UNIVERSITAS INDONESIA

(1)

UNIVERSITAS INDONESIA

PERENCANAAN MANAJEMEN RISIKO KEAMANAN INFORMASI: STUDI KASUS APLIKASI MODUL KEKAYAAN

NEGARA DIREKTORAT JENDERAL KEKAYAAN NEGARA KEMENTERIAN KEUANGAN

KARYA AKHIR

SIGIT PRASETYO 1206194902

FAKULTAS ILMU KOMPUTER

PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA

JULI 2014

(2)

UNIVERSITAS INDONESIA

PERENCANAAN MANAJEMEN RISIKO KEAMANAN INFORMASI: STUDI KASUS APLIKASI MODUL KEKAYAAN

NEGARA DIREKTORAT JENDERAL KEKAYAAN NEGARA KEMENTERIAN KEUANGAN

KARYA AKHIR

Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi

SIGIT PRASETYO 1206194902

HALAMAN JUDUL

FAKULTAS ILMU KOMPUTER

PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA

JULI 2014

(3)

ii

HALAMAN PERNYATAAN ORISINALITAS

(4)

HALAMAN PENGESAHAN

(5)

iv

KATA PENGANTAR

Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa, karena atas berkat dan rahmat-Nya, penulis dapat menyelesaikan Karya Akhir ini. Penulisan Karya Akhir dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer – Universitas Indonesia. Penulis menyadari bahwa, tanpa bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada penyusunan karya akhir ini, sangatlah sulit bagi penulis untuk menyelesaikannya.

Oleh karena itu, penulis mengucapkan terimakasih kepada:

1. Bapak Yudho Giri Sucahyo M.Kom., Ph.D dan Muh. Kasfu Hammi S.Kom., MTI selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan dalam penyusunan Karya Akhir ini.

2. Dosen Penguji yang telah menguji dan memberikan saran dan perbaikan pada Karya Akhir ini.

3. Direktorat Jenderal Kekayaan Negara (DJKN) yang telah memberikan bantuan beasiswa.

4. Istri tercinta, Andry Muji Asbiyanti, yang telah memberikan pengertian, perhatian, dukungan, dan semangat yang telah diberikan pada penulis.

5. Kedua orang tua tercinta, yang telah memberikan dukungan, doa, dan perhatian yang telah diberikan kepada penulis.

6. Staf di Magister Teknologi Informasi, yang telah membantu kelancaran perkuliahan dan Karya Akhir.

7. Teman – teman di MTI 2012SA, yang telah membantu melewati masa kuliah.

Akhir kata, semoga Allah SWT membalas semua kebaikan dan bantuan yang telah diberikan dengan pahala yang berlipat ganda. Semoga Karya Akhir ini memberikan manfaat bagi pengembangan ilmu pada umumnya dan bagi penulis pada khususnya.

Jakarta, 16 Juni 2014 Penulis

(6)

v

HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS

(7)

vi Universitas Indonesia

ABSTRAK

Nama : Sigit Prasetyo

Program Studi : Magister Teknologi Informasi

Judul Karya Akhir : Perencanaan Manajemen Risiko Keamanan Informasi:

Studi Kasus Aplikasi Modul Kekayaan Negara Direktorat Jenderal Kekayaan Negara Kementerian Keuangan

Kementerian Keuangan khususnya Direktorat Jenderal Kekayaan Negara (DJKN) merupakan salah satu organisasi yang bertugas untuk melakukan pengelolaan barang milik negara dan melakukan peningkatan pelayanan terhadap stakeholder dengan menggunakan teknologi informasi sebagai elemen pendukungnya. Untuk mewujudkan database nilai kekayaan negara yang kredibel sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat, dan dapat digunakan untuk proses pengambilan keputusan bagi pimpinan Kementerian Keuangan maka dibutuhkan suatu perencanaan manajemen risiko keamanan informasi terhadap sistem informasi utama yang mendukung proses bisnis DJKN.

Penelitian ini bertujuan untuk menyusun perencanaan manajemen risiko keamanan informasi untuk DJKN khususnya terhadap aplikasi yang mendukung proses bisnis utama yaitu aplikasi Modul KN dengan menggunakan framework ISO 27005 dan ISO 27002 untuk penanganan pengurangan risiko.

Hasil yang didapat dari penelitian ini adalah perencanaan manajemen risiko keamanan informasi yang berupa dokumen penanganan risiko, rekomendasi kontrol untuk mengurangi risiko dan penerimaan risiko yang berisi tentang keputusan penanganan risiko serta penanggung jawab penanganan risiko.

Kata Kunci : Manajemen Risiko, Keamanan Informasi, ISO 27005, ISO 27002

(8)

ABSTRAC

Name : Sigit Prasetyo

Program of Study : Magister Teknologi Informasi

Topic : Information Security Risk Management Planning: A Case Study at Application Module of State Asset, Directorate General of State Asset, Ministry of Finance

Ministry of Finance in particular the Directorate General of State Asset (DJKN) is one organization that is tasked to undertake the management of state asset and improved services to stakeholders using information technology as a supporting element . To realize the value database of state asset into a credible executive information intact, timely, accurate and can be used for decision making process for the leadership of the Ministry of Finance then needed an information security risk management plan to the main information systems that support business processes DJKN .

This research aimed to develop an information security risk management plan for DJKN particularly to applications that support key business processes that called state assets module applications using the framework of ISO 27005 and ISO 27002 for risk reduction management.

The results obtained from this research is the information security risk management plan that contains the document mitigation risk, control recommendations to reduce risk and acceptance of risk which contains risk management decisions also the person in charge of mitigation risk.

Key Words : Risk Management, Information Security, ISO 27005, ISO 27002

(9)

viii Universitas Indonesia

DAFTAR ISI

HALAMAN JUDUL ... i

HALAMAN PERNYATAAN ORISINALITAS ... ii

HALAMAN PENGESAHAN ... iii

KATA PENGANTAR ... iv

HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI... v

KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS ... v

ABSTRAK ... vi

ABSTRAC ... vii

DAFTAR ISI ... viii

DAFTAR GAMBAR ... x

DAFTAR TABEL ... xi

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Perumusan Masalah ... 10

1.3 Pertanyaan Penelitian ... 11

1.4 Tujuan Penelitian ... 11

1.5 Manfaat Penelitian ... 11

1.6 Batasan Penelitian ... 12

1.7 Sistematika Penulisan ... 12

BAB II LANDASAN TEORI ... 13

2.1 Keamanan Informasi ... 13

2.2 Risiko ... 15

2.3 Manajemen Risiko ... 15

2.4 Perencanaan Manajemen Risiko... 15

2.5 Metode Penelitian Manajemen Risiko Keamanan Informasi ... 16

2.5.1 ISO 27005 ... 16

2.5.2 NIST SP 800-30 ... 23

2.5.3 OCTAVE ... 26

2.6 Perbandingan Metode Perancangan Manajemen Risiko ... 29

2.7 Penelitian Sejenis Sebelumnya ... 30

2.8 Kerangka Pemikiran (Theoritical Framework) ... 31

BAB III METODOLOGI PENELITIAN ... 34

3.1 Alur Penelitian ... 34

3.2 Metode Pengumpulan Data ... 35

3.3 Metode Analisis Data ... 36

BAB IVPROFIL ORGANISASI ... 37

4.1 Sejarah Singkat DJKN ... 37

4.2 Visi, Misi dan Tugas Organisasi ... 38

4.3 Sasaran Strategis Organisasi ... 39

4.4 Struktur Organisasi ... 40

4.5 Rincian tugas tiap Direktorat ... 41

4.6 Penerapan Manajemen Risiko di DJKN ... 42

BAB V ANALISIS DAN PEMBAHASAN ... 46

5.1 Penetapan Konteks ... 47

(10)

