure

3 3 9 3 5 Computer abuse Standar operating procedure tidak

dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE.

3 2 8 3 5 Earthquake Kerjasama dengan pihak asuransi yang ada

pada unit ini, tidak diperbaharui/tidak

mencakup untuk kondisi sumber daya terkini.

2 2 6 2 3 Fraud and theft Tidak adanya keberlanjutan revisi untuk

juknis beserta dokumentasinya 2 1 3 3 5

Fraudulent act (replay, impersonation, interception)

2 2 6 2 3 Malicious code

(virus, logic bomb, Trojan horse)

Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui

untuk versi database antivirus yang ada. 3 3 9 3 5 UPS yang sudah terinstalasi pada unit ini,

pemeliharaannya tidak dilaksanakan. 2 2 6 3 4 Power failure

Theft of

laptop/PC 2 1 3 1 1

Unauthorized access

Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi 2 2 6 2 3 Unauthorized system access (access to classified, proprietary, and/or technology-related information)

Unit ini tidak mempunyai personil khusus yang menangani masalah teknis

harware/software/networking, masih

ditangani oleh divisi IT gedung pos Bandung

(17)

IV.4 Analisis Resiko Secara Kuantitatif

Untuk melakukan suatu analisis resiko secara kuantitatif, perlu menentukan hubungan suatu nilai dari kerugian-kerugian potensial dengan proses yang tertunda, kerusakan properti, atau data. Kemudian perlu juga dilakukan perkiraan kemungkinan kejadian dari kegagalan resiko, sehingga akhirnya dapat diperhitungkan perkiraan kerugian pertahunnya.[10].

IV.4.1 Identifikasi dan Valuasi Asset

Studi mengenai identifikasi, valuasi asset (secara subyektif), threat, dan vulnerability

assessment telah dilakukan pada prosedur analisis resiko secara kualitatif. Selanjutnya,

pada prosedur kuantitatif dilakukan perhitungan yang mengarah pada analisis cost-benefit dengan menggunakan value berupa suatu besaran satuan mata uang (rupiah). Berdasarkan data-data dari hasil analisis sistem yang sedang terjadi di SBUPE dan formula perhitungan analisis resiko secara kuantitatif, didapatkan hasil seperti dalam Tabel IV.7, dengan hasil perhitungan asset dari unit Account Officer yang sudah bernilai tangible.

Tabel IV.7 Identifikasi dan Valuasi Aset

** Sumber: Peraturan Dinas No. 6 (Akuntansi)

No.

NAMA ASET JUMLAH

NILAI SATUAN (Rp.) ** NILAI TOTAL (Rp.)**

1 PC Desktop: client IBM PC 300 GL 8 unit 6,800,000.00 54,400,000.00 2 PC Desktop: server IBM System _X3250 1 unit 13,850,000.00 13,850,000.00 3 Barcode Reader NEC 9 unit 950,000.00 8,550,000.00 4 Printer Epson LQ1170 3 unit 875,000.00 2,625,000.00 5 Hub/ Switch ATi 16 port 10/ 100 2 unit 600,000.00 1,200,000.00 6 Operating System Microsoft E85-02667 8 paket 2,800,000.00 22,400,000.00 7 Aplikasi Pos Express 1 paket 5,000,000.00 5,000,000.00

8 Website 1 paket 4,000,000.00 4,000,000.00

9 Database 1 paket _- _- 10 Aplikasi Perkantoran 1 paket 2,000,000.00 2,000,000.00

11 Karyawan Pos 16 orang 2,500,000.00 40,000,000.00

(18)

Tabel IV.7 (Lanjutan) Identifikasi dan Valuasi Aset

** Sumber: Peraturan Dinas No. 6 (Akuntansi)

IV.4.2 Threat dan Vulnerability Assessment

Pada kuantitatif, nilai ARO (Annualized Rate Of Occurrence) dipergunakan untuk perkiraan atau estimasi frekuensi sebuah resiko yang dapat terjadi dalam statu periode tertentu, seperti yang diperlihatkan Dalam Tabel IV.8. Misalnya sebagai berikut.

• Jika suatu threat terjadi sebanyak 1 kali dalam 8 tahun, maka ARO yang terjadi adalah 1/8 = 0.13.

• Jika pencurian terjadi sebanyak 1 kali dalam 12 tahun, maka ARO yang terjadi adalah 1/12 = 0.08.

