Manajemen Risiko TI pada Situs Perwalian Online

(1)

IT RISK MANAGEMENT (ITRM) PADA SITUS PERWALIAN

ONLINE

(2)

1 BAB 1

TINJAUAN PUSTAKA

1.1 Risiko

1.1.1 Pengertian risiko

Menurut McLeod & Schell (2009:274) risiko keaman informasi didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keaman informasi, oleh ancaman keaman informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko – risiko ini terbagimenjadi empat jenis

1. Pengumpulan informasi yang tidak terotorisasi dan pencarian ketika suatu basis data dan perpustakaan suatu piranti lunak tersedia bagi orang yang seharusnya tidak memiliki hak akses, hasilnya adalah hilangnya informasi dan uang

2. Penggunaan informasi yang tidak terotorisasi, pengguna informasi yang tidak terotorisasi terjadi ketika orang – orang yang biasanya tidak berhak menggunakan sumberdaya perusahaan mampu melakukan hal tersebut. Contoh kejahatan tipe ini adalah hacker

3. Penghancuran informasi yang terotorisasi dan penolakan pelayanan seseorang yang dapat merusak dan menghancurkan piranti keras dan piranti lunak sehingga oprasional komputer tidak berfungsi. Pelaku tidak harus berada pada lokasi fisik tapi dapat memasuki jaringan komputer dengan menggunakan sumberdaya seperti e-mail sehingga oprasional bisnis tidak berlangsung normal

4. Modifikasi informasi yang tidak terotorisasi, perubahan dapat dilakukan pada data, informasi, dan piranti lunak. Perubahan dapat berlangsung tampa disadari dan menyebabkan para pengguna output sistem mengambil keputusan yang salahjenis jenis risiko

1.1.2 Deskripsi tingkat risiko

Skala risiko ini, dengan penilaian yang High, Medium, Low dan

menjelaskan derajat atau tingkat risiko berdasarkan status stoplight pada

(3)

2 sistem praktek keamanan penggunaan TI dapat dilihat pada tabel berikut ini :

Tabel 1.1deskripsi nilai dan tingkat risiko

No Nilai

dampak Tingkat Status

stoplight Deskripsi Definisi

Kemungkinan

1 1 Rendah

(low)

Green Jika pengamatan digambarkan sebagai risiko rendah, harus menentukan apakah tindakan perbaikan masih diperlukan atau memutuskan untuk menerima risiko

Sumber ancaman kurang termotivasi dan mampu, atau pengendalian yang ada untuk mencengah atau

setidaknya secara signifikan

menghambat

kerentanan yang mungkin terjadi

2 2-3 Sedang

(medium)

Yellow Jika pengamatan dinilai sebagai risiko menengah,

tindakan korektif yang diperlukan dan rencana harus dikembangkan untuk memasukkan tindakan ini dalam jangka waktu yang wajar

Sumber ancaman termotivasi dan mampu, tetapi pengendalian yang

ada, dapat

menghambat

kerentanan dengan sukses.

3 4-5 Tinggi

(high)

Red Jika observasi atau temuan dievaluasi sebagai risiko tinggi, ada kebutuhan yang kuat untuk langkah langkah perbaikan.

Sistem yang ada dapat

Sumber ancaman yang memiliki motivasi tinggi, memiliki kemampuan yang

cukup, dan

pengendalian untuk mencegah kerentanan

(4)

3

terus beroperasi, tetapi rencana tindakan korektif harus dilakukan secepat mungkin

yang mungkin terjadi tidak

efektif.

Probabilitas terkait penyebab risiko bahwa ancaman yang disebabkan oleh ancaman yang akan terjadi terhadap kerentanan. Level Probabilitas akan dijelaskan pada tabel berikut ini :

Tabel 1.2 level probabilitas

No Level Nilai Probabilitas

1 1 Tidak terjadi ( <20%)

2 2-3 Jarang (20%-80%)

3 4-5 Terjadi ( > 80%)

Matriks status stoplight dapat dilihat pada table ini :

Tabel 1.3 matriks status stoplight

Kemungkinan

5 Medium Medium High High High

4 Low Medium High High High

3 Low Medium Medium High High

2 Low Medium Medium Medium High

1 Low Low Medium Medium High

1 2 3 4 5

Dampak

1.2 Manajemen Risiko

Manajemen resiko adalah suatu sistem pengawasan risiko dan

perlindungan harta benda, hak milik dan keuntungan badan usaha atau perorangan

atas kemungkinan timbulnya kerugian karena adanya suatu risiko.

(5)

4 Proses pengelolaan risiko mencakup identifikasi, evaluasi dan pengendalian risiko yang dapat mengancam kelangsungan usaha atau aktivitas perusahaan. Suatu pendekatan terstruktur atau metodologi dalam mengelola ketidakpastian yang berkaitan dengan ancaman, melalui serangkaian aktivitas seperti, Penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan menggunakan pemberdayaan ataupengelolaan sumberdaya

Resiko sendiri terbagi menjadi beberapa klarifikasi diantaranya adalah : 1. Hazard risk : kebakaran, banjir dsb

2. Financial risk : \harga, kredit, inflasi dsb

3. Strategic risk : kompetisi, inovasi teknologi, perubahan kebijkan, kerusakan nama sbaik perusahaan

4. Operational risk : IT capability, operasi bisnis, ancaman kemanan dsb.

Jika dikaitkan dengan informasi dan data, maka ancaman dapat kita klasifikasikan sebagai berikut :

• Loss of confidentiality of information

Informasi diperlihatkan kepada pihak yang tidak berhak untuk melihatnya

• Loss of integrity of information

Informasi tidak lengkap, tidak sesuai aslinya, atau telah dimodifikasi

• Loss of availability of information Informasi tidak tersedia saat dibutuhkan

• Loss of authentication of information

Informasi tidak benar atau tidak sesuai fakta atausumbernya tidak jelas

1.3 Manajemen Risiko Teknologi Informasi (IT Risk Management)

Manajemen risiko TI adalah proses yang memungkinkan manajer IT untuk menyeimbangkan operasionaldan biaya ekonomi dari tindakan pengamanan dan mencapai keuntungan dalam kemampuan misi dengan melindungi sistem IT dan data yang mendukung misi organisasi.