5.1.1 Kriteria Dasar Pengelolaan Risiko ... 47

5.1.2 Ruang Lingkup Perencanaaan Manajemen Risiko Keamanan Informasi ... 50

5.1.3 Organisasi Manajemen Risiko Keamanan Informasi ... 55

5.2 Penilaian Risiko ... 57

5.2.1 Identifikasi Risiko ... 57

5.2.2 Estimasi Risiko ... 67

5.3 Evaluasi Risiko ... 74

5.4 Penanganan Risiko ... 77

5.4.1 Mengurangi risiko ... 77

5.4.2 Mempertahankan risiko ... 78

5.4.3 Menghindari risiko ... 78

5.4.4 Mentransfer risiko ... 78

5.5 Penerimaan Risiko ... 103

BAB VI PENUTUP ... 115

6.1 Kesimpulan ... 115

6.2 Saran ... 116

DAFTAR PUSTAKA ... 117

LAMPIRAN ... 120

A.TRANSKRIP WAWANCARA ... 120

B. REKAP HELPDESK TIK DJKN ... 133

C. MATRIKS EVALUASI RISIKO ... 137

(11)

x Universitas Indonesia

DAFTAR GAMBAR

Gambar 1.1 Pie Chart Permasalahan layanan TIK DJKN ... 8

Gambar 1.2 Gap Analysis TIK DJKN... 9

Gambar 1.3 Analisis Fishbone ... 10

Gambar 2.1 Model PDCA pada proses SMKI ... 14

Gambar 2.2 Proses Manajemen Risiko ISO 27005 ... 18

Gambar 2.3 Proses Penanganan Risiko ... 20

Gambar 2.4 Proses Manajemen Risiko NIST 800-30 ... 24

Gambar 2.5 Proses Manajemen Risiko OCTAVE ... 27

Gambar 2.6 Kerangka Pemikiran ... 32

Gambar 3.1 Metodologi Penelitian ... 34

Gambar 4.1 Struktur organisasi kantor pusat ... 40

Gambar 4.2 Struktur organisasi kantor wilayah ... 40

Gambar 4.3 Struktur organisasi KPKNL ... 41

Gambar 5.1 Proses Perencanaan Manajemen Risiko Keamanan Informasi ... 46

Gambar 5.2 Proses bisnis pengelolaan BMN ... 51

Gambar 5.3 Pemetaan aplikasi di DJKN... 52

Gambar 5.4 Grid McFarlan ... 52

Gambar 5.5 Proses bisnis aplikasi Modul KN ... 54

Gambar 5. 6 Arsitektur teknologi informasi aplikasi Modul KN ... 54

Gambar 5.7 Struktur organisasi manajemen risiko keamanan informasi di DJKN ... 56

(12)

DAFTAR TABEL

Tabel 1.1 Rangkuman Permasalahan Layanan TIK DJKN ... 7

Tabel 2.1 Penjelasan proses SMKI ... 14

Tabel 2.2 Keselarasan antara proses SMKI dengan proses MRKI ... 23

Tabel 2.3 Perbandingan metode manajemen risiko keamanan informasi ... 29

Tabel 4.1 Rincian tugas tiap Direktorat ... 42

Tabel 4.2 Laporan Profil Risiko DJKN semester 1 tahun 2014 ... 43

Tabel 4.3 Laporan Penanganan Risiko DJKN semester 1 tahun 2014 ... 44

Tabel 5.1Kriteria Dampak ... 48

Tabel 5.2 Tingkat kecenderungan risiko ... 48

Tabel 5.3 Kriteria penerimaan risiko ... 49

Tabel 5.4 Kriteria risiko yang harus ditransfer ... 50

Tabel 5.5 Matriks selera risiko ... 50

Tabel 5.6 Rincian aset pada Modul KN ... 58

Tabel 5.7 Identifikasi ancaman tiap aset ... 60

Tabel 5.8 Identifikasi kontrol yang sudah ada ... 62

Tabel 5.9 Identifikasi kerawanan tiap aset ... 64

Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset ... 68

Tabel 5.11 Matriks penentuan tingkatan evaluasi risiko ... 74

Tabel 5.12 Matrik nilai evaluasi risiko ... 75

Tabel 5.13 Prioritas risiko berdasarkan nilai risiko ... 76

Tabel 5.14 Analisis Penanganan Risiko ... 80

Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol ... 96

Tabel 5.16 Analisis Penerimaan Risiko ... 104

Tabel C.1 Matriks evaluasi risiko untuk A1 dan T1 ... 137

Tabel C.9 Matriks evaluasi risiko A5 dan T3 ... 139

(13)

xii Universitas Indonesia

Tabel C.39 Nilai risiko dari tiap skenario ... 147

(14)

BAB I PENDAHULUAN

Pada bab ini menjelaskan mengenai latar belakang penulisan penelitian terhadap kondisi terkini organisasi di Direktorat Jenderal Kekayaan Negara (DJKN), melakukan analisis permasalahan yang dihadapi sehingga menghasilkan perumusan masalah, menentukan ruang lingkup, tujuan, manfaat dan sistematika penulisan.

1.1 Latar Belakang

Direktorat Jenderal Kekayaan Negara merupakan unit eselon 1 di lingkungan Kementerian Keuangan berdasarkan Peraturan Presiden Nomor 66 Tahun 2006 tentang Perubahan Keempat atas Peraturan Presiden Nomor 10 Tahun 2005 tentang Unit Organisasi dan Tugas Eselon I Kementerian Republik Indonesia.

Direktorat Jenderal Kekayaan Negara mempunyai tugas merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara, piutang negara, dan lelang. Dalam melaksanakan tugas yang dibebankan kepada Direktorat Jenderal Kekayaan Negara, maka ditetapkan visi DJKN, yaitu:

”Menjadi Pengelola Kekayaan Negara, Piutang Negara dan Lelang yang profesional dan bertanggung jawab untuk sebesar-besar kemakmuran rakyat”.

Profesional adalah bahwa tugas-tugas pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelayanan lelang dilaksanakan sesuai standar profesi dan standar keilmuan yang telah ditetapkan. Bertanggung jawab adalah bahwa pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelaksanaan lelang dilakukan secara transparan dan dapat dipertanggungjawabkan sesuai dengan ketentuan peraturan perundangundangan yang berlaku. Untuk sebesar-besar kemakmuran rakyat, merupakan cita-cita dan arah dari tujuan akhir pengelolaan kekayaan negara sesuai dengan jiwa Pasal 33 Undang-Undang Dasar Republik Indonesia tahun 1945.

(15)

Untuk merealisasikan visi yang telah ditetapkan, maka Direktorat Jenderal Kekayaan Negara menetapkan misi antara lain:

a. Mewujudkan optimalisasi penerimaan, efisiensi pengeluaran dan efektivitas pengelolaan kekayaan negara;

b. Mengamankan kekayaan negara secara fisik, administrasi dan hukum;

c. Mewujudkan nilai kekayaan negara yang wajar dan dapat dijadikan acuan dalam berbagai keperluan;

d. Melaksanakan pengurusan piutang negara yang efektif, efisien, transparan dan akuntabel;

e. Mewujudkan lelang yang efektif, efisien, transparan, akuntabel, adil dan kompetitif sebagai instrumen jual beli yang mampu mengakomodasi kepentingan masyarakat.

Pada tahun 2008 telah disusun Blue Print (Cetak Biru) TIK DJKN yang bertujuan sebagai rujukan dalam pengembangan dan implementasi TIK di DJKN selama 5 tahun yaitu tahun 2008 – 2012. Blue Print TIK DJKN tersebut mempunyai tujuan yaitu pemanfaatan teknologi dan informasi (TIK) yang handal, terintegrasi dan berkembang. Dalam analisis Strengths Weaknesses Opportunities and Threats (SWOT) khususnya mengenai kelemahan TIK DJKN terdapat beberapa permasalahan yaitu belum terdapatnya database yang lengkap, komprehensif dan terintegrasi, kemudian belum terdapatnya sistem informasi yang memadai untuk mendukung pelaksanaan proses-proses bisnis utama DJKN serta belum adanya infrastruktur perangkat keras dan lunak pendukung yang memadai di DJKN.