• Jika pencurian terjadi sebanyak 1 kali dalam 4 tahun, maka ARO yang terjadi adalah 1/4 = 0.25.

Tabel IV.8 Kemungkinan terjadi threat berdasarkan ARO

Actor Klasifikasi Threat ARO Source C I A

Deliberate Unauthorized access 1 √ √

Deliberate

Malicious code (virus, logic bomb, Trojan horse)

1 _{√ √}

Deliberate

Unauthorized system access (access to classified,

proprietary, and/or technology-related information)

6

√ √ √

Accidental Administration failure 1 √ √ √

Deliberate Fraud and theft 0.13 √ √

Deliberate Computer abuse 0.13 √ √

Deliberate Theft of laptop/PC 0.08 √ √

Human Deliberate

Fraudulent act (replay, impersonation, interception)

0.25

√ √

Nature Earthquake 0.25 √

Accidental Client/server failure 6 √ √

Non-human

Accidental Power failure 0.25

Information-Gathering T echniques √ No. NAMA ASET JUMLAH NILAI SATUAN (Rp.) ** NILAI TOTAL (Rp.)**

13 Data Elektronik 1 unit 20,000,000.00 20,000,000.00

14 Resi Pengiriman 1 Paket _{(500 lembar)} 1,000,000.00 1,000,000.00 15 Juklak dan Juknis 1 bundel 20,000,000.00 20,000,000.00

(19)

Exposure rating (EF) yang dimiliki setiap asset nilainya berbeda terhadap suatu threat,

sehingga terdapat asset yang invulnerable terhadap threat dan terdapat pula asset yang sangat vulnerable terhadap threat.

Persentase penilaian suatu asset loss yang disebabkan oleh identifikasi threat, pemberian estimasi ranges-nya diantara 0% sampai 100%, lihat Tabel II.11 mengenai estimasi nilai

EF. Dalam menentukan value estimasinya, Information-Gathering Techniques yang

dilakukan pada SBUPE dapat dijadikan referensi suatu estimasi presentase untuk

exposure rating.

Berikut ini, diperlihatkan suatu tabulasi mengenai pemetaan nilai asset terhadap ARO serta exposure rating-nya. (Tabel IV.9)

(20)

Tabel IV.9 Exposure Rating THRE AT Una uthorized a ccess Mal ic ious co de (vi rus , l ogi c bo mb, Tr oj an h or se) Una ut hor ize d s ystem acces s (access to classified, proprietary, and/ or technology-related info rmatio n) Ad ministratio n failure Fra ud and t heft Computer abus e Th eft of lap to p/PC Fra ud ul ent act (re pl ay, im pe rs onat io n, in tercep tion) Eart hqua ke Clien t/serv er failu re Po wer failu re ASET VALUE AR O ₁ ₁ ₆ ₁ 0. 13 0. 13 0. 08 0. 25 0. 25 6 0. 25

PC Desktop: client IBM PC 300 GL 54,400,000 40% 60% 40% 20% 40% 20% 80% 80% 80% 60% 20% PC Desktop: server IBM System X3250 13,850,000 20% 40% 40% 20% 40% 20% 80% 80% 80% 60% 20%

Barcode Reader NEC 8,550,000 0% 0% 0% 0% 0% 20% 80% 0% 80% 60% 0%

Printer Epson LQ1170 2,625,000 0% 0% 0% 0% 0% 0% 80% 0% 80% 60% 0%

Hub/ Switch ATi 16 port 10/ 100 1,200,000 0% 0% 0% 0% 0% 0% 80% 0% 80% 60% 20%

Operating System Microsoft E85-02667 22,400,000 20% 80% 40% 60% 0% 0% 80% 0% 80% 40% 20%

Aplikasi Pos Express 5,000,000 20% 60% 20% 60% 0% 20% 40% 80% 80% 40% 20%

Website 4,000,000 20% 40% 0% 0% 0% 0% 80% 0% 80% 40% 20% Database - 0% 0% 20% 0% 0% 0% 80% 40% 80% 40% 20% Aplikasi Perkantoran 2,000,000 0% 40% 0% 40% 0% 0% 60% 0% 80% 40% 20% Karyawan Pos 40,000,000 0% 0% 20% 0% 60% 40% 60% 0% 80% 0% 0% Karyawan Outsourching 16,200,000 0% 0% 20% 0% 60% 40% 60% 0% 80% 0% 0% Data Elektronik 20,000,000 40% 20% 0% 60% 40% 20% 40% 80% 80% 80% 20% Resi Pengiriman 1,000,000 20% 0% 20% 20% 0% 0% 0% 0% 80% 0% 0%