Terdapat tiga tahap dalam manajemen risiko IT yaitu ; 1. Risk assessment

2. Risk mitigation

(6)

5 3. Evaluation and assessment

1.4 Metode OCTAVE-S

Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation)adalah sebuah pendekatan terhadap evaluasi resiko keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi resiko keamanan informasi. OCTAVE-S (The Operationally Critical Threat, Asset, and Vulnerability Evaluation- Small) digunakan pada organisasi kecil (kurang dari 100 orang). OCTAVE-S dilakukan oleh suatu tim teknologi informasi antara 3-5 orang dalam tim tersebut. Agar metode OCTAVE-S dapat berjalan dengan baik, maka tim teknologi informasi harus memiliki pengetahuan mengenai proses bisnis perusahaan, tujuan bisnis yang akan dicapai, sehingga proses manajemen resiko menggunakan metode OCTAVE-S dapat dilakukan oleh perusahaan itu sendiri.

1.4.1 Proses OCTAVE-S

OCTAVE-S adalah proses evaluasi terhadap resiko keamanan informasi yang dilakukan oleh perusahaan/ organisasi sendiri. OCTAVE-S membutuhkan tim analisis untuk mengidentifikasi resiko keamanan informasi dari aset penting suatu organisasi/ perusahaan yang berhubungan dengan tujuan bisnisnya, terutama pada strategi keamanan secara luas dan perencanaan penanggulangan resiko berbasis aset. Penerapan OCTAVE-S dapat membuat suatu organisasi/ perusahaan memiliki kemampuan untuk melindungi semua informasi yang berhubungan dengan aset dan meningkatkan sistem keamanan informasi.

Proses dalam OCTAVE-S terdiri dari tiga fase yang dijelaskan dalam

kriteria OCTAVE, meskipun urutan dari aktivitasnya berbeda dengan metode

OCTAVE. Berikut ini penjelasan mengenai fase, proses, dan aktivitas dari

OCTAVE-S.

(7)

6 1. Fase 1 Membuat Profil Ancaman Berbasis Aset (Build Asset-Based

Threat Profiles)

Fase ini merupakan evaluasi pada aspekkeorganisasian. Pada fase ini, tim analisis mendefinisikanImpact Evaluation Criteria yang akan digunakan untuk mengevaluasi tingkat resiko.Pada fase ini juga dilakukan proses identifikasiaset‐aset penting perusahan dan evaluasi tingkat keamanan yang saat ini diterapkan oleh perusahaan.Hasilfase ini adalah pendefinisikan kebutuhan keamanan informasi dan profil ancaman untuk aset‐aset terpenting tersebut. Proses dan aktivitas dari fase 1 ditunjukan pada tabel 3- 1 berikut.

Tabel 1.4 proses dan aktifitas fase 1

Phase Process Activity

Phase 1: Build Asset- Based Threat Profiles

Process S1: Identify Organizational Information

S1.1 Establish Impact Evaluation Criteria

S1.2 Identify Organizational Assets S1.3 Evaluate Organizational Security

Practices Process S2: Create Threat

Profiles

S2.1 Select Critical Assets

S2.2 Identify Security Requirements for Critical Assets

S2.3 Identify Threats to Critical Assets S3.2 Analyze Technology-Related

Processes

2. Fase 2 Mengidentifikasi Kelemahan Infrastruktur (Identify

Infrastructure Vulnerabilities)

Pada fase ini dilakukan high‐level reviewterhadap infrastruktur teknologi

informasi perusahaandan berfokus pada hal‐hal yang menjadi perhatian

utama para pengelola infrastruktur.Tim menganalisis bagaimana

penggunaan infrastruktur terutama yang berhubungan dengan aset‐aset

terpenting (critical assets). Proses dan aktivitas dari fase 2 ditunjukan pada

tabel 3-2 berikut.

(8)

7

Tabel 1.5 proses dan aktifitas fase 2

Phase 2: Identify Infrastructure Vulnerabilities

Process S3: Examine Computing Infrastructure in Relation to Critical Assets

S3.1 Examine Access Paths

S3.2 Analyze Technology-Related Processes

3. Fase 3 Membuat Perencanaan dan Strategi Keamanan (Develop

Security Strategy and Plans)

Pada fase ini dilakukan identifikasi resikoterhadap aset‐aset terpenting (critical assets)dan memutuskan langkah‐langkah apa yang harus dilakukan.

Proses dan aktivitas dari fase 3 ditunjukan pada tabel 3-3 berikut.