Berdasarkan Peraturan Menteri Keuangan Nomor 191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan bahwa Setiap unit Eselon I di lingkungan Kementerian Keuangan harus menerapkan dan mengembangkan Manajemen Risiko di lingkungan masing-masing. Hal ini berdasarkan Peraturan Pemerintah nomor 60 tahun 2008 tentang Sistem Pengendalian Internal Pemerintah khususnya pada bagian ketiga pasal 13 ayat 1 yaitu pimpinan instansi pemerintah wajib melakukan penilaian risiko. Saat ini DJKN telah menyusun Laporan Manajemen Risiko pada awal tahun 2014 yang dibuat berdasarkan sasaran kinerja organisasi terhadap risiko yang berpotensi

(16)

menghalangi, menurunkan atau menunda tercapainya sasaran kerja unit eselon I.

Laporan tersebut menghasilkan profil risiko dan cara penanganannya berdasarkan sasaran kinerja masing-masing unit di DJKN.

Sesuai dengan Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi (SMKI) di Lingkungan Kementerian Keuangan bahwa Unit TIK pusat dan unit TIK eselon I menerapkan dan mengembangkan manajemen risiko dalam rangka pelaksanaan pengamanan dan perlindungan aset informasi dengan mengikuti ketentuan mengenai penerapan manajemen risiko di lingkungan Kementerian Keuangan.

Berdasarkan wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi Bpk. Agus Setyo Pambudi tanggal 27 Maret 2014 bahwa sampai saat ini baik Unit TIK Pusat maupun Unit TIK DJKN belum menerapkan dan mengembangkan manajemen risiko dalam rangka pelaksanaan pengamanan dan perlindungan aset informasi.

Kebijakan dan standar SMKI di lingkungan Kementerian Keuangan tersebut disusun dengan memperhatikan Peraturan Menteri Komunikasi dan Informatika Nomor 41/PERMEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional, lSO/IEC 27001:2005 (Information technology-Security techniques-Information security management system-Requirements) dan lSO/IEC 27002:2005 (Information technology- Securitytechniques-Code of practice for information security management). PMK Nomor 479/KMK.01/2010 tersebut mewajibkan setiap unit Eselon I menerapkan Kebijakan dan Standar SMKI di lingkungan unit eselon I masing-masing yang terdiri dari sebelas pengendalian antara lain:

 Pengendalian Umum;

 Pengendalian Organisasi Keamanan Informasi;

 Pengelolaan Aset Informasi;

 Pengendalian Keamanan Sumber Daya Manusia;

 Pengendalian Keamanan Fisik dan Lingkungan;

 Pengendalian Pengelolaan Komunikasi dan Operasional;

(17)

 Pengendalian Akses;

 Pengendalian Keamanan Informasi dalam Pengadaan, Pengembangan dan Pemeliharaan Sistem Informasi;

 Pengendalian Pengelolaan Gangguan Keamanan Informasi;

 Pengendalian Keamanan Informasi dalam Pengelolaan Kelangsungan Kegiatan;

 Pengendalian Kepatuhan.

Untuk menindaklanjuti keputusan tersebut DJKN telah membuat Surat Edaran No.6/KN/2012 tentang Struktur Tim Keamanan Informasi, Standarisasi Personal Computer, Pengelolaan dan Pengoperasian Perangkat Teknologi Informasi dan Komunikasi di Lingkungan Direktorat Jenderal Kekayaan Negara. Dalam hal ini DJKN baru melakukan dua pengendalian yang diamanatkan oleh Keputusan Menteri Keuangan yaitu pengendalian organisasi keamanan informasi dan pengendalian pengelolaan komunikasi dan operasional sehingga diperlukan tindak lanjut dalam menyusun pengendalian keamanan informasi.

Pada tahun 2010 telah disusun Keputusan Direktur Jenderal Kekayaan Negara Nomor KEP-38/KN/2010 tentang Rencana Strategis Direktorat Jenderal Kekayaan Negara Tahun 2010 – 2014 yang merupakan penjabaran lebih lanjut dari Keputusan Menteri Keuangan Nomor 40/KMK.01/2010 tentang Rencana Strategis Kementerian Keuangan tahun 2010-2014. Dalam Renstra tersebut terdapat strategi organisasi di bidang Teknologi Informasi Keuangan (TIK) yaitu melakukan pengembangan Sistem Informasi Manajemen (SIM) di lingkungan Direktorat Jenderal Kekayaan Negara yang terdiri dari rencana aksi yaitu antara lain dengan melakukan pengembangan aplikasi, pengelolaan database dan pengembangan infrastruktur TIK. Renstra tersebut juga menjelaskan permasalahan yaitu masih kurangnya kompetensi pegawai dalam pengoperasian aplikasi terkait penatausahaan Barang Milik Negara (BMN).

Menurut Keputusan Menteri Keuangan Nomor 40/KMK.01/2010 tentang Rencana Strategis Kementerian Keuangan tahun 2010-2014 terdapat salah satu sasaran strategis dalam tema kekayaan negara yaitu terwujudnya database nilai kekayaan

(18)

negara yang kredibel dengan cara mendapatkan, mengumpulkan dan mengolah data kekayaan negara sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat, dan dapat digunakan untuk proses pengambilan keputusan bagi pimpinan Kementerian Keuangan. Sedangkan permasalahan TIK yang dihadapi dalam pengelolaan kekayaaan negara yaitu penerapan Sistem Informasi Manajemen dan Akuntansi (SIMAK) BMN belum merata diseluruh K/L, kualitas dan kuantitas SDM belum memadai serta kurangnya sarana dan prasarana.

Berdasarkan laporan hasil audit Inspektorat Jenderal Nomor 83 tahun 2011 terhadap pembangunan modul kekayaan negara di DJKN yang terdiri atas audit terkait pengandalian umum dan pengendalian aplikasi yang dapat dijelaskan sebagai berikut:

a. Pengendalian umum

 IT Strategy Plan: Pengembangan TI tidak melalui rencana strategis yang ada sehingga masih bersifat ad hoc;

 Arsitektur Informasi: DJKN belum memiliki Interprise Information Architecture Model yang menjadi acuan dalam pengembangan aplikasi;

 Proses teknologi informasi, organisasi dan hubungan: tidak adanya IT Strategy Comittee, belum terdapat personel yang bertanggung jawab terhadap risiko, keamanan dan kepatuhan pada sistem TI DJKN, belum adanya tim Quality Assurance;

 Tidak memiliki sistem manajemen kualitas;

 Belum memiliki manajemen risiko yang baku terkait pengelolaan TI;

 Tidak memiliki standar dan prosedur baku dalam manajemen proyek;

 Pembangunan aplikasi hanya didasari oleh pengetahuan dan pengalaman dari individu kunci, tidak ada studi kelayakan dan analisis risiko;

 Dalam pembangunan aplikasi tidak terdapat ruang lingkup testing, pengembangan, manajemen keamanan dan Software Quality Assurance (SQA);

 Pengadaan infrastruktur tidak berdasarkan kebutuhan bisnis tapi dari sisi teknis, hal ini dikarenakan tidak adanya penerapan audit, security dan internal control untuk memproteksi sumber daya TIK dan memastikan

(19)

availability dan integrity dari sistem dan data TIK serta tidak adanya perawatan berkala terhadap infrastruktur TI;

 Belum memilik standar baku manajemen perubahan;

 Belum memiliki manajemen dan standar tingkat layanan;

 Belum memiliki Business Continuity Plan (BCP) dan Disaster Recovery Plan (DRP) untuk layanan berkelanjutan;

 Tidak ada manajemen service desk terhadap permasalahan;

 Belum memiliki standar baku konfigurasi aset TIK;

 Tidak memilik tata kelola TIK. Blue Print yang ada belum ditetapkan secara formal oleh pejabat yang berwenang;

 Tidak ada dokumentasi hasil testing aplikasi Modul KN;

 Pembentukan database server kurang akurat, tidak mendukung pertukaran data tingkat eselon I;

 Belum adanya monitoring dan evaluasi pembangunan TI;

 Tidak ada regulasi dalam penggunaan Modul KN untuk rekonsiliasi BMN dalam bentuk peraturan (Surat Edaran).

b. Pengendalian Aplikasi

Berisi tentang berbagai permasalahan yang ada dalam pengoperasian Modul KN yaitu adanya menu yang masih kurang, proses operasi yang lama, Standar Operating Procedure (SOP) yang kurang lengkap dan tidak ada indikator dalam proses eksekusi aplikasi.