(21)

Single Loss Expectancy (SLE) adalah nilai kerugian terhadap asset bila sebuah resiko

yang teridentifikasi terjadi. Formula untuk menghitung SLE adalah Asset Value x

Exposure factor, sehingga data-data SLE yang terdapat pada Tabel IV.10 berasal dari

nilai total (rupiah) suatu asset dengan nilai EF pada tabel exposure rating. Contoh perhitungan untuk SLE pada SBUPE dijelaskan di bawah ini.

Diketahui:

• Asset dengan nama PC Desktop client IBM PC 300 GL, • Nilai total dari asset sebesar Rp.54.400.000.00,

• EF untuk asset tersebut berdasarkan tabel exposure rating adalah 40%. Dengan formula perhitungan SLE maka didapatkan hasil sebesar Rp.21.760.000.00. Untuk hasil perhitungan lengkap semua nilai SLE, dapat dilihat pada tabel IV.9 mengenai

(22)

Tabel IV.10 Single Loss Expectancy THREAT Unauthorized acce ss Malicious code (virus, logic bo mb, Trojan horse) Una uthorized s ystem acces s (access to classified, prop ri et ary , a nd/ or tech no log y-rel ated information ) Administration failure

Fraud and the

ft

Computer abuse _{Theft of laptop/PC}

Fraudulent act (replay,

impersonation, interception)

Earthquake

Client/server failure

Power failure

ASET VALUE ARO 1 1 6 1 0.

13 0. 13 0. 08 0. 25 0. 25 6 _0.25

PC Desktop: client IBM PC 300 GL 54,400,000 21,760,000 32,640,000 21,760,000 10,880,000 21,760,000 10,880,000 43,520,000 43,520,000 43,520,000 32,640,000 10,880,000

PC Desktop: server IBM System X3250 13,850,000 2,770,000 5,540,000 5,540,000 2,770,000 5,540,000 2,770,000 11,080,000 11,080,000 11,080,000 8,310,000 2,770,000

Barcode Reader NEC 8,550,000 - - - 1,710,000 6,840,000 - 6,840,000 5,130,000 -

Printer Epson LQ1170 2,625,000 - - - - 2,100,000 - 2,100,000 1,575,000 -

Hub/ Switch ATi 16 port 10/ 100 1,200,000 - - - - 960,000 - 960,000 720,000 240,000

Operating System Microsoft E85-02667 22,400,000 4,480,000 17,920,000 8,960,000 13,440,000 - - 17,920,000 - 17,920,000 8,960,000 4,480,000

Aplikasi Pos Express 5,000,000 1,000,000 3,000,000 1,000,000 3,000,000 - 1,000,000 2,000,000 4,000,000 4,000,000 2,000,000 1,000,000

Website 4,000,000 800,000 1,600,000 - - - - 3,200,000 - 3,200,000 1,600,000 800,000 Database 0 - - - Aplikasi Perkantoran 2,000,000 - 800,000 - 800,000 - - 1,200,000 - 1,600,000 800,000 400,000 Karyawan Pos 40,000,000 - - 8,000,000 - 24,000,000 16,000,000 24,000,000 - 32,000,000 - - Karyawan Outsourching 16,200,000 - - 3,240,000 - 9,720,000 6,480,000 9,720,000 - 12,960,000 - - Data Elektronik 20,000,000 8,000,000 4,000,000 - 12,000,000 8,000,000 4,000,000 8,000,000 16,000,000 16,000,000 16,000,000 4,000,000 Resi Pengiriman 1,000,000 200,000 - 200,000 200,000 - - - - 800,000 - - - - - - - - - - 20,000,000

(23)

Annualized Loss Expectancy (ALE) adalah nilai estimasi kerugian pertahun terhadap asset, jika sebuah resiko yang teridentifikasi terjadi. Formula untuk menghitung ALE

adalah Single Loss Expectancy x Annualized Rate of Occurrence, sehingga data-data ALE yang terdapat Tabel IV.11 berasal dari SLE dalam Tabel IV.10 dengan nilai ARO suatu

threat yang terjadi. Contoh perhitungan untuk ARO pada SBUPE dijelaskan di bawah ini.