Tabel 1.6 Proses dan aktivitas Fase 3

Phase 3: Develop Security Strategy and Plans

Process S4: Identify and Analyze Risks

S4.1 Evaluate Impacts of Threats S4.2 Establish Probability Evaluation

Criteria

S4.3 Evaluate Probabilities of Threats Process S5: Develop

Protection Strategy and Mitigation Plans

S5.1 Describe Current Protection Strategy

S5.2 Select Mitigation Approaches S5.3 Develop Risk Mitigation Plans S5.4 Identify Changes to Protection

Strategy

S5.5 Identify Next Steps

(9)

8 BAB 2

METODE PENELITIAN

Proses atau alur penelitian akan disajikan dalam berupa gambar yang menjelaskan setiap tahap penelitian. Alur penelitian yang dilakukan dijelaskan dalam gambar 4.1 dibawah ini:

MULAI

1. WAWANCARA 2. OBSERVASI 3. KUISIONER 1.

PENGUMPULAN DATA

1. PENGUMPULAN DATA MENGENAI SYSTEM DAN

ORGANISASI 2. STUDI PUSTAKA 1. MENENTUKAN TOPIK DAN OBJEK PENELITIAN 2. PERUMUSAN MASALAH 3, MENENTUKAN BATASAN PENELITIAN

4. MEMBUAT PERENCANAAN DAN JADWAL PENELITIAN PENDAHULUAN

STUDI PUSTAKA

PROPOSAL PENELITIAN

DATA PRIMER DAN SEKUNDER

ANALISIS DATA

ANALISIS RISIKO

PENETAPAN PRIORITAS

OCTAVE - S

DOKUMENTASI PENELITIAN DOKUMEN STRATEGI MITIGASI RISIKO

SELESAI

Gambar 2.1 alur penelitian

(10)

9 2.1 Tahap Pendahuluan

Pada tahap ini, terdiri dari empat tahapan, yaitu : 1. Menentukan topik dan objek penellitian

Hal pertama yang dilakukan adalah menentukan topic dan objek peneitian. Topic yang diambil untuk penelitian kali ini adalah mengenai risiko manajemen terkait situs perwalian online menggunakan octave-S

2. Perumusan masalah

Proses perumusan masalah adalah bagian dari tahap penelitian yang akan dilakukan. Penulis merumuskan masalah sesuai dengan keadaan yang ada pada studi kasus yang diteliti, yaitu situs perwalian online di UNIKOM.

3. Menentukan batasan penelitian

Agar penelitian tidak terlalu lebar maka akan ditentukan batasan pada penelitian. Penelitian ini dilakukan di situs perwalian onlineUNIKOM dengan menggunakan tools octave-s

4. Membuat perencanaan dan jadwal penelitian

Langkah selanjutnya adalah dengan membuat perencanaan dan jadwal penelitian yang akan dilakukan.

2.2 Pengumpulan Data

Data yang dibutuhkan untuk penelitian ini, terdiri dari data primer dan data sekunder .

A. Data Primer

1. Wawancara (interview)

Pengumpulan data yang dilakukan dengan cara berkomunikasi

langsung dengan pihak terkait yang dianggap mampu memberikan

informasi (audit) yang lebih terperinci terhadap permasalahan yang sedang

diteliti. Pada tahap ini, penulis melakukan focus interview karena

responden yang diwawancarai dalam waktu yang singkat. Wawancara

dilakukan langsung kepada bagian ICT unikom selaku pihak yang

mengelola situs perwalian online.

(11)

10 Dalam penelitian ini pengumpulan data mengenai organisasi dan system diperlukan untuk tahap analisis manajemen risiko, mencakup :



data risiko teknologi informasi



hasil observasi dan wawancara mengenai risiko yang pernah terjadi 2. Analisis dan Observasi

Pengumpulan data melalui pengamatan dan pencatatan data secara langsung di lapangan terhadap proses yang terjadi.Observasi dilakukan untuk mengamati keadaan sesuai dengan topic penelitian.

3. Kuisioner

Kuisioner dilakukan untuk mengetahui evaluasi asset berbasis ancaman, mengetahui tinngkat risiko, pada situs perwalian online UNIKOM.Kuisioner dalam penelitian dibuat untuk menilai risiko dari penggunaan teknologi informasi dan haapan yang diinginkan.

B. Data Sekunder 1. Studi Pustaka

Metode pengumpulan data dengan mencari data kepustakaan yang menunjang. Kepustakaan tersebut dapat berupa buku, jurnal ilmiah, e- book, dan lain sebagainya yang ada kaitannya dengan penelitian. Studi pustaka dilakukan dengan mencari referensi tentang risiko, manajemen risiko, tools yang digunakan yaitu octave s, berbagai buku terkait penelitian, dan jurnal penelitian sebelumnya sebagai pendukung pada penulisan penelitian.

2.3 Analisis Data

1. Analisis Risiko

Pada tahap ini, penulis melakukan analasis terhadap risiko berdasarkan data primer dan daa sekunder yang telah didapat pada tahap sebelumya.

Tahap analisis menggunakan metode OCTAVE-S dengan tiga fase, fase 1

yaitu membangun asset berdsarkan profil ancaman, 2 yaitu identifikasi

informasi organisasi dan membangun profil ancaman, dan fase 3

(12)

11 mengembangkan strategi kemanan dan perencanaan. Tabel 4.1menjelaskan langkah detailnya.