Untuk menindaklanjuti hasil audit tersebut maka Direktorat PKNSI membuat matriks tindak lanjut temuan Itjen atas kegiatan pengelolaan BMN dimana akan melakukan perancangan pembuatan Blue Print (Cetak Biru) TIK yang didalamnya berisi tentang perencanaan strategi TI, arsitektur informasi, manajemen kualitas, manajemen risiko, manajemen proyek, kebutuhan proses bisnis dan solusi TI, manajemen layanan, manajemen service desk, konfigurasi aset TIK dan tata kelola TIK.

Berdasarkan laporan jumlah permasalahan terkait dengan layanan TI yang didapat dari Aplikasi Helpdesk Layanan TIK DJKN pada tahun 2010 sampai dengan

(20)

tahun 2013 terdapat permasalahan yang semakin bertambah setiap tahun terutama dalam hal pengelolaan TI dan keamanan informasi. Dalam hal pengelolaan TI yaitu bertambahnya permasalahan terkait infrastruktur TI. Sedangkan dalam hal keamanan informasi yaitu banyaknya permasalahan database yang hilang atau rusak, adanya orang yang tidak mempunyai otoritas menggunakan akun (user account) orang lain sehingga dapat melihat maupun merubah data, banyaknya software yang rusak dikarenakan faktor manusia maupun faktor lainnya misalnya karena terkena virus sehingga data tidak dapat diakses. Hal ini menyebabkan risiko keamanan informasi terjadi berulang dan tidak dikontrol dengan baik.

Adapun rangkuman permasalahan seperti dijelaskan pada Tabel 1.1:

Tabel 1.1 Rangkuman Permasalahan Layanan TIK DJKN

No Jenis Layanan Tahun

2010

Tahun 2011

Tahun 2012

Tahun 2013

1 Umum 2 - 13 17

2 Jaringan 13 79 98 75

3 Aplikasi DJKN 4 26 19 32

4 User account dan Email 1 10 90 13

5 Hardware 3 17 35 27

6 Software 4 5 21 10

7 Rekonsiliasi BMN - 2 1 4

8 Database - 5 25 34

9 Konfigurasi - - - 6

10 Informasi - - - 3

11 Voip - - - -

12 SSO DJKN - - - -

Jumlah 27 144 302 242

Sumber: www.djkn.kemenkeu.go.id/helpdesktik

Pada Tabel 1.1 tersebut dapat dijelaskan bahwa terdapat permasalahan layanan TIK dari tahun 2010 sampai dengan tahun 2013 dengan jumlah insiden sebanyak 715 insiden. Terkait permasalahan keamanan informasi terdapat 560 insiden yang terdiri dari jenis layanan sebagai berikut:

 Jaringan sebanyak 265 insiden yang menyebabkan permasalahan terkait ketersediaan data (availability);

 Aplikasi sebanyak 81 insiden yang menyebabkan permasalahan terkait kerahasiaan dan ketersediaan data (confidentiality dan availability);

(21)

 Hardware sebanyak 82 insiden yang menyebabkan permasalahan terkait keutuhan dan ketersediaan data (integrity dan availability);

 Software sebanyak 40 insiden yang menyebabkan permasalahan terkait keutuhan dan ketersediaan data (integrity dan availability);

 Rekonsiliasi BMN sebanyak 7 insiden yang menyebabkan permasalahan terkait keutuhan data (integrity);

 Database sebanyak 64 insiden yang menyebabkan permasalahan terkait kerahasiaan, keutuhan dan ketersediaan data (confidentiality, integrity dan availability);

Berdasarkan data tersebut maka dapat digambarkan porsi permasalahan keamanan informasi pada Gambar 1.1:

Gambar 1.1 Pie Chart Permasalahan layanan TIK DJKN

Pada Gambar 1.1 dapat diketahui bahwa permasalahan terkait keamanan informasi sebesar 79 % dengan jumlah insiden sebanyak 560 insiden sedangkan untuk permasalahan diluar keamanan informasi sebesar 21 % dengan jumlah insiden sebanyak 155 insiden.

(22)

Berdasarkan hasil wawancara dengan Kasubdit Pengolahan Data dan Layanan Operasional Bpk. I Ketut Puja tanggal 4 Februari 2014 bahwa terdapat beberapa permasalahan TIK di DJKN yaitu:

 Belum adanya perencanaan manajemen risiko terhadap pengelolaan teknologi dan keamanan informasi di DJKN;

 Kompetensi dan jumlah SDM TI di DJKN masih kurang;

Sesuai dengan paparan diatas, maka dapat ditarik permasalahan dengan menggunakan gap analysis (analisis kesenjangan) yang membandingkan antara keadaan yang diharapkan dengan kenyataan yang terjadi pada kondisi sekarang yang dapat dijelaskan pada Gambar 1.2:

Gambar 1.2 Gap Analysis TIK DJKN

Pada Gambar 1.2 menjelaskan bahwa ekspektasi dari Kementerian Keuangan adalah DJKN dapat mewujudkan database nilai kekayaan negara yang kredibel sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat dan dapat digunakan untuk proses pengambilan keputusan. Menurut rekap helpdesk TIK DJKN sekarang ini database kekayaan negara yang terdapat dalam sistem informasi utama yaitu Modul Kekayaan Negara banyak mengalami loss of

(23)

confidentiality, integrity dan availibility sehingga tidak kredibel dan tidak dapat digunakan untuk proses pengambilan keputusan. Dalam hal ini terdapat permasalahan yaitu risiko keamanan informasi database kekayaan negara yang terdapat dalam Modul Kekayaan Negara tidak dikontrol dengan baik.

1.2 Perumusan Masalah

Berdasarkan permasalahan dan kondisi yang sudah dijelaskan diatas dapat dilakukan perumusan dengan menggunakan analisis fishbone pada Gambar 1.3:

Gambar 1.3 Analisis Fishbone

Berdasarkan analisis fishbone pada Gambar 1.3 diatas, secara garis besar terdapat empat permasalahan mendasar yang menyebabkan risiko terkait keamanan informasi tidak dikontrol dengan baik yaitu:

 Sumber Daya Manusia (SDM): kompetensi dan jumlah SDM TI di DJKN masih kurang menyebabkan rendahnya awareness keamanan informasi dan penanganan risiko keamanan informasi tidak terselesaikan dengan baik;

 Infrastruktur: tidak adanya perawatan berkala terhadap infrastruktur TI. Hal ini dapat menyebabkan kerusakan perangkat dan informasi yang terkandung

(24)

di dalamnya sehingga terjadi permasalahan terkait keutuhan data (integrity) dan ketersediaan data (availability);

 Kebijakan: belum adanya evaluasi pembangunan SI/TI yang terkait dengan risiko keamanan informasi misalnya evaluasi terhadap waktu layanan (response time) dan keutuhan data sehingga kebutuhan pengendalian risiko keamanan informasi tidak terdefinisi. Belum adanya perencanaan manajemen risiko keamanan informasi sehingga perlindungan dan pengamanan aset informasi tidak dilakukan baik;

 Organisasi: belum adanya unit yang bertanggung jawab melakukan koordinasi, penanganan dan monitoring terhadap risiko keamanan informasi.