Diketahui:

• Asset dengan nama PC Desktop client IBM PC 300 GL, • Nilai total dari asset sebesar Rp.54.400.000.00,

• EF untuk asset tersebut berdasarkan tabel exposure rating adalah 40%, • Mempunyai nilai SLE sebesar Rp.21.760.000.00,

• Dari tabel IV.7 didapatkan nilai ARO-nya adalah 1.

Dengan menggunakan formula perhitungan ARO, maka didapatkan hasil sebesar Rp.21.760.000,00

Untuk hasil perhitungan lengkap semua nilai ARO, dapat dilihat pada Tabel IV.11 mengenai Annualized Loss Expectancy.

(24)

Tabel IV.11. Annualized Loss Expectancy THREA T Unauthorized acce ss M alicious code (v ir us, logic bom b, T rojan hor se) Unauthorized sys tem access (a ccess to classified, pr opr ietar y, and/or technolog y-re lated information ) Adm inistr ation failu re Fr

aud and thef

t Com puter abuse T hef t of laptop/PC Fr

audulent act (rep

lay , im per sonation, interception) Ear thquake Client/server failure Po wer f ailu re

ASET VALUE ARO

1 1 6 1 _0.13 0. 13 0. 08 0. 25 0. 25 6 _0.25

PC Desktop: client IBM

PC 300 GL 54,400,000 21,760,000 32,640,000 130,560,000 10,880,000 2,828,800 1,414,400 3,481,600 10,880,000 10,880,000 195,840,000 2,720,000

PC Desktop: server IBM

System X3250 13,850,000 2,770,000 5,540,000 33,240,000 2,770,000 720,200 360,100 886,400 2,770,000 2,770,000 49,860,000 692,500

Barcode Reader NEC _8,550,000

- - - - - 222,300 547,200 - 1,710,000 30,780,000 - Printer Epson LQ1170 _2,625,000 - - - - - - 168,000 - 525,000 9,450,000 -

Hub/ Switch ATi 16 port

10/ 100 1,200,000 - - - - - - 76,800 - 240,000 4,320,000 60,000 Operating System Microsoft E85-02667 22,400,000 4,480,000 17,920,000 53,760,000 13,440,000 - - 1,433,600 - 4,480,000 53,760,000 1,120,000

Aplikasi Pos Express _5,000,000

1,000,000 3,000,000 6,000,000 3,000,000 - 130,000 160,000 1,000,000 1,000,000 12,000,000 250,000 Website _4,000,000 800,000 1,600,000 - - - - 256,000 - 800,000 9,600,000 200,000 Database _- - - - - - - - - - - - Aplikasi Perkantoran _2,000,000 - 800,000 - 800,000 - - 96,000 - 400,000 4,800,000 100,000 Karyawan Pos _40,000,000 - - 48,000,000 - 3,120,000 2,080,000 1,920,000 - 8,000,000 - - Karyawan Outsourching _16,200,000 - - 19,440,000 - 1,263,600 842,400 777,600 - 3,240,000 - - Data Elektronik _20,000,000 8,000,000 4,000,000 - 12,000,000 1,040,000 520,000 640,000 4,000,000 4,000,000 96,000,000 1,000,000 Resi Pengiriman _1,000,000 200,000 - 1,200,000 200,000 - - - - 200,000 - -

Juklak dan Juknis _20,000,000

- - - - 4,000,000 - - - - - - 10,443,200 5,569,200 8,972,600 43,090,000 292,200,000 65,500,000 39,010,000 Total 18,650,000 42,245,000 466,410,000 6,142,500

(25)

IV.4.3 Analisis Cost dan benefit

Safeguard cost/benefit analysis adalah analisis cost/benefit terhadap langkah-langkah

penanganan resiko yang telah dimiliki, bagi setiap resiko yang teridentifikasi. Nilai

safeguard suatu perusahaan/organisasi = (ALE sebelum implemantasi safeguard) – (ALE

setelah implementasi safeguard) – (biaya tahunan safeguard).

Nilai tersebut, kemudian dibandingkan dengan cost dalam mengimplementasikan

safeguard. Dari perbandingan nilainya, akan dapat di analisis bahwa kandidat safeguard

yang dapat diimplementasikan adalah safeguard dengan perbandingan cost dan benefit-nya lebih kecil dari 1. [8].