Tabel 2.1Tahapan Metode Octave-S

Fase 1 Membangun asset berbasis profil ancaman

Proses S1 Identifikasi Informasi Organisasi

S1.1 membangun dampak dan kriteria evaluasi

1 menentukan ukuran kualitatif (tinggi, sedang,rendah) terhadap efek risiko yang akan dievaluasi dalammisi organisasi dan tujuan bisnis perusahaan

S1.2 mengidentifikasi asset organisasi

2 mengidentifikasi informasi yang terkait denganaset dalam organisasi (informasi, sistem, aplikasi danorang) menggunakan lembar wawancara

S1.3 mengevaluasi praktek keamanan organisasi

3a Menentukan sejauh mana praktek yang disurvei digunakanoleh organisasi

3b Mengevaluasi setiap area praktek keamanan yangmenggunakan survei dari langkah 3a 4 penentuan status stoplight (merah, kuning atau

hijau) untuksetiap wilayah praktek keamanan . Dokumen yang dihasilkan adalah catatan dan rekomendasiyang diidentifikasi selama proses S1

Proses S2 Membuat profil Ancaman

S2.1 memilih asset kritis 5 Meninjau ulang informasi yang berhubungan dengan asset yang diidentifikasi pada langkah ke-2 dan pilih hingga 5(lima) yang paling penting untuk situs perwallian onlineUNIKOM.

6 Mencatat nama dari aset informasi aset kritis 7 Mencatat alasan dari setiap pemilihan aset kritis

pada kertaskerja infomasi aset kritis.

8 Mencatat deskripsi dari setiap aset kritis pada kertas kerjainformasi aset kritis. Pertimbangkan siapa yang menggunakan dan bertanggung

(13)

12

jawab atas aset kritis

9 Mencatat aset yang berhubungan dengan setiap aset kritis yang terdapat pada kertas kerja informasi aset kritis.

S2.2 Identifikasi kebutuhan keamanan untuk asset kritis

10 Mencatat kebutuhan keamanan untuk setiap aset kritis yangterdapat pada kertas kerja informasi aset kritis

11 mencatat kebutuhan untuk setiap asset kristis mengenai keamanan yang paling penting yang terdapat pada kertaskerja infomasi aset kritis S2.3 identifikasi ancaman pada

asset kritis

12 - Melengkapi semua ancaman yang sesuai dengan aset kritis.

- Menandai setiapkemungkinan ancaman yang tidak dapat diabaikan dalamaset.

13 Mencatat contoh spesifik dari pelaku ancamandalam kertas kerja profil risiko yang berlaku untuk setiapkombinasi motif pelaku 14 Mencatat kekuatan motif untuk setiap ancaman

yangdisengaja yang dikarenakan tindakan manusia. Jugamencatat bagaimana kepercayaan terhadap perkiraankekuatan atas motif pelaku.

15 Mencatat seberapa sering setiap ancaman telah terjadi dimasa lalu. Juga mencatat bagaimana keakuratan data yangdipercaya.

16 Mencatat area yang terkait dengan setiap sumber dariancaman yang sesuai. Sebuah area yang terkait adalahsebuah skenario yang mendefinisikan seberapa spesifikancaman dapat mempengaruhi aset kritis

Fase 2 Mengidentifikasi kerentanan infrastruktur

Proses 3 Memeriksa perhitungan infrastruktur yang

berhubungan dengan asset kritis

S3.1 memeriksa jalur asset 17 Pilih sistem yang menarik untuk setiap aset

(14)

13

kritis

18 18

A

Tinjau ulang jalur yang digunakan oleh setiap aset kritis danpilih kelas kunci dari komponen yang berkaitan dengansetiap aset kritis.

Tentukan kelas komponen yangmerupakan bagian dari sistem yang menarik

18 B

Menentukan kelas komponen yang bertindak sebagai aksespoin lanjut (misalnya komponen yang digunakan untukmengirimkan informasi dan aplikasi dari sistem yangmenarik untuk orang)

18 C

Menentukan kelas komponen baik internal dan eksternaluntuk jaringan organisasi, digunakan oleh orang (misalnyapengguna, penyerang) untuk mengakses sistem

18 D

Menentukan dimana informasi yang menarik dari sistemdisimpan untuk tujuan back-up.

18 E

Menentukan mana sistem akses informasi yang lain atauaplikasi dari sistem yang menarik dan kelas komponenmana yang dapat digunakan untuk mengakses informasikritis atau layanan dari sistem yang menarik

S3.2 menganalisa proses yang terkait teknologi

19 A

Menentukan kelas komponen yang berhubungan dengansatu atau lebih aset kritis dan yang menyediakan akseskepada aset tersebut. Tandai setiap jalur untuk setiap kelasyang dipilih dalam langkah 18a sampai 18e. Tandai setiapbagian kelas atau contoh spesifik yang berhubungan jikadiperlukan.

19 B

Untuk setiap kelas komponen yang didokumentasi dalamlangkah 19a, tandai aset kritis mana yang terkait dengankelas tersebut

(15)

14

20 Untuk setiap kelas komponen yang di dokumentasikandalam langkah 19a, tandai orang atau kelompok yangbertanggung jawab untuk memelihara dan melindungi kelaskomponen tersebut

21 Untuk setiap kelas komponen yang didokumentasikandalam langkah 19a, tandai sejauh mana kelas tersebut dapatbertahan terhadap serangan jaringan. Juga catat bagaimanakesimpulan dibuat. Akhirnya, dokumen konteks tambahanberhubungan dengan analisis infrastuktur, dokumen yangdihasilkan adalah catatan dan rekomendasi yangdidefinisikan selama proses S3.

Fase 3 Mengembangkan strategi keamanan dan perencanaan

Proses 4 Identifikasi dan Analisis risiko S4.1 mengevaluasi dampak

ancaman

22 Menggunakan kriteria evaluasi dampaksebagai panduan, memberi nilai dampak(tinggi, sedang, rendah) untuk setiapancaman yang aktif bagi aset kritis

S4.2 membangun kemungkinan kriteria evaluasi

23 Menentukan ukuran kualitatif (tinggi,sedang, rendah) terhadap, kemungkinanterjadinya ancaman yang akan dievaluasi.

S4.3mengevaluasikemungkinan ancaman

24 Menggunakan kriteria evaluasikemungkinan sebagai panduan,menetapkan nilai kemungkinan (tinggi,sedang, rendah) untuk setiap ancaman

yang aktif terhadap aset kritis.Dokumenkan tingkat keyakinan dalammemperkirakan kemungkinan.