1.3 Pertanyaan Penelitian

Dari analisis permasalahan menggunakan fishbone diagram diatas, maka diambil salah satu akar permasalahan yang dijadikan pertanyaan penelitian yaitu:

“ Bagaimanakah perencanaan manajemen risiko keamanan informasi yang tepat di Direktorat Jenderal Kekayaan Negara Kementerian Keuangan khususnya terhadap aplikasi yang mendukung proses bisnis utama (Modul Kekayaan Negara)?”

1.4 Tujuan Penelitian

Adapun tujuan yang dicapai dalam penelitian ini antara lain:

 Mengetahui risiko-risiko apa saja yang teridentifikasi dalam penilaian risiko keamanan informasi;

 Melakukan rencana penanganan (mitigasi) terhadap risiko keamanan informasi;

 Menentukan unit yang bertanggung jawab terhadap penanganan risiko keamanan informasi.

1.5 Manfaat Penelitian

Adapun manfaat yang diperoleh dalam penelitian ini antara lain:

 Memberikan rekomendasi pemilihan penanganan risiko berdasarkan analisis risiko yang telah dilakukan;

(25)

 Memberikan rekomendasi kontrol (pengendalian) keamanan informasi yang tepat untuk mengurangi risiko.

1.6 Batasan Penelitian

Penelitian ini dibatasi pada lingkungan Direktorat Jenderal Kekayaan Negara Kementerian Keuangan periode tahun 2010 – 2014.

1.7 Sistematika Penulisan

Sistematika penulisan Karya Akhir ini dibagi menjadi 6 (enam) bab sebagai berikut:

 Bab 1. Pendahuluan, berisi latar belakang, perumusan masalah, pertanyaan penelitian, tujuan dan manfaat penelitian dan batasan penelitian;

 Bab 2. Landasan Teori, berisi berbagai teori, metode, teknik, proses, dan prosedur yang terkait dengan topik penelitian;

 Bab 3. Metodologi Penelitian, berisi langkah-langkah penelitian, metode yang digunakan dan output yang diharapkan;

 Bab 4. Profil Organisasi, berisi sejarah singkat, visi, misi, rencana strategis, struktur organisasi dan tugas masing-masing unit di DJKN;

 Bab 5. Analisis dan Pembahasan berisi penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko;

 Bab 6. Kesimpulan dan Saran berisi tentang intisari penelitian dan masukan terhadap perencanaan manajemen risiko keamanan informasi di DJKN.

(26)

BAB II

LANDASAN TEORI

Pada bab ini berisi penjelasan mengenai landasan teori yang terkait dengan topik penelitian yang berisi antara lain berbagai teori, metode dan analisis penelitian sebelumnya yang berhubungan dengan perancangan manajemen keamanan informasi sehingga menghasilkan kerangka pemikiran (theoritical framework).

2.1 Keamanan Informasi

Menurut Andress (2011) keamanan informasi mempunyai tiga konsep dasar yaitu confidentiality, integrity dan availability (CIA). Confidentiality adalah kemampuan untuk melindungi data dari seseorang yang tidak memiliki otoritas untuk melihat data tersebut. Integrity adalah kemampuan melindungi data agar tidak mengalami perubahan dari sesuatu yang tidak terotorisasi maupun yang tidak diinginkan. Availability adalah kemampuan untuk mengakses data pada saat data tersebut diperlukan.

Keamanan informasi adalah perlindungan informasi dari berbagai macam ancaman untuk memastikan kelangsungan bisnis, meminimalisasi risiko bisnis, memaksimalkan pengembalian modal investasi dan peluang bisnis (Hintzbergen

& Smulders, 2010).

Berdasarkan ISO 27001 bahwa proses Sistem Manajemen Keamanan Informasi (SMKI) terdiri dari empat langkah yang disebut Plan-Do-Check-Act (PDCA) pada Gambar 2.1:

(27)

Gambar 2.1 Model PDCA pada proses SMKI

Sumber: ISO 27001:2008

Pada Gambar 2.1 dapat dijelaskan bahwa proses SMKI adalah proses yang dilakukan secara terus menerus dan berkesinambungan yang dapat diterangkan pada Tabel 2.1:

Tabel 2.1 Penjelasan proses SMKI

Proses SMKI Keterangan

Plan (Perencanaan) Menetapkan kebijakan SMKI, tujuan, proses dan prosedur yang relevan dengan pengelolaan risiko dan peningkatan keamanan informasi untuk memberikan hasil yang sesuai dengan kebijakan dan tujuan organisasi

Do (Implementasi) Melakukan implementasi kebijakan SMKI, kontrol, proses dan prosedur

Check (Pemeriksaan) Melakukan pengawasan dan pengukuran terhadap implementasi kebijakan SMKI

Act (Tindakan) Melakukan koreksi dan tindakan

pencegahan sesuai dengan hasil audit kebijakan SMKI

(28)

2.2 Risiko

Menurut Smith (2011) risiko adalah situasi potensial yang dapat melakukan ancaman terhadap aset. Jika kita mempunyai deskripsi terhadap situasi maka risiko mengidentifikasikan sesuatu yang buruk dapat terjadi menimpa aset kita.

Risiko adalah kemungkinan dimana sesuatu yang tidak diinginkan akan terjadi, organisasi harus meminimalisasi risiko sesuai dengan tingkat risiko yang diinginkan yaitu jumlah dan bentuk risiko yang akan mereka terima (Michael Whiteman,2011).

2.3 Manajemen Risiko

Manajemen risiko adalah langkah untuk mengidentifikasi, melakukan kualifikasi dan mengendalikan risiko informasi yang berdampak pada organisasi (Angus,2012). Menurut NIST (2002), manajemen risiko adalah proses yang memungkinkan manajer TI untuk menyeimbangkan biaya operasional dan ekonomi dalam tindakan pengamanan dan mencapai peningkatan kemampuan dengan melindungi data dan sistem TI yang mendukung misi organisasi mereka.

2.4 Perencanaan Manajemen Risiko

Perencanaan manajemen risiko terkait dengan semua komponen manajemen risiko misalnya identifikasi risiko, analisis risiko dan mitigasi risiko dimana menjadi suatu kesatuan fungsional. Merupakan bagian yang menginformasikan kepada semua anggota tim dan pengawas tentang risiko proyek, bagaimana risiko akan dikelola, dan siapa yang akan mengelola risiko (COA, 2005).

Perencanaan manajemen risiko merupakan skema dalam kerangka manajemen risiko dengan menetapkan pendekatan, komponen manajemen (prosedur, praktek, pembagian tanggung jawab, urutan dan waktu kegiatan) dan sumber daya untuk untuk diterapkan pada pengelolaan risiko (ISO 31000, 2009).

Menurut ISACA (2013), dalam hal perencanaan dan sumber daya, manajemen risiko mendefinisikan tanggung jawab, wewenang, hubungan antar personil yang terlibat dan melakukan verifikasi pekerjaan yang terkait dengan manajemen risiko dimana harus didefinisikan dan didokumentasikan. Organisasi harus

(29)

mengidentifikasi kebutuhan sumber daya dan memfasilitasi pelaksanaan program manajemen risiko tersebut melalui penugasan personil terlatih dalam kegiatan manajemen yang sedang berlangsung dan melakukan verifikasi untuk review internal.

2.5 Metode Penelitian Manajemen Risiko Keamanan Informasi

Dalam sub bab ini akan dibahas mengenai beberapa metode yang umum digunakan dalam perencanaan manajemen keamanan informasi yaitu antara lain:

2.5.1 ISO 27005

Merupakan standar yang dibuat oleh ISO (The International Organization for Standardization) dan IEC (The International Electrotechnical Commission), kedua badan tersebut sejak tahun 2005 mengembangkan sejumlah standardisasi di seluruh dunia yang salah satunya mengembangkan sejumlah standar tentang Information Security Management Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan.

Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari:

 ISO/IEC 27000:2009 tentang ISMS Overview and Vocabulary;

 ISO/IEC 27001:2005 tentang ISMS Requirement;

 ISO/IEC 27002:2005 tentang Code of Practice for ISMS;

 ISO/IEC 27003:2010 tentang ISMS Implementation Guidance;

 ISO/IEC 27004:2009 tentang ISMS Measurements;

 ISO/IEC 27005:2008 tentang Information Security Risk Management;

 ISO/IEC 27006: 2007 tentang ISMS Certification Body Requirements;

 ISO/IEC 27007 tentang Guidelines for ISMS Auditing.

Menurut ISO (2008), ISO 27005 memberikan pedoman manajemen risiko keamanan informasi dan dirancang untuk membantu pelaksaanaan proses keamanan informasi berdasarkan pendekatan manajemen risiko. Standar ini berlaku pada semua jenis organisasi misalnya perusahaan komersial, instansi

(30)

pemerintah maupun organisasi non-profit yang berniat untuk mengelola risiko yang dapat membahayakan keamanan informasi organisasi.

Suatu pendekatan sistematis terhadap manajemen risiko keamanan informasi diperlukan untuk mengidentifikasi kebutuhan organisasi mengenai persyaratan keamanan informasi dan menciptakan sistem manajemen keamanan informasi yang efektif. Pendekatan ini harus sesuai untuk lingkungan organisasi dan khususnya harus diselaraskan dengan manajemen risiko perusahaan secara keseluruhan. Upaya keamanan harus menangani risiko secara efektif dan tepat waktu dimana dan kapan mereka dibutuhkan. SMKI harus menjadi bagian integral dari semua kegiatan manajemen keamanan informasi dan harus diterapkan baik untuk pelaksanaan dan operasi yang sedang berlangsung.

Manajemen risiko keamanan informasi harus menjadi proses yang berkelanjutan.

Proses ini harus menetapkan konteks, menilai risiko dan penanganan risiko menggunakan rencana penanganan untuk melaksanakan rekomendasi dan keputusan. Manajemen risiko menganalisis apa yang bisa terjadi dan konsekuensi apa yang ditimbulkan, sebelum memutuskan apa yang harus dilakukan dan kapan untuk mengurangi risiko ke tingkat yang dapat diterima. Manajemen risiko keamanan informasi harus berkontribusi pada hal-hal berikut:

 Risiko yang diidentifikasi;

 Risiko yang dinilai dalam hal konsekuensi bisnis dan kemungkinan terjadinya risiko tersebut;

 Kemungkinan dan konsekuensi risiko dikomunikasikan dan dipahami;

 Urutan prioritas perlakuan resiko;

 Prioritas tindakan untuk mengurangi risiko yang terjadi;

 Para pemangku kepentingan terlibat ketika keputusan manajemen risiko dibuat dan selalu diinformasikan mengenai status manajemen risiko;

 Efektivitas pemantauan perlakuan risiko;

 Risiko dan proses manajemen risiko dipantau dan dikaji secara berkala;

 Informasi ditangkap untuk meningkatkan pendekatan manajemen risiko;

(31)

 Manajer dan staf dididik tentang risiko dan tindakan yang diambil untuk menanggulanginya.

Proses manajemen risiko keamanan informasi dapat diterapkan pada organisasi secara keseluruhan, setiap bagian dari organisasi, setiap sistem informasi, aspek yang ada atau yang direncanakan maupun untuk kontrol tertentu. Adapun gambaran tentang proses manajemen risiko keamanan informasi dapat dilihat pada Gambar 2.2:

Gambar 2.2 Proses Manajemen Risiko ISO 27005

Seperti yang digambarkan pada Gambar 2.2 bahwa proses manajemen risiko keamanan informasi dapat berulang untuk penilaian risiko dan/atau kegiatan penanganan risiko. Pendekatan iteratif untuk melakukan penilaian risiko dapat meningkatkan kedalaman dan rincian dari penilaian pada setiap iterasi.

Pendekatan berulang itu memberikan keseimbangan yang baik antara meminimalkan waktu dan usaha yang dihabiskan dalam mengidentifikasi kontrol.

(32)

Adapun langkah dalam proses manajemen risiko keamanan informasi adalah sebagai berikut:

a. Penetapan konteks

Menerangkan konteks manajemen risiko keamanan informasi harus ditetapkan dimana melibatkan penetapan kriteria dasar yang diperlukan untuk manajemen risiko keamanan informasi, mendefinisikan ruang lingkup maupun batasan dan membentuk sebuah organisasi yang layak menjalankan manajemen risiko keamanan informasi.

b. Penilaian risiko kemanan informasi

Mengukur atau menggambarkan secara kualitatif suatu risiko dan memungkinkan manajer untuk memprioritaskan risiko sesuai dengan keseriusan yang dirasakan atau kriteria lain yang telah ditetapkan. Penilaian risiko memuat kegiatan analisis risiko yang terdiri dari identifikasi risiko, estimasi risiko dan evaluasi risiko.

c. Penanganan risiko keamanan informasi

Kontrol untuk mengurangi, mempertahankan, menghindari atau mentransfer risiko yang harus dipilih dan rencana penanganan ditetapkan. Opsi penanganan risiko harus dipilih berdasarkan pada hasil penilaian risiko, biaya yang dikeluarkan dan manfaat yang diharapkan dari penerapan opsi tersebut.

Proses tersebut dapat dijelaskan pada Gambar 2.3:

(33)

Gambar 2.3 Proses Penanganan Risiko

Untuk mengurangi risiko maka harus menyusun rekomendasi kontrol yang bersumber pada ISO 27002 yang berisi tentang kode praktis dalam pengendalian keamanan informasi. Dalam ISO 27002 terdapat 12 kategori utama pengelolaan keamanan informasi yaitu antara lain:

 Kebijakan Keamanan;

 Organisasi Keamanan Informasi;

 Pengelolaan Aset;

 Keamanan Sumber Daya Manusia;

 Keamanan Lingkungan dan Fisik;

 Pengelolaan Operasi dan Komunikasi;

 Kontrol Akses;

 Pemeliharaan, Pengembangan dan Penerimaan Sistem Informasi;

 Pengelolaan Insiden Sistem Informasi;

(34)

 Pengelolaan Kelangsungan Bisnis;

 Kepatuhan.

d. Penerimaan risiko keamanan informasi

Keputusan untuk menerima risiko dan tanggung jawab terhadap keputusan harus dibuat dan secara resmi dicatat. Dalam beberapa kasus level risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku. Sebagai contoh, dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko sangatlah menarik atau karena biaya pengurangan risiko terlalu tinggi. Keadaan seperti itu menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan.

e. Komunikasi risiko keamanan informasi

Kegiatan untuk mencapai kesepakatan tentang bagaimana untuk mengelola risiko dengan bertukar dan/atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya. Komunikasi risiko harus dilaksanakan untuk mencapai hal-hal berikut:

 Untuk memberikan jaminan hasil manajemen risiko organisasi;

 Untuk mengumpulkan informasi risiko;

 Untuk membagi hasil dari penilaian risiko dan menyampaikan rencana penanganan risiko;

 Untuk menghindari atau mengurangi baik terjadinya maupun konsekuensi dari pelanggaran keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan;

 Untuk mendukung pengambilan keputusan;

 Untuk mendapatkan pengetahuan baru tentang keamanan informasi;

 Untuk bekerja sama dengan pihak lain dan merencanakan tanggapan untuk mengurangi konsekuensi dari kejadian apapun;

 Untuk memberikan rasa tanggung jawab tentang risiko pada para pembuat keputusan dan pemangku kepentingan;

 Untuk meningkatkan kesadaran.