Nilai ALE pada Tabel IV.11 merupakan nilai prediksi, jika resiko-resiko yang diidentifikasikan terjadi pada SBUPE. Kemudian, untuk langkah selanjutnya dalam mengantisipasi resiko-resiko tersebut, dapat dilakukan dengan beberapa cara, yaitu:

• Menurunkan Mengurangi tingkat resiko menuju arah yang acceptable level, • Menghindari tingkat resiko yang ada pada sistem,

• Menerima resiko yang ada,

• Men-transfer resiko ke pihak lain.

Secara teknisnya, hal-hal tersebut di atas dapat dilakukan dengan cara, sebagai berikut:[8] 1. Mengimplementasikan produk-produk keamanan yang mampu menurunkan tingkat

resiko dengan dengan mempertimbangkan perbandingan cost dan benefit-nya, 2. Mengimplementasikan prosedur-prosedur atau policy, baik itu dalam monitoring,

mencegah, mengurangi, ataupun me-respond resiko yang telah terjadi, 3. Melimpahkan resiko yang ada kepada pihak lain, seperti asuransi, 4. Mengabaikan resiko-resiko yang terjadi.

Berikut ini, disajikan tabulasi mengenai estimasi dari safeguard effectiveness, dengan cara membuat safeguard untuk suatu vulnerability yang ada pada Tabel IV.4.

Prosedur untuk mengisikan hasil dari semua tabulasi di bawah ini, sama dengan yang dilakukan pada prosedur untuk tabel menghitung EF, SLE, dan ALE sebelum implementasi safeguard. Pada tabulasi ini akan menghasilkan ALE setelah implementasi

(26)

Tabel IV.12 safeguard effectiveness THREAT Una uthorized a ccess Mal ic ious co de (vi rus , l ogi c bo mb, Tr oj an h or se) Una uthorized s ystem acces s (access to classi fied, pr op ri et ar y, a nd/ or technology-related in fo rmation) Ad ministratio n failure Fra ud and t heft Computer abus e Th eft of lap to p/PC Fra ud ul ent act (re pl ay, im pe rs onat io n, in tercep tion) Eart hqua ke Clien t/serv er failu re Po wer failu re

SAFEGUARD ANNUAL COST

Pembinaan SDM (berkala) 150,000,000 75% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% Antivirus 30,000,000 0% 85% 0% 0% 0% 0% 0% 0% 0% 0% 0% Membuat SOP 40,000,000 85% 85% 85% 85% 85% 85% 85% 85% 85% 85% 85% Pelatihan komputer 50,000,000 0% 80% 80% 85% 0% 0% 0% 0% 0% 75% 0% Rekonsiliasi keuangan 70,000,000 0% 0% 0% 0% 85% 0% 85% 0% 0% 0% 0% Prosedur penggunaan 10,000,000 0% 0% 0% 0% 0% 60% 0% 0% 0% 0% 0% CCTV 22,000,000 0% 0% 0% 0% 0% 0% 80% 0% 0% 0% 0%

Membuat kebijakan hak akses data/informasi 70,000,000 0% 0% 0% 0% 0% 0% 0% 60% 0% 0% 0%

Asuransi 110,000,000 0% 0% 0% 0% 0% 0% 0% 0% 80% 0% 0%

Pengadaan barang 81,275,000 0% 0% 0% 0% 0% 0% 0% 0% 0% 80% 0%

(27)

Tabel IV.13 SLE dari implementasi THREAT Unauthoriz ed ac ces s Malicious code (virus, log ic bo mb, Trojan hors e) Unauthoriz ed s ys tem acc es s (acc es s to cl as si fied, propri etary , and/or techno log y-related information) Administrat ion f ailur e Fraud and thef t Computer abuse Theft of laptop /PC Fraudulent act (r eplay , impersonation, interception) Earthqu ake Client /server fa ilure Power failur e SAFEGUARD ANNUAL COST Pembinaan SDM (berkala) 150,000,000 112,500,000 - - - - - - - - Antivirus 30,000,000 - 25,500,000 - - - - - - - - - Membuat SOP 40,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 Pelatihan komputer 50,000,000 - 40,000,000 40,000,000 42,500,000 - - - - - 37,500,000 - Rekonsiliasi keuangan 70,000,000 - - - - 59,500,000 - 59,500,000 - - - - Prosedur penggunaan 10,000,000 - - - - - 6,000,000 - - - - - CCTV 22,000,000 - - - - 17,600,000 - - - - Membuat kebijakan hak

akses data/informasi 70,000,000 - - - - - - - 42,000,000 - - - Asuransi 110,000,000 - - - - - - - - 88,000,000 - - Pengadaan barang 81,275,000 - - - - - - - - - 65,020,000 - Pemeliharaan UPS 15,000,000 - - - - - - 12,000,000 13,500,000

(28)

Tabel IV.14 ALE dari implementasi THREAT Una uthorized a ccess Mal ic ious co de (vi rus , l ogi c bo mb, Tr oj an ho rse ) Una uthorized s ystem acces s (access t o class ified, pr op ri et ar y, a nd/ or tech no log y-rel ated in fo rmation ) Ad ministratio n failure Fra ud and t heft Computer abus e Th eft of lap to p/PC Fra udulent act (re play, imp erson ation , in tercep tio n) Eart hqua ke Clien t/serv er failu re Po wer failu re ASET ANNUAL COST ARO 1 1 6 1 0.13 0.13 0.08 0.25 0.25 6 0.25 Pembinaan SDM (berkala) 150,000,000 112,500,000 - - - - - - - - - - Antivirus 30,000,000 - 25,500,000 - - - - - - - - - Membuat SOP 40,000,000 34,000,000 34,000,000 204,000,000 34,000,000 4,420,000 4,420,000 2,720,000 8,500,000 8,500,000 204,000,000 8,500,000 Pelatihan komputer 50,000,000 - 40,000,000 240,000,000 42,500,000 - - - - - 225,000,000 - Rekonsiliasi keuangan 70,000,000 - - - - 7,735,000 - 4,760,000 - - - - Prosedur penggunaan 10,000,000 - - - - - 780,000 - - - - - CCTV 22,000,000 - - - - - - 1,408,000 - - - - Membuat kebijakan hak akses

data/informasi 70,000,000 - - - - - - - 10,500,000 - - - Asuransi 110,000,000 - - - - - - - - 22,000,000 - - Pengadaan barang 81,275,000 - - - - - - - - - 390,120,000 - Pemeliharaan UPS 15,000,000 - - - - - - - - - 72,000,000 3,375,000 total 648,275,000 146,500,000 99,500,000 444,000,000 76,500,000 12,155,000 5,200,000 8,888,000 19,000,000 30,500,000 891,120,000 11,875,000

(29)

Tabel IV.15 Cost/benefit analysis THRE AT Una uthorized a ccess Mal ic ious co de (vi rus , l ogi c bo mb, Tr oj an h or se) Una uthorized s ystem acces s (access to classi fied, proprietary, a nd/or technolo gy -rel ated in fo rmatio n) Ad ministratio n failure Fra ud and t heft Computer abus e Th eft of lap to p/PC Frau du len t act (rep lay , imperso na tion , in tercep tio n) Eart hqua ke Clien t/serv er failu re Po wer failu re SAFEGUARD Pembinaan SDM (berkala) -1.6 -0.8 -0.1 -0.9 -1.0 -1.0 -1.0 -0.9 -0.9 0.3 -1.0 Antivirus -0.9 -1.7 0.1 -0.9 -1.0 -1.0 -1.0 -0.9 -0.9 0.7 -1.0 Membuat SOP -1.9 -1.9 -6.1 -1.9 -1.1 -1.1 -1.1 -1.2 -1.2 -5.3 -1.2 Pelatihan computer -1.0 -1.8 -5.8 -1.9 -1.0 -1.0 -1.0 -1.0 -1.0 -5.3 -1.0 Rekonsiliasi keuangan -1.0 -1.0 -1.0 -1.0 -1.1 -1.0 -1.1 -1.0 -1.0 -0.9 -1.0 Prosedur penggunaan -0.6 0.8 4.4 0.3 -1.0 -1.1 -0.9 -1.0 -0.6 4.4 -0.9 CCTV -1.0 -0.9 -0.7 -0.9 -1.0 -1.0 -1.1 -1.0 -1.0 -0.5 -1.0

Membuat kebijakan hak akses data/informasi -1.0 -1.0 -1.0 -1.0 -1.0 -1.0 -1.0 -1.2 -1.0 -0.9 -1.0

Asuransi -1.0 -1.0 -1.0 -1.0 -1.0 -1.0 -1.0 -1.0 -1.2 -1.0 -1.0

Pengadaan barang -1.0 -1.0 -1.0 -1.0 -1.0 -1.0 -1.0 -1.0 -1.0 -5.7 -1.0