Proses s5 Mengambangkan strategi perlindungan dan rencana mitigasi

(16)

15

S5.1 menggambarkan strategi

perlindungan saat ini

25 Mengirim status stoplight untuk setiaparea praktek keamanan yang sesuaidengan area kertas kerja strategiperlindungan. Untuk setiap area praktek

keamanan identifikasikan pendekatanyang dilakukan oleh organisasi saat iniyang ditujukan terhadap area tersebut.

S5.2 memilih pendekatan mitigasi 26 Mengirim status stoplight untuk setiaparea praktek keamanan dari kertas kerjapraktek keamanan ke “area praktekkeamanan” (langkah 26) untuk setiap asset kritis dari kertas kerja profil risiko.

27 Memilih pendekatan mitigasi(mengurangi, menunda, menerima) untuksetiap risiko aktif.diputuskan untuk ditangani, lingkari satuatau lebih area praktek keamanan yanghendak dilakukan kegiatan mitigasi.

S5.3mengembangkan rencana mitigasi risiko

28 Mengembangkan rencana mitigasi untuksetiap area praktek keamanan yang dipilihpada langkah 27. Setelah langkah iniselesai, jika mengalami kesulitan untukmendapatkan aktivitas mitigasi yangpotensial pada area praktek keamanan,tinjau ulang contoh aktivitas mitigasi dariarea tersebut dipanduan aktivitas mitigasi.

S5.4 identifikasi perubahan untuk strategi perlindungan

29 Menentukan apakah rencana

mitigasimempengaruhi strategi perlindunganorganisasi. Catat setiap perubahan

padakertas kerja strategi

perlindungan.Selanjutan, tinjau tindak ulang strategiperlindungan, diikuti dengan tujuan perubahan. Tentukan apakah ada niatuntuk membuat perubahan tambahanpada strategi

(17)

16

perlindungan. Catat setiapperubahan tambahan pada kertas kerjastrategi perlindungan.

S5.5 identifikasi langkah selanjutnya

30 Menentukan apa yang dibutuhkanorganisasi

2. penetapan prioritas

Dilakukan dengan langkah pengendalian yang didasarkan pada hasil penilaian risiko perusahaan secara keseluruhan dan menghasilkan dokumentasi daftar tindakan.

2.4 Dokumentasi Penelitian

Seluruh hasil penelitian akan didokumentasikan sesuai dengan format

penyusunan laporan yang telah ditentukan.

(18)

17 BAB 3

HASIL DAN PEMBAHASAN

3.1 Analisis Resiko dengan metode OCTAVE-S

Analisis resiko dengan metode OCTAVE-S terdiri dari tiga tahapan yaitu membuat profil ancaman berbasis aset, mengidentifikasi kelemahan infrastruktur, membuat perencanaan dan strategi keamanan.

3.1.1 Membuat Profil Ancaman Berbasis Aset

Tahap ini terdiri dari dua proses yaitu identifikasi informasi organisasi, dan membuat profil ancaman.

1. Proses S1 Identifikasi informasi organisasi S1.1 membangun dampak dan kriteria evaluasi

Tahap ini dilakukan untuk mengetahui informasi mengenai ukuran kualitatif terhadap kemungkinan dan dampak dari resiko yang mungkin timbul dalam penggunaan situs perwalian online UNIKOM. Informasi tersebut dijelaskan pada tabel 5.1 berikut.

Tabel 3.1 Ukuran probabilitas dan dampak

Nilai Probabilitas Dampak

Rendah Frekuensi munculnya

ancaman kurang dari atau sama dengan 1 kali/

tahun

Dampak yang ditimbulkan tanpa perlu ada upaya untuk mengatasinya

Sedang Frekuensi munculnya

ancaman antara 1-5 kali/tahun

Dampak yang ditimbulkan membutuhkan upaya untuk memperbaiki sistem

Tinggi Frekuensi munculnya

ancaman lebih dari 5 kali/ tahun

Dampak besar, kemungkinan tidak bisa diperbaiki sehingga sistem tidak dapat diakses

(19)

18 S1.2 mengidentifikasi aset organisasi

Tahap selanjutnya yaitu melakukan wawancara kepada pihak ICT UNIKOM untuk mengetahui aset yang terlibat dalam penggunaan situs perwalian UNIKOM. Penjelsanan mengenai aset kritis dijelaskan pada tahap selanjutnya. Selain dilihat berdasarkan aset kritis, perlu dilihat juga sistem perwalian online yang dapat diakses pada alamat https:\\perwalian.unikom.ac.id. tampilan sistus dapat dilihat pada gambar berikut.

Gambar 3.1 Situs perwalian online UNIKOM

Situs perwalian UNIKOM dapat diakses oleh mahasiswa, dosen wali, struktural prodi, karyawan sekretariat, dan pihak ICT UNIKOM.

S1.3 mengevaluasi praktek keamanan organisasi

Berdasarkan hasil wawancara dengan pihak ICT UNIKOM, menyatakan bahwa dalam proses praktek keamanan sistem sudah dilakukan secara rutin, namun belum adanya dokumentasi terhadap permasalahan/

resiko apa saja yang pernah terjadi dan bagaimana cara mengatasi

permasalahan tersebut. Sehingga dalam prosesnya, ketika terdapat

permasalahan pada sistem, maka langsung segera diatasi tanpa melihat

permasalahan sebelumnya.