(35)

f. Pemantauan dan peninjauan risiko keamanan informasi

Resiko tidak statis. Ancaman, kerentanan, kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa ada indikasi. Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini. Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman atau kerentanan baru. Organisasi harus memastikan bahwa hal-hal berikut ini terus dipantau:

 Aset baru yang telah dimasukkan dalam lingkup manajemen risiko;

 Modifikasi diperlukan terhadap nilai aset, misalnya karena perubahan kebutuhan bisnis;

 Ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum dinilai;

 Kemungkinan bahwa kerentanan baru atau yang meningkat dapat memungkinkan ancaman untuk mengeksploitasi kerentanan baru atau berubah;

 Mengidentifikasi kerentanan untuk menentukan mereka yang terekspos sehingga menjadi ancaman baru atau yang muncul kembali;

 Peningkatan dampak atau konsekuensi dari ancaman, kerentanan dan risiko yang telah dinilai dalam pengumpulan menghasilkan level risiko yang tidak dapat diterima;

 Insiden keamanan informasi.

Dalam proses Manajemen Risiko Keamanan Informasi (MRKI) terdapat keselarasan dengan sistem manajemen keamanan informasi (SMKI) yang dapat dijelaskan pada Tabel 2.2:

(36)

Tabel 2.2 Keselarasan antara proses SMKI dengan proses MRKI

Proses SMKI Proses Manajemen Risiko

Keamanan Informasi (MRKI)

Plan (Perencanaan)  Menetapkan konteks

 Penilaian risiko

 Mengembangkan rencana penanganan risiko

 Penerimaan risiko

Do (Implementasi)  Penerapan rencana penanganan

risiko

Check (Pemeriksaan)  Pemantauan dan peninjauan berkala

terhadap risiko

Act (Tindakan)  Meningkatkan dan memelihara

proses manajemen risiko keamanan informasi

Pada Tabel 2.2 diatas menerangkan bahwa proses menetapkan konteks, penilaian risiko, mengembangkan rencanan penanganan risiko dan penerimaan risiko di Manajemen Risiko Keamanan Informasi selaras dengan proses perencanaan di Sistem Manajemen Keamanan Informasi dikarenakan dalam keseluruhan proses tersebut terdapat kebijakan dan prosedur yang digunakan untuk meningkatkan keamanan informasi.

2.5.2 NIST SP 800-30

Merupakan rekomendasi dari NIST (National Institute of Standard and Technology ) melalui publikasi khusus yang berisi tentang Risk Management Guide for Information Technology System. Menurut NIST (2002), terdapat tiga proses dalam melakukan manajemen risiko yang dapat dilihat pada Gambar 2.4:

(37)

Risk Evaluation

Risk Assesment

Risk Mitigation

Gambar 2.4 Proses Manajemen Risiko NIST 800-30

Pada Gambar 2.4 dapat dijelaskan bahwa terdapat tiga proses dalam melakukan manajemen risiko keamanan informasi yaitu:

a. Risk Assesment

Adalah proses pertama dalam metodologi manajemen risiko. Organisasi menggunakan penilaian risiko untuk menentukan sejauh mana potensi ancaman dan risiko yang terkait dengan sistem TI. Hasil dari proses ini membantu untuk mengidentifikasi pengendalian yang tepat untuk mengurangi atau menghilangkan risiko selama proses mitigasi risiko. Dalam proses ini terdapat sembilan langkah penilaian risiko antara lain:

 Mengetahui karakteristik dari sistem TI : Hardware, software, sistem antarmuka (koneksi internal atau eksternal), data dan informasi, orang yang mendukung atau menggunakan sistem, tujuan dari sistem, data kritis dan sensitifitas data;

 Melakukan identifikasi terhadap ancaman yang dapat menyerang kelemahan sistem TI. Proses ini terdiri dari identifikasi sumber ancaman dan identifikasi motifikasi serta aksi ancaman;

 Identifikasi kerawanan (vulnerability). Tujuan dari proses ini adalah mengembangkan daftar kerawanan dari sistem yang dapat dieksploitasi sumber ancaman;

(38)

 Melakukan analisis kontrol. Tujuan dari proses ini adalah untuk melakukan analisis terhadap kontrol yang sudah diimplementasikan dan atau kontrol yang direncanakan untuk diimplementasikan ;

 Menetapkan kecenderungan (likelihood) yang dipengaruhi oleh kemampuan dan motivasi sumber ancaman, sifat kerawanan dan efektifitas dari kontrol yang telah digunakan;

 Analisa terhadap dampak yang dihasilkan dari suksesnya ancaman seperti loss of integrity, loss of availability, dan loss of confidentiality.

Beberapa dampak yang nyata dapat diukur secara kuantitatif dalam kehilangan pendapatan, biaya perbaikan sistem, atau tingkat usaha yang dibutuhkan untuk memperbaiki masalah yang disebabkan oleh tindakan ancaman yang sukses. Dampak lainnya (hilangnya kepercayaan masyarakat, kehilangan kredibilitas, kerusakan kepentingan organisasi) tidak dapat diukur dalam satuan tertentu tetapi dapat memenuhi syarat atau dijelaskan dalam hal tinggi, sedang, dan dampak yang rendah.

 Melakukan penilaian level risiko dari sistem TI dengan mengembangkan matrik level dan risiko skala risiko;

 Rekomendasi kontrol dengan tujuan untuk mengurangi level risiko sistem TI sehingga mencapai level dapat diterima;

 Dokumentasi hasil yang berisi laporan penilaian risiko yang menjelaskan ancaman dan kerawanan, pengukuran risiko dan menyediakan rekomendasi implementasi kontrol.

b. Proses Pengurangan Resiko (Risk Mitigation)

Merupakan langkah kedua dalam proses manajemen risiko. Proses ini terdiri dari beberapa langkah antara lain:

 Menentukan aksi prioritas berdasarkan level resiko dari hasil penilaian resiko, implementasi dari aksi yang diprioritaskan. Hasil dari langkah pertama ini adalah ranking tindakan mulai dari tinggi hingga rendah;

 Melakukan evaluasi terhadap pilihan kontrol yang direkomendasikan.

Kelayakan dan efektifitas dari pilihan kontrol yang direkomendasikan dianalisis dengan tujuan untuk meminimalkan risiko. Hasilnya adalah susunan daftar kontrol yang layak;

(39)

 Menyusun cost-benefit analysis. Hasilnya adalah penjelasan biaya dan manfaat jika organisasi mengimplementasikan atau tidak mengimplementasikan kontrol tersebut;

 Memilih kontrol berdasarkan hasil dari cost-benefit analysis dimana manajemen menentukan kontrol dengan biaya paling efektif untuk mengurangi risiko terhadap misi organisasi. Hasilnya adalah daftar kontrol yang dipilih;

 Memberikan tanggung jawab. Menentukan personil yang sesuai yang memiliki keahlian dan ketrampilan ditugaskan untuk mengimplementasikan pemilihan kontrol yang telah diidentifikasi dan bertanggung jawab terhadap apa yang sudah ditugaskan. Hasilnya adalah daftar tanggung jawab personal;

 Mengembangkan rencana implementasi keamanan yang mempunyai informasi terhadap risiko, rekomendasi kontrol, prioritas aksi, kontrol, daftar tanggung jawab dan implementasi;

 Implementasikan kontrol. Hasilnya adalah risiko residual.

c. Proses Evaluasi Risiko (Risk Evaluation)

Bagian ini menekankan praktek yang baik, kebutuhan untuk penilaian dan evaluasi risiko yang sedang berlangsung dan faktor-faktor yang akan mengarah pada kesuksesan program manajemen risiko.

2.5.3 OCTAVE

Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) yang dikembangkan Software Engineering Institute, Carnegie Mellon University. Menurut SEI (2011) bahwa metode manajemen risiko di dalam Octave dapat dilihat pada Gambar 2.5:

(40)

Gambar 2.5 Proses Manajemen Risiko OCTAVE

Sumber: Octave Catalog of Practise:2001

Pada Gambar 2.5 menggambarkan tiga langkah dalam melakukan metode manajemen risiko Octave yang terdiri dari:

a. Membangun profil ancaman berdasarkan aset

Fase ini adalah evaluasi dari sebuah organisasi. Tim analisis menentukan aset mana yang paling penting untuk organisasi (aset kritis) dan melakukan identifikasi apa yang telah dilakukan untuk melindungi aset-aset tersebut.