(20)

19 2. Proses S2 membuat profil ancaman

S2.1 identifikasi aset kritis

Tahap ini dilakukan untuk menentukan aset yang paling penting (aset kritis) kemudian mengidentifikasi apa yang perlu dilakukan untuk melindungi aset tersebut. Tabel 5.2 menjelaskan mengenai aset kritis yang berkaitan dengan situs perwalian online UNIKOM.

Tabel 3.2 Identifikasi Aset kritis

Aset Kritits Penjelasan Alasan/ sebab

Server (data dan aplikasi)

Server merupakan aset utama yang dibutuhkan untuk situs perwalian online UNIKOM. Server digunakan untuk menyimpan data dan menyimpan aplikasi dari situs perwalian online. Server ditempatkan di ruang tersendiri, jika terjadi masalah pada perangkat server maka situs perwalian online tidak dapat diakses.

Jaringan

Perangkat jaringan digunakan untuk mengakses situs perwalian online. Perangkat jaringan seperti router, switch, dan PC. Jaringan yang digunakan untuk mengakses adalah jaringan internet.

Data

Data salah satu aset kritis karena data yang dikelola dan disajikan sangat dibutuhkan untuk proses perwalian online di UNIKOM. Data yang digunakan untuk sistem perwalian online yaitu data mahasiswa, data dosen wali, data mata kuliah, data nilai, data kelas matakuliah, data semester, data angkatan, data perwalian, dan data keuangan pembayaran kuliah mahasiswa.

Sumber Daya Manusia (SDM)

Sumber daya manusia termasuk dalam salah satu aset kritis, karena sangat dibutuhkan untuk pengolahan situs perwalian online UNIKOM. Sumber daya manusia yang terlibat dalam pengolahan situs perwalian onlne UNIKOM yaitu bagian ICT UNIKOM. Sedangkan di pihak program studi (Sekretariat prodi dan struktural prodi) yang akan mengolah perwalian sesuai dengan kebutuhan prodi

(21)

20

masing-masing.

S2.2 identifikasi kebutuhan keamanan untuk aset kritis

Tahap ini dilakukan dengan mengidentifikasi kebutuhan keamanan berdasarkan aspek keamanan Kerahasiaan (Confidentiality), Integritas (Integrity), dan Ketersediaan (Availability). Penjelasan dilihat pada tabel 5.3.

Tabel 3.3 Kebutuhan keamanan aset kritis

Aset Kritis Kebutuhan

keamanan Penjelasan

Kerahasiaan (confidentiality)

Dalam mengakses server dijaga kerahasiaannya dengan cara memasukkan password, dan hanya orang tertentu yang berhak mengakses server

Lubang keamanan pun dijaga dengan menutup semua port yang mencurigakan dan memantau secara berkala jika ada port yang terbuka.

Integritas (integrity) Perubahan yang terjadi pada data dalam server harus dijaga integritasnya, agar data yang dikelola dan dijasikan tetap konsisten sesuai proses bisnis sistem perwalian online.

Ketersediaan (availability)

Server data dan aplikasi dapat diakses 24 jam, dan dilakukan maintenance secara rutin agar selalu tersedia saat diakses

Jaringan

Dibutuhkan otorisasi ketika mengakses perangkat jaringan

Integritas (integrity) Ketika terjadi perubahan data jaringan, harus diketahui oleh pihak ICT UNIKOM untuk menghindari ketidaksesuaian akses jaringan.

Ketersediaan Akses menggunakan jaringan harus dapat

(22)

21

(availability) dilakukan 24 jam

Data

Dalam mengakses data pada sistem perwalian online pengguna harus memasukkan NIM dan password bagi mahasiswa atau NIP dan password bagi dosen/ karyawan

Integritas (integrity) Perubahan data harus dijaga integritasnya, dan pasti berkaitan dengan server

Data harus dapat diakses 24 jam.

SDM

Akun pengguna, khususnya bagian ICT UNIKOM harus dijaga kerahasiaannya agar tidak disalahgunakan oleh pihak yang tidak berwenang

Integritas (integrity) bagian ICT UNIKOM yang bertanggung jawab untuk menangani permasalah pada sistem. Pengguna lain seperti mahasiswa, dosen, struktural prodi, dan sekretariat prodi bertanggung jawab pada hak akses masing- masing.

bagian ICT UNIKOM harus selalu siap menangani ketika terjadi permasalahan pada situs perwalian online UNIKOM

S2.3 Identifikasi ancaman pada aset kritis

Tahap ini merupakan hasil evaluasi pada situs perwalian online UNIKOM untuk mengetahui ancaman yang ada pada aset kritis. Kategori sumber ancaman pada aset kritis adalah sebagai berikut:

a. Ancaman terhadap fasilitas fisik,

b. Ancaman terhadap data elektronik, yaitu data yang tersimpan dalam

sistem baik dalam komputer stand alone maupun yang terhubung ke

jaringan,

(23)

22 c. Ancaman terhadap perangkat lunak, yaitu ancaman yang disebabkan oleh kegagalan perangkat lunak

d. Ancaman terhadap sumber daya manusia, yaitu ancaman yang disebabkan atau dapat terjadi pada sumber daya manusia yang bertanggung jawab dalam aset teknologi informasi

Tabel 5.4 menjelaskan tentang ancaman pada aset kritis untuk situs perwalian online UNIKOM.

Tabel 3.4 Ancaman pada aset kritis

Aset Kritis Sumber Ancaman Ancaman

Ancaman terhadap fisik

Kerusakan perangkat server

Ancaman terhadap data elektoronik

Hacking, cracking, denial of service (Dos) attack, virus, penyadapan, perubahan data oleh pihak tidak berwenang

Ancaman terhadap perangkat lunak

Virus, crash/ down,

Ancaman terhadap sumber daya manusia

Kesalahan konfigurasi, penyalahgunaan hak akses

Jaringan

Kerusakan perangkat, pencurian perangkat, pemutusan kabel

Kesalahan konfigurasi, penyadapan

Crash/ down

Penyalahgunaan hak akses

Data

kerusakan perangkat server

Kehilangan data, penghapusan/

pengubahan oleh pihak yang tidak berwenang, virus, spam request, hacking, cracking, spoofing, sql injection, privilege

(24)

23

escalation, cross site request forgery (csrf)

Kesalahan konfigurasi

Penyalahgunaan hak akses, kesalahan memasukkan atau pengubahan data,

SDM

-

Penyadapan akun user, penyalahgunaan hak akses

-

3.1.2 Mengidentifikasi Kelemahan Infrastruktur

Identifikasi kerentanan infrastruktur dilakukan untuk memeriksa kelemahan komponen operasional utama (kerentanan teknologi) yang dapat mengakibatkan tindakan yang tidak sah terhadap aset kritis.

3. Proses S3 mengidentifikasi infrastruktur yang berkaitan dengan aset kritis

S3.1 Mengidentifikasi jalur akses

Tahap ini dilakukan dengan mengidentifikasi jalur akses pada aset kritis, kemudian menentukan kelas komponen utama yang digunakan untuk mengevaluasi kerentanan infrastruktur. Penjelasan dilihat pada tabel 5.5.

Tabel 3.5 Identifikasi jalur akses

Aset Kritis Server (data dan aplikasi)

System of interest Aplikasi perwalian online dan data terkait perwalian

Komponen kelas utama

- PC - Firewall - Switch - Router

(25)

24

Aset Kritis Jaringan System of interest Jaringan

Komponen kelas utama

- PC - Firewall - Router - Switch - Wireless LAN Aset Kritis Data

System of interest Data terkait perwalian Komponen kelas

utama

- PC - Firewall - Jaringan Aset Kritis SDM

System of interest SDM Komponen kelas

utama

- Tim ICT - Dosen - Mahasiswa

S3.2 menganalisis proses yang terkait teknologi

Tahap ini dilakukan dengan menganalisis pendekatan proses yang dilakukan untuk melindungi infrastruktur teknologi yang sudah didefinisikan pada kelas komponen utama. Penjelasan dilihat pada tabel 5.6

Tabel 3.6 Pendekatan evaluasi kerentanan infrastruktur

Aset Kritits Pendekatan proses evaluasi kerentanan infrastruktur

- Perangkat Server ditempatkan di ruang terlindungi, dan pihak ICT UNIKOM bertanggung jawab terhadap server.

- Melakukan maintenance rutin

- Melakukan pengecekan log akses dan log error rutin Jaringan - Melakukan pengecekan konfigurasi

- Membuat recovery plan

(26)

25

Data

- Melakukan enkripsi data

- Melakukan deteksi terhadap spam request - Melakukan backup rutin

- Install antivirus update Sumber Daya

Manusia (SDM)

- Melakukan pembatasan hak akses terhadap sistem

3.1.3 Membuat Perencanaan dan Strategi Keamanan

Pada tahap ini dilakukan pendefinisian resiko terkait dengan aset kritis, membuat rencana mitigasi, dan mengembangkan strategi perlindungan kemanan sistem.

4. Proses S4 Analisis resiko

Analisis resiko dilakukan dengan mengkaji semua informasi yang diperoleh dari proses sebelumnya dan membuat profil resiko untuk setiap aset kritis.

S4.1 mendeskripsikan nilai dampak resiko

Pada tahap ini didefinisikan nilai dampak dari ancaman yang sudah diidentifikasi pada tahap sebelumnya. Berdasarkan tabel 5.1 maka ditentukan nilai probabilitas dan dampak untuk setiap aset kritis. Penjelasan dapat dilihat pada tabel 5.7.

Tabel 3.7 Nilai probabilitas dan dampak resiko

Aset kritis Ancaman

Probabilitas Dampak

Rendah Sedang Tinggi Rendah Sedang Tinggi

Kerusakan perangkat server √ √

Hacking, cracking √ √

virus √ √

denial of service (Dos) attack, √ √

penyadapan √ √

pengubahan data oleh pihak √ √

(27)

26

tidak berwenang

crash/ down √ √

Kesalahan konfigurasi √ √

penyalahgunaan hak akses √ √

Jaringan

Kerusakan perangkat √ √

pencurian perangkat √ √

pemutusan kabel √ √

Kesalahan konfigurasi √ √

Crash/ down √ √

Penyalahgunaan hak akses √ √

Data

kerusakan perangkat server √ √

Kehilangan data √ √

penghapusan/ pengubahan oleh pihak yang tidak berwenang

√ √

virus √ √

spam request √ √

hacking √ √

cracking √ √

spoofing √ √

sql injection √ √

Privilege escalation √ √

cross site request forgery (csrf) √ √

Kesalahan konfigurasi DBMS √ √

Penyalahgunaan hak akses √ √

kesalahan memasukkan atau pengubahan data

√ √

(28)

27

Sumber Daya

Manusia (SDM)

Penyadapan akun user √ √

penyalahgunaan hak akses √ √

Setelah diketahui nilai probabilitas dan dampak untuk setiap ancaman, kemudian dilakukan analisis terhadap kriteria evaluasi untuk dampak resiko.

S4.2membangunkriteria evaluasi

Tahap ini dilakukan untuk menentukan ukuran kualitatif (tinggi,sedang, rendah) terhadapkemungkinanterjadinya ancaman yang akan dievaluasi. Penjelasan ukuran kualitatif dapat dilihat pada tabel 5.8.

Tabel 3.8 ukuran kriteria kualitatif

Kriteria kualitatif Skor

Probabilitas

Rendah 0,33

Sedang 0,67

Tinggi 1

Dampak

Rendah 0,33

Sedang 0,67

Tinggi 1

Resiko

Rendah < 0,33

Sedang 0,33 - 0,67

Tinggi > 0,67

S4.3 mengevaluasi kemungkinan ancaman

Tahap ini dilakukan dengan melakukan perhitungan kualitatif resiko berdasarkan rumus:

Hasil perhitungan kualitatif resiko dapat dilihat pada tabel 5.9

Resiko = Probabilitas × Dampak

1. Perhitungan resiko

(29)

28

Tabel 3.9 Hasil perhitungan kualitatif resiko

Aset kritis Ancaman

Probabilitas Dampak Hasil

Rendah Sedang Tinggi Rendah Sedang Tinggi

Skor resiko

Server (data dan

aplikasi)

√ √ 0,33

Hacking, cracking √ √ 1

virus √ √ 0,45

denial of service (Dos) attack,

√ √ 0,33

penyadapan √ √ 0,45

pengubahan data oleh pihak tidak berwenang

√ √ 0,67

crash/ down √ √ 0,33

Kesalahan konfigurasi √ √ 0,22

penyalahgunaan hak akses

√ √ 0,33

Jaringan

Kerusakan perangkat √ √ 0,67

pencurian perangkat √ √ 0,33

pemutusan kabel √ √ 0,33

Kesalahan konfigurasi √ √ 0,45

Crash/ down √ √ 0,67

√ √ 0,33

Data

√ √ 0,33

Kehilangan data √ √ 0,33

penghapusan/ √ √ 0,67

(30)

29

pengubahan oleh pihak yang tidak berwenang

virus √ √ 0,45

spam request √ √ 0,45

hacking √ √ 0,45

cracking √ √ 0,45

spoofing √ √ 0,33

sql injection √ √ 1

Privilege escalation √ √ 1

cross site request forgery (csrf)

√ √ 0,45

Kesalahan konfigurasi DBMS

√ √ 0,22

√ √ 0,33

kesalahan

memasukkan atau pengubahan data

√ √ 0,67

Sumber Daya Manusia

(SDM)

Penyadapan akun user √ √ 0,67

√ √ 0,33

Berdasarkan analisis diatas dapat dilihat hasil penilaian risiko yang terjadi

pada gambar dibawah ini :

(31)

30 5. Proses S5 mengembangkan strategi perlindungan dan rencana mitigasi S5.1 mendeskripsikan strategi perlindungan saat ini

Pada tahap ini dilakukan dengan mendeskripsikan rencana strategi yang dilakukan untuk mengatasi resiko yang telah terjadi. Pada penggunaan situs perwalian UNIKOM, berdasarkan wawancara dengan pihak ICT UNIKOM menyatakan bahwa belum ada perencanaan dasar untuk mengatasi resiko yang akan muncul, sehingga dibutuhkan dokumen perencanaan dalam mengatasi resiko yang akan terjadi.

S5.2 memilih pendekatan mitigasi

Mitigasi aset kritis direkomendasikan berdasarkan sumber ancaman di profil resiko yang sudah dilakukan sebelumnya. Tabel 5.10 menggambarkan rencana mitigasi resiko untuk aset kritis.

Tabel 3.10 Perencanaan mitigasi resiko untuk aset kritis

Aset Kritits Sumber Ancaman Ancaman

Pendekatan proses evaluasi kerentanan

infrastruktur Server (data

dan aplikasi)

- Perangkat Server ditempatkan di ruang

0.55 0.55

0.73

0.5

0.77 0.83

0.76

1

0.45 0.46 0.509 0.5

0 0.2 0.4 0.6 0.8 1 1.2

server jaringan data SDM

value

aset kritis

Hasil Analisis Risiko

probabilitas dampak risiko

(32)

31

Ancaman

terhadap data elektoronik

Hacking, cracking, denial of service (Dos) attack, virus, penyadapan,

perubahan data oleh pihak tidak berwenang

terlindungi, dan pihak

ICT UNIKOM

bertanggung jawab terhadap server.

- Melakukan maintenance rutin

- Melakukan pengecekan log akses dan log error rutin

Virus, crash/ down,

Ancaman

terhadap sumber daya manusia

Kesalahan konfigurasi,

Jaringan

Kerusakan

perangkat, pencurian perangkat,

pemutusan kabel

- Melakukan pengecekan konfigurasi

- Membuat recovery plan

Ancaman

Kesalahan konfigurasi, penyadapan Ancaman

terhadap perangkat lunak

Crash/ down

Ancaman

Data

- Melakukan enkripsi data - Menerapkan captcha

untuk mencegah csrf atau menggunakan anti csrf token

- Melakukan deteksi Ancaman

Kehilangan data, penghapusan/

pengubahan oleh pihak yang tidak

(33)

32

berwenang, virus, spam request, hacking, cracking, spoofing, sql injection, privilege escalation, cross site request forgery (csrf)