Survei berdasarkan katalog penerapan yang digunakan untuk memperoleh informasi dari personil organisasi tentang apa saja yang sudah dilakukan dengan memperhatikan penerapan keamanan. Proses yang dilakukan antara lain:

 Proses 1: Identifikasi pengetahuan manajemen senior. Manajer senior yang terpilih mengidentifikasi aset penting, ancaman yang dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan kerentanan organisasi;

 Proses 2: Identifikasi pengetahuan manajemen area operasional. Manajer Operasional yang terpilih mengidentifikasi aset penting, ancaman yang

(41)

dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan kerentanan organisasi;

 Proses 3: Identifikasi pengetahuan staf. Pegawai staf TI dan di luar TI mengidentifikasi aset penting, ancaman yang dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan kerentanan organisasi;

 Proses 4: Membuat Profil Ancaman. Tim analisis menganalisis informasi dari Proses 1 sampai 3, memilih aset kritis, memperbaiki persyaratan keamanan terkait dengan aset tersebut, mengidentifikasi ancaman terhadap aset kritis dan membuat profil ancaman.

b. Melakukan identifikasi kerawanan infrastruktur

Fase ini adalah evaluasi dari infrastruktur informasi. Tim analisis mengkaji kunci komponen operasional untuk mencari kelemahan (kerentanan teknologi) yang dapat menyebabkan tindakan yang tidak terotorisasi terhadap aset kritis. Proses yang dilakukan dalam fase ini antara lain:

 Proses 5: Identifikasi Komponen Kunci - Tim analisis mengidentifikasi informasi kunci sistem dan komponen teknologi untuk setiap aset kritis.

Kasus tertentu kemudian dipilih untuk evaluasi;

 Proses 6: Evaluasi Komponen Terpilih - Tim analisis mengkaji sistem dan komponen kunci untuk kelemahan teknologi. Hasilnya diperiksa dan diringkas kemudian mencari relevansi untuk aset kritis dan profil ancaman.

c. Mengembangkan rencana dan strategi keamanan

Dalam tahap evaluasi ini, tim analisis mengidentifikasi risiko terhadap aset kritis organisasi dan memutuskan cara untuk mengatasi risiko. Proses pada tahap ini antara lain:

 Proses 7: Melakukan Analisis Risiko - Tim analisis mengidentifikasi dampak ancaman terhadap aset penting untuk menentukan risiko, mengembangkan kriteria untuk mengevaluasi risiko-risiko, dan mengevaluasi dampak risiko berdasarkan kriteria tersebut. Ini menghasilkan profil risiko untuk setiap aset kritis;

 Proses 8: Mengembangkan Strategi Perlindungan - Tim analisis menciptakan strategi perlindungan organisasi dan mitigasi rencana untuk

(42)

aset kritis, berdasarkan analisis informasi yang dikumpulkan. Manajer senior kemudian meninjau, memperbaiki, dan menyetujui strategi dan rencana;

2.6 Perbandingan Metode Perancangan Manajemen Risiko

Dari pembahasan ketiga metode perencanaan manajemen risiko keamanan informasi seperti dibahas pada sub bab 2.4, maka dapat dilakukan perbandingan dari karakteristik pada masing-masing metode perencanaan manajemen risiko keamanan informasi untuk selanjutnya digunakan sebagai pertimbangan dan panduan dalam metodologi penelitian. Adapun kriteria dan perbedaan dari metode perencanaan manajemen risiko keamanan informasi adalah seperti yang ditunjukkan pada Tabel 2.3:

Tabel 2.3 Perbandingan metode manajemen risiko keamanan informasi

No Metodologi NIST SP 800-30 OCTAVE ISO 27005

1 Vendor National Institute for

Standard and Technology (NIST)

Carnegie Mellon University, Software Engineering Institute (SEI)

International Standard Organization (ISO)

2 Risk

Metodologi

 Memberikan panduan dan identifikasi yang rinci (checklist, grafis dan rumus matematika) dalam manajemen dan penilaian risiko keamanan informasi.

 Bersifat self- directed, yang berarti bahwa personel dalam organisasi

bertanggung jawab untuk menetapkan strategi keamanan organisasi.

 Menjelaskan dengan lengkap proses manajemen risiko keamanan informasi

 Masih berkaitan dengan ISO 27001 dan ISO 27002

 Terdapat kriteria unit dan ruang lingkup dalam penetapan konteks manajemen risiko keamanan informasi

3 Target

Organisasi

 Pemerintahan

 Perusahaan besar

 Small Medium Enterprise (SME)

 Pemerintahan

 Perusahaan besar

 Small Medium Enterprise (SME)

4 Target Level

Organisasi

 Teknikal

 Operasional  Manajemen

 Operasional Sumber: The European Union Agency for Network and Information Security: 2014

(43)

2.7 Penelitian Sejenis Sebelumnya

Sebagai bahan pertimbangan dan rujukan dalam penyusunan penelitian yang disusun, penulis telah menemukan beberapa penelitian sejenis sebelumnya yang mengambil topik yang berkaitan dengan perencanaan manajemen risiko keamanan informasi. Berikut pembahasan mengenai penelitian tersebut:

a. Perancangan Manajemen Resiko Sistem Informasi di Instansi Pemerintah:

Studi Kasus Direktorat Jenderal Perkeretaapian oleh Ary Lundi Ayu Oktrada tahun 2012.

Dalam penelitian ini menggunakan metodologi NIST 800-30 dikarenakan standar tersebut sudah banyak digunakan di pemerintahan. Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut:

 Identifikasi sistem informasi;

 Pemilihan sistem informasi;

 Penyusunan perencanaan manajemen risiko TI.

Keluaran yang dihasilkan adalah daftar kontrol yang digunakan untuk mengurangi risiko. Kekurangan dari penelitian ini adalah pada proses penilaian risiko dimana penentuan kecenderungan kurang lengkap dan kuantifikasi dampak serta analisis biaya kurang terperinci.

b. Manajemen Resiko Sistem Informasi: Studi Kasus Pusat Komunikasi Kementerian Luar Negeri oleh Feradhian Prasastie tahun 2013.

Dalam penelitian ini menggunakan metodologi NIST 800-30 dikarenakan standar tersebut tepat untuk diimplementasikan di lingkungan pemerintahan.

Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut:

 Perumusan masalah;

 Studi literatur;

 Pengumpulan data;

 Penilaian risiko;

 Prioritas tindakan;

 Evaluasi kontrol;

 Analisis biaya dan manfaat;

 Pemilihan kontrol.

(44)

Keluaran yang dihasilkan adalah kontrol yang digunakan untuk mengurangi risiko yang ada dilengkapi dengan analisis biaya. Kekurangan dari penelitian ini adalah objek penelitian terlalu luas yaitu seluruh sistem informasi dan teknologi informasi di Pusat Komunikasi Kementerian Luar Negeri sehingga penilaian risiko kurang mendalam dan tidak adanya strategi penanganan risiko dimana disusun rekomendasi kontrol untuk semua risiko yang sudah dievaluasi.

c. Evaluasi Manajemen Risiko Keamanan Informasi Sistem Provisionong Gateway Telkom Flexy oleh Ega Lestaria Sukma tahun 2011

Penelitian ini menggunakan metodologi ISO 27001 dan ISO 27002 dikarenakan memiliki kontrol objektif yang lengkap. Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut:

 Perencanaan;

 Pengumpulan data;

 Analisis;

 Penyelesaian.

Keluaran yang dihasilkan adalah evaluasi risiko dan penyusunan prosedur keamanan informasi pada sistem provisioning gateway Telkom Flexi.

Kekurangan dari penelitian ini adalah tidak adanya definisi kriteria penanganan risiko sehingga keputusan untuk menerima risiko kurang jelas.

2.8 Kerangka Pemikiran (Theoritical Framework)

Adapun kerangka pemikiran dari penelitian ini dapat dilihat pada Gambar 2.6: