JURIKOM (Jurnal Riset Komputer), Vol. 9 No. 3, Juni 2022 e-ISSN 2715-7393 (Media Online), p-ISSN 2407-389X (Media Cetak) DOI 10.30865/jurikom.v9i3.4181 Hal 591−599 http://ejurnal.stmik-budidarma.ac.id/index.php/jurikom

Perancangan Manajemen Risiko Keamanan Sistem Informasi Manajemen Sumber Daya dan Perangkat Pos dan Informatika

(SIMS) Menggunakan Metode NIST 800-30

Muhammad Salmon Hardani¹, Kalamullah Ramli^2,*

Fakultas Teknik, Program Studi Manajemen Keamanan Jaringan Informasi, Universitas Indonesia, Depok, Indonesia Email: ¹muhammad.salmon@ui.ac.id, ^2,*kalamullah.ramli@ui.ac.id

Email Penulis Korespondensi: kalamullah.ramli@ui.ac.id Submitted 31-05-2022; Accepted 14-06-2022; Published 30-06-2022

Abstrak

Perkembangan sebuah sistem informasi yang digunakan pada sebuah institusi Pemerintahan menjadi sangat penting jika sistem tersebut menjadi bagian dalam menyimpan data yang menjadi aset negara. SIMS berisi data pengguna spektrum frekuensi yang telah memiliki izin dan berkontribusi dalam Pendapatan Negara Bukan Pajak (PNBP). SIMS terdiri dari aplikasi layanan publik dan aplikasi non- layanan publik. Pada penelitian ini disusun perancangan dan analisa terhadap manajemen risiko SIMS dengan menggunakan kerangka kerja NIST 800-30. Penelitian ini dimulai dengan identifikasi risiko, mitigasi risiko dan evaluasi terhadap risiko yang ada kemudian memberikan rekomendasi kontrol yang diperlukan untuk SIMS. Hasil dokumentasi tahapan penilaian risiko keamanan informasi pada SIMS dengan metode NIST 800-30, maka perlu dilakukan tindakan pengendalian risiko dan mitigasi risiko.

Kata Kunci: NIST 800-30; SIMS; Manajemen Risiko; Identifikasi Risiko Abstract

The development of an information system used in a government institution becomes very important if the system is part of storing data that is a state asset. SIMS contains data on frequency spectrum users who already have permits and contribute to Non-Tax State Revenue (PNBP). SIMS consists of public service applications and non-public service applications. In this study, an evaluation of SIMS risk management was developed using the NIST 800-30 framework. This research begins with risk identification, risk mitigation and evaluation of existing risks then provides recommendations for the control needed for SIMS. The results of the documentation of the information security risk assessment stages on SIMS using the NIST 800-30 method, it is necessary to take risk control and risk mitigation actions.

Keywords: NIST 800-30; SIMS; Risk Management; Risk Identification

1. PENDAHULUAN

Sistem informasi merupakan suatu sistem dalam sebuah organisasi yang menyatukan kebutuhan pemrosesan transaksi harian untuk mendukung kegiatan operasional dan manajerial yang strategis dari suatu organisasi dan menyediakan pihak luar tertentu dengan laporan yang diperlukan. Sistem informasi juga dapat didefinisikan sebagai kumpulan elemen atau sumber daya dan jaringan informasi yang saling terkait secara terintegrasi serta bertujuan untuk mengolah data menjadi informasi [1].

SIMS adalah singkatan Sistem Informasi Manajemen Sumber Daya dan Perangkat Pos dan Informatika yang merupakan sebuah sistem informasi milik salah satu instansi Pemerintah (selanjutnya disebut organisasi) yang menjadi pintu gerbang dari pelayanan perizinan spektrum frekuensi. SIMS berisi data-data seluruh pemilik Izin Stasiun Radio (ISR) yang telah terintegrasi dengan layanan perizinan online sebagai pelayanan publik di bidang perizinan spektrum frekuensi. Keberadaan SIMS yang sangat penting dan akan terus dikembangkan serta dilakukan perawatan dan perbaikan agar sistem informasi ini dapat semakin baik dan aman. Impelementasi dan pengembangan SIMS ini dilaksanakan oleh pihak provider. Salah satu aplikasi SIMS yang digunakan yaitu SpectraWeb yang menghubungkan antara pengguna/pemilik ISR dengan SIMS.

SIMS bertujuan untuk menciptakan sistem pelayanan perizinan yang terpadu, transparan serta terintegrasi sesuai kebutuhan akan pelayanan serta perizinan di bidang spektrum frekuensi yang dilakukan melalui satu database yang merupakan bagian dari kerangka kerja organisasi. Secara teknis operasional, organisasi dan pihak provider bekerjasama dalam pengembangan aplikasi SIMS yang terintegrasi dan berbasis internet juga bertujuan agar pemohon calon pengguna spektrum frekuensi dapat lebih mudah dalam melakukan proses pengajuan izin serta dalam melakukan pembayaran Biaya Hak Pengguna (BHP) spektrum frekuensi secara online atau melalui sistem host to host (H2H) sehingga tidak perlu lagi bertemu petugas pelayanan, hal ini menjamin proses dilakukan secara transparan dan terotomatisasi [2].

Aset Teknologi Informasi (TI) sama halnya dengan aset lainnya yang harus dijaga dan dilindungi dari berbagai macam ancaman (threats) dan kerentanan (vulnerability). Ancaman adalah suatu peristiwa yang bila terjadi dapat menimbulkan kerusakan pada sistem TI dan menyebabkan berkurangnya kerahasiaan, ketersediaan serta integritas.

Ancaman dapat menjadi berbahaya, misalnya perubahan yang disengaja terhadap informasi kritikal atau ketidaksengajaan seperti penghapusan file atau kesalahan pada perhitungan transaksi. Kerentanan adalah kelemahan pada sistem yang dapat di eksploitasi oleh pihak lain baik dari internal organisasi maupun eksternal [3].

Nilai asset dari SIMS mencakup infrastruktur dan PNBP yang diperoleh dari BHP spektrum frekuensi. Maka agar aset SIMS terjaga kerahasian informasinya dari orang yang tidak berhak mengakses (confidentiality), data-data informasi ISR terjaga keasliannya (integrity), serta terjamin ketersediaan informasi ketika dibutuhkan (availability) serta penggunaan dan pengoperasiannya telah memenuhi peraturan yang berlaku (compliance), maka sesuai Pedoman Sekjen

JURIKOM (Jurnal Riset Komputer), Vol. 9 No. 3, Juni 2022 e-ISSN 2715-7393 (Media Online), p-ISSN 2407-389X (Media Cetak) DOI 10.30865/jurikom.v9i3.4181 Hal 591−599 http://ejurnal.stmik-budidarma.ac.id/index.php/jurikom Kementerian Kominfo No. 01 Tahun 2018 tentang Tata Kelola Teknologi Informasi Kementerian Kominfo maka perlu menerapkan manajemen risiko pada aplikasi SIMS [4].

Risiko yang muncul pada TI merupakan risiko dari keamanan sistem informasi yang mana sistem informasi menjadi sangat penting yang harus tetap ada serta dapat digunakan kapan saja. Selajutnya sistem informasi juga terjaga keberadaannya dari pihak yang tidak bertanggungjawab, baik dari pihak internal maupun eksternal yang bisa saja menggunakannya untuk kepentingan tertentu atau bisa saja akan merusak informasi tersebut. Informasi adalah sebuah aset penting bagi sebuah organisasi dengan banyak data kritikal yang harus diberikan perlindungan dan keamanan untuk menjamin ketersediaan informasi yang tepat serta dapat dipercaya baik oleh lingkungan internal maupun eksternal [5].

Risiko tersebut perlu dikelola dengan membuat manajemen risiko keamanan informasi.

Manajemen risiko merupakan suatu kegiatan praktik dalam melakukan identifikasi, penilaian, kontrol serta menanggulangi risiko terhadap aset yang ada. Untuk mengatur proses bisnis sehingga dapat berjalan secara efektif dan memberi keuntungan bagi organisasi serta meminimalisir dampak yang disebabkan risiko TI maka diperlukan manajemen risiko [6]. Manajemen risiko juga dapat diartikan sebagai suatu metode dalam melakukan kuantifikasi, identifikasi, penentuan sikap, menetapkan solusi, serta melakukan monitor dan pelaporan risiko yang berlangsung pada setiap aktivitas atau proses. Dalam konteks organisasi, penerapan manajemen risiko bertujuan agar organisasi dapat mengelola risiko yang ada [7]. Menurut International Telecommunications Union (ITU) manajemen risiko didefinisikan sebagai bagian dari keamanan siber [8]. Proses manajemen risiko dapat dilakukan dengan beberapa tahapan yaitu penilaian risiko, peringanan risiko dan evaluasi risiko [9].

Ada beberapa penelitian sebelumnya terkait evaluasi maupun perencanaan manajemen risiko keamanan informasi yang punya keterkaitan dengan masalah yang ada dengan penelitian ini. Hal ini dapat menjadi pembanding sehingga dapat mengetahui kendala yang sebelumnya telah ditemukan kemudian menjadi lebih baik lagi.

Penelitian oleh Mahardika (2017) mengenai manajemen risiko keamanan informasi menggunakan framework NIST SP 800-30 Revisi 1 di salah satu perguruan tinggi Sumedang. Organisasi belum melakukan penilaian dan manajemen risiko keamanan informasi, setelah dilakukan identifikasi dan manajemen risiko, terdapat beberapa pengendalian yang perlu ditingkatkan sehingga risiko perusahaan dapat diminimalkan. Organisasi memiliki level risiko keamanan informasi yang moderate, dimana untuk risiko adversarial terdiri dari: 20 High, 46 Moderate, 10 Low, 2 Very Low. Sedangkan untuk risiko non-adversarial terdiri dari : 2 Very High, 5 High, 9 Moderate dan 1 Low [10].

Penelitian oleh Eko Supristiowadi (2018) dengan judul manajemen risiko keamanan informasi pada sistem aplikasi keuangan tingkat instansi (SAKTI) pada Kementerian Keuangan. Penelitian tersebut memakai beberapa kerangka kerja standard seperti ISO 27005 dan NIST SP 800-30. Dari penelitian tersebut diperoleh manajemen risiko keamanan informasi dari SAKTI, yang mana di dalamnya terdapat proses identifikasi risiko, pemilihan kontrol untuk memitigasi risiko, serta penerimaan risiko oleh organisasi sebagai pemilik risiko. Dalam menyusun manajemen risiko keamanan informasi SAKTI, penulis telah berhasil memitigasi risiko dengan menetapkan pihak yang bertanggungjawab serta terdapat 25 skenario risiko yang teridentifikasi [11].

Selanjutnya ada penelitian oleh Valena (2019), mengenai manajemen risiko sistem informasi perpustakaan dari sebuah universitas menggunakan metode NIST 800-30. Penelitian ini diawali karena banyaknya masalah dalam proses pelayanan perpustakaan universitas sehingga menjadi penghambat dalam menggunakan sistem informasi perpustakaan kepada para mahasiswa. Manajemen risiko dengan kerangka kerja NIST 800-30 dapat memberikan beberapa deskripsi dari profil risiko dengan level rendah, sedang dan tinggi yang dapat mengancam kelanjutan sistem informasi perpustakaan universitas tersebut dalam berinovasi pada setiap kegiatan yang menggunakan sistem informasi. Selanjutnya dilakukan proses mitigasi risiko dan evaluasi risiko sebagai tindak lanjut dari proses penilaian risiko [12].

Penelitian oleh Izatri (2020) mengenai identifikasi risiko pada Perpustakaan Daerah Gresik dengan NIST SP 800- 30. Pada organisasi ditemukan beberapa klasifikasi risiko diantaranya bencana alam, SDM, dan teknis. Mitigasi risiko dari penilaian risiko yang paling berat yaitu dengan adanya penambahan genset dan juga penambahan server. Kerangka kerja NIST 800:30 memiliki 3 tahapan yaitu analisa risiko, penentuan risiko, dan rekomendasi pencegahan risiko [7].

Saat ini permasalahan yang ada di organisasi dan SIMS adalah belum adanya manajemen risiko. Hal ini perlu dilaksanakan karena terdapat proses pengidentifikasian risiko yang meliputi proses identifikasi kerentanan pada asset informasi dan infrastruktur organisasi beserta ancaman yang menyertainya, serta memutuskan langkah pengendalian untuk dapat mengurangi dampak risiko pada tingkatan yang dapat diterima organisasi.

Pelaksanaan kontrol aplikasi yang dilakukan oleh pihak pengembang termasuk pemeliharaan dan perbaikan serta belum adanya tenaga ahli dari internal organisasi sehingga menimbulkan risiko keamanan informasi. Hal ini berdampak belum adanya risk assessment yang dimiliki guna meminimalisir risiko yang muncul pada aplikasi SIMS. Hal ini mendorong penulis untuk melakukan evaluasi dan analisa mengenai evaluasi manajemen risiko terhadap aplikasi SIMS.

Penelitian ini memiliki tujuan untuk melakukan analisis dan penilaian risiko terhadap risiko keamanan informasi pada aplikasi SIMS.

Ada beberapa metode dalam melakukan analisis manajemen risiko keamanan informasi, yaitu Mehari, Megarit, Microsoft’s Security Management Guide dan NIST 800-30. Dari beberapa metode yang ada, metode NIST 800-30 lebih baik karena dapat memberikan rekomendasi kontrol [13]. Dalam penelitian ini dilakukan dengan beberapa tahapan yang mengacu pada kerangka kerja NIST 800-30 dalam mengevaluasi manajemen risiko keamanan informasi pada aplikasi SIMS milik salah satu instansi pemerintah.

NIST (National Institute of Standard and Technology) merupakan sebuah organisasi dibawah pemerintah Amerika

JURIKOM (Jurnal Riset Komputer), Vol. 9 No. 3, Juni 2022 e-ISSN 2715-7393 (Media Online), p-ISSN 2407-389X (Media Cetak) DOI 10.30865/jurikom.v9i3.4181 Hal 591−599 http://ejurnal.stmik-budidarma.ac.id/index.php/jurikom fasilitas dan kualitas kehidupan [14]. Kerangka NIST 800-30 merupakan sebuah dokumen standarisasi yang dikembangkan oleh sebuah Institut Standar dan Teknologi Nasional dari Pemerintah AS yang mana merupakan turunan produk hukum dari Peraturan Undang-Undang Keamanan Komputer tahun 1987 dan Undang-Undang Reformasi Manajemen Teknologi Informasi tahun 1996. Pada kerangka NIST 800-30 terdapat dua tahapan penting yaitu penilaian risiko dan mitigasi risiko [15].

Dalam penelitian ini kerangka kerja yang dipilih adalah NIST 800-30, hal ini karena NIST 800-30 memiliki keunggulan yaitu salah satunya memiliki detail dalam melakukan assessment dan memberikan rekomendasi kontrol yang baik dan luas dibandingkan kerangka kerja yang lain [16].

Berdasarkan kerangka NIST 800-30 ada beberapa tahapan penilaian risiko yaitu [17] : a. System Characterization

Tahapan awal ini terdapat batasan dari sistem informasi dengan identifikasi bersamaan dengan sumber daya dan informasi dalam satu kesatuan sistem.

b. Threat Identification

Bertujuan untuk mengidentifikasi potensi sumber ancaman serta menyusun pernyataan ancaman yang mencantumkan potensi sumber ancaman yang berlaku untuk sistem informasi yang sedang di-evaluasi. Sumber ancaman didefinisikan sebagai keadaan atau peristiwa apapun yang berpotensi menyebabkan kerusakan pada sistem informasi. Sumber ancaman dalam sistem informasi secara umum dapat berasal dari manusia, lingkungan maupun dari alam

c. Vulnerability Identification

Identifikasi kerentanan ini bertujuan untuk mengembangkan daftar kerentanan sistem (cacat atau kelemahan) yang dapat dimanfaatkan oleh sumber ancaman potensial.

d. Control Analysis

Langkah ini bertujuan untuk menganalisa kontrol yag telah diterapkan atau masih rencana yang akan diimplementasikan oleh organisasi untuk menghilangkan atau meminimalkan potensi ancaman dan kemungkinan kerentanan sistem.

e. Likelihood Determination

Untuk mendapatkan peringkat kemungkinan (likelihood) secara menyeluruh terhadap potensi kerentanan yang dapat dilakukan dalam potensi ancaman tersebut. Ada beberapa faktor yang harus dipertimbangkan yaitu, motivasi dan kemampuan sumber ancaman, sifat kerentanan serta keberadaan dan efektivitas pengendalian saat ini. Kemungkinan bahwa potensi kerentanan dapat dilakukan oleh sumber ancaman tertentu dapat digambarkan dengan level tinggi, sedang, atau rendah.

f. Impact Analysis

Langkah selanjutnya dalam mengukur tingkat risiko adalah menentukan dampak buruk yang dihasilkan dari penerapan ancaman yang berhasil dari suatu kerentanan.

g. Risk Determination

Penentuan Risiko bertujuan untuk menilai tingkat risiko terhadap sistem informasi.

h. Control Recommendations

Dalam proses ini, kontrol yang mana dapat mengurangi atau menghilangkan risiko yang telah teridentifikasi. Tujuan dari kontrol yang direkomendasikan adalah untuk mengurangi tingkat risiko terhadap sistem informasi dan data ke level yang dapat diterima.

i. Results Documentation

Setelah rangkaian tahapan sebelumnya, tahapan terakhir yaitu mendokumentasikan hasil dalam bentuk laporan ataupun dokumen resmi organisasi.

2. METODOLOGI PENELITIAN

Pada bagian ini menjelaskan desain penelitian, alur penelitian, metode pengumpulan dan pengolahan data dari instrument penelitian. Penelitan ini menggunakan metode studi kasus yang dilakukan berdasarkan data kualitatif dan kuantitatif.

Penelitian ini dengan meninjau studi literatur, wawancara dengan pejabat dan staf organisasi, mengumpulkan data yang dibutuhkan lalu dilakukan analisa sehingga dapat dilakukan evaluasi dan perbaikan terhadap sistem informasi yang ada pada organisasi serta dapat menerapkan manajemen risiko keamanan informasi.

2.1 Pengumpulan Data

Dalam penelitian ini dilakukan tahapan pengumpulan data untuk dilakukan analisa serta penilaian risiko serta menjadi acuan untuk mengevaluasi sistem informasi milik organisasi dan menentukan langkah-langkah mitigasi risiko.

Pengumpulan data dilakukan dengan cara mengumpulkan data primer dan data sekunder. Data primer diperoleh dari wawancara via telpon seluler dan media sosial, hal ini dilakukan karena keterbatasan waktu dan tempat untuk melakukan pengambilan data dan penggunaan aplikasi assessment tools seperti penetration testing dengan menggunakan aplikasi Acunetix versi 14. Sedangkan pengumpulan data sekunder diperoleh melalui website organisasi dan sumber data lainnya.

2.2 Alur Penelitian

JURIKOM (Jurnal Riset Komputer), Vol. 9 No. 3, Juni 2022 e-ISSN 2715-7393 (Media Online), p-ISSN 2407-389X (Media Cetak) DOI 10.30865/jurikom.v9i3.4181 Hal 591−599 http://ejurnal.stmik-budidarma.ac.id/index.php/jurikom Penelitian ini dilakukan dengan beberapa tahapan yang mengacu pada kerangka kerja NIST 800-30 dalam merancang manajemen risiko keamanan informasi pada aplikasi SIMS milik salah satu instansi pemerintah. Secara garis besar alur penelitian pada penelitian ini dapat digambarkan pada gambar berikut :

Gambar 1. Alur Penelitian Penjelasan dari alur penelitian diatas adalah sebagai berikut :

a. Tahap awal yang dilakukan dalam penelitian ini diawali dengan belum adanya pengelolaan risiko TI pada organisasi sehingga mendorong penulis untuk merumuskan masalah berdasarkan data yang ada yang selanjutnya menghasilkan pernyataan masalah bahwa belum adanya manajemen risiko keamanan informasi untuk organisasi.

b. Melakukan penyusunan studi literatur berdasarkan beberapa teori dan metodologi yang ada untuk menyelesaikan pernyataan masalah yang ada.

c. Selanjutnya dilakukan pengumpulan data dengan wawancara secara online dan offline melalui telepon seluler dan media sosial serta observasi langsung dan mempelajari dokumen organisasi yang ada.

d. Melakukan perancangan Manajemen Keamanan Risiko Informasi (MRKI) sesuai kerangka kerja NIST 800-30 dengan menghasilkan identifikasi risiko dan penilaian risiko.

e. Tahap selanjutnya mitigasi risiko yang merupakan tahapan peringanan risiko terhadap risiko yang telah teridentifikasi.

3. HASIL DAN PEMBAHASAN

Pada bagian pembahasan analisis dan perancangan ini meliputi pengumpulan data lanjutan, analisis risiko keamanan informasi dan perancangan MRKI. Pengumpulan data lanjutan meliputi data primer dan data sekunder lanjutan.

Pengumpulan data primer lanjutan dilakukan dengan wawancara dengan beberapa Pejabat dan Pegawai pada organisasi SIMS. Pengumpulan data sekunder lanjutan dengan mengumpulkan beberapa dokumen organisasi, inventaris perangkat keras dan perangkat lunak, topologi jaringan SIMS dan lain-lain. Kerangka kerja yang dipakai pada penelitian ini adalah menggunakan NIST 800-30, hal ini karena NIST 800-30 memiliki keunggulan yaitu salah satunya memiliki detail dalam melakukan assessment dan memberikan rekomendasi kontrol yang baik dan luas dibandingkan kerangka kerja yang lain Dalam melakukan penilaian risiko pada SIMS maka perlu dilakukan penilaian risiko sesuai kerangka NIST 800- 30 dengan tahapan-tahapan sebagai berikut :

3.1 Karakterisasi Sistem

Karakterisasi sistem yang digunakan pada SIMS dibangun oleh organisasi serta dikembangkan dan dilakukan pemeliharaan oleh pihak provider dengan kontrak dan pengawasan oleh organisasi. Aktivitas dalam proses pengelolaan risiko mencakup registrasi risiko dan rencana pengendalian risiko. Registrasi risiko dilakukan untuk mencatat informasi mengenai risiko-risiko yang teridentifikasi, yang dapat mengganggu proses bisnis. Registrasi risiko ini merupakan suatu daftar risiko yang harus ditinjau dan di-update secara periodik. Sedangkan rencana pengendalian risiko merupakan suatu tindakan penanganan untuk mengurangi tingkat dari risiko.

3.2 Identifikasi Ancaman

JURIKOM (Jurnal Riset Komputer), Vol. 9 No. 3, Juni 2022 e-ISSN 2715-7393 (Media Online), p-ISSN 2407-389X (Media Cetak) DOI 10.30865/jurikom.v9i3.4181 Hal 591−599 http://ejurnal.stmik-budidarma.ac.id/index.php/jurikom Dari hasil observasi terdapat beberapa ancaman yang berhasil diidentifikasi, berikut hasilnya dapat dilihat pada tabel berikut :

Tabel 1. Identifikasi Ancaman

No. Sumber Ancaman Motivasi Jenis Ancaman

1. Individu di dalam organisasi (pegawai yang tidak puas, kurang terlatih, diberhentikan, dll)

Rasa ingin tau, keuntungan finansial, kesalahan yang disengaja, balas dendam, dll

Penyalahgunaan komputer, sabotase sistem, instrusi sistem, akses sistem yang tidak sah, merubah level admin sistem, input data yang salah, pencurian data

2. Individu di luar organisasi

Mengincar keuntungan finansial Malware, hacking, social engineering, DoS, bruteforce attack

3. Teroris Pemerasan, eksploitasi,

penghancuran, balas dendam

serangan bom ke fasilitas sistem informasi, DDoS, gangguan sistem, penetrasi ke sistem informasi

4. Jaringan internet sistem informasi

Mencuri data dengan spam email Man in the middle (MITM) dari pihak penyelenggara jaringan atau dari pihak pengembang sistem informasi, kegagalan koneksi jaringan sistem informasi

5. Media penyimpanan data (server)

- Kegagalan fungsi membaca disk (disk error,

disk penuh) 6. Pemrosesan data sistem

informasi

- kegagalan membaca status pembayaran klien,

kegagalan memperbarui status perpanjangan izin klien

7. Sistem dan infrastruktur TI

- Server down, server crash, kegagalan back up data, gagal update sistem operasi, teknologi usang

8. Power Supply

(Listrik/UPS)

- Listrik mati, Baterei UPS rusak, PC server mati,

modem dan router mati, sistem mati dan data loss

9. Bencana alam (banjir, gempa bumi, kebakaran)

- Sistem TI offline, kerusakan fasilitas sistem informasi.

3.3 Identifikasi Kerentanan

Dalam melakukan evaluasi sistem TI, analisis ancaman juga termasuk analisis kerentanan pada sistem TI. Hal ini bertujuan untuk menemukan celah-celah kerentanan yang mungkin saja dapat dimanfaatkan oleh pihak lain untuk merugikan sistem TI yang ada. Untuk melakukan identifikasi kerentanan pada SIMS, diperlukan bantuan tool penetration testing (pentest) yaitu aplikasi Acunetix. Metode pentest dilakukan untuk melihat simulasi hasil serangan yang mungkin terjadi oleh attacker pada sistem TI yang ada untuk menemukan kelemahan sistem tersebut. Hasil identifikasi kerentanan dengan aplikasi acunetix dengan kategori medium dan high. Dari hasil identifikasi kerentanan terdapat 14 jenis kerentanan. Dari hasil tersebut dapat dikatakan bahwa level kerentanan dari SIMS berada pada level High.

Tabel 2. Identifikasi Kerentanan dengan aplikasi Acunetix No. Nama

Kerentanan

Level

Acunetix Keterangan Dampak

1 Application error messages

Medium error messages atau peringatan aplikasi dapat mengekspos informasi sensitif tentang cara kerja internal aplikasi ke penyerang. Pesan ini mungkin juga berisi

error messages dapat mengungkapkan informasi sensitif yang dapat digunakan untuk meningkatkan serangan.

2 Cross site scripting

High Cross-site Scripting (XSS) mengacu pada serangan injeksi kode sisi klien di mana penyerang dapat mengeksekusi skrip berbahaya ke situs web atau aplikasi web yang sah.

Malicious JavaScript, XSS dalam hubungannya dengan beberapa rekayasa sosial yang cerdas membuka banyak kemungkinan bagi penyerang.

3 SQL injection High Injeksi SQL mengacu pada serangan injeksi di mana penyerang dapat mengeksekusi pernyataan SQL berbahaya yang mengontrol server database aplikasi web

Seorang penyerang dapat menggunakan injeksi SQL untuk melewati mekanisme otentikasi dan otorisasi aplikasi web dan mengambil dan mengubah isi dari seluruh database

JURIKOM (Jurnal Riset Komputer), Vol. 9 No. 3, Juni 2022 e-ISSN 2715-7393 (Media Online), p-ISSN 2407-389X (Media Cetak) DOI 10.30865/jurikom.v9i3.4181 Hal 591−599 http://ejurnal.stmik-budidarma.ac.id/index.php/jurikom 4 File konfigurasi

pengembangan

Medium Satu atau lebih file konfigurasi (mis.

Vagrantfile, Gemfile, Rakefile dll) ditemukan.

File-file ini dapat mengungkapkan informasi sensitif. Serangan lebih lanjut dapat dilakukan dengan informasi ini

5 Apache httpd remote denial of service (DOS)

Medium Kerentanan DOS telah ditemukan dalam cara menangani beberapa rentang yang tumpang tindih oleh server HTTPD Apache. Serangan dapat dilakukan dari jarak jauh yang dapat menyebabkan penggunaan memori dan CPU yang sangat signifikan di server.

Remote DOS

6 TLS/SSL Weak Cipher Suites

Medium Remote host mendukung rangkaian sandi TLS/SSL dengan properti yang lemah atau tidak aman

Remote host

7 PHP hangs on parsing

particular strings as floating point number

Medium Peringatan ini dibuat hanya dengan menggunakan informasi spanduk. Ini mungkin benar-benar palsu

Serangan DOS

8 SSL 2.0

deprecated protocol

High Layanan jarak jauh mengenkripsi lalu lintas menggunakan SSL 2.0, protokol yang tidak aman dan tidak digunakan lagi dengan kelemahan yang diketahui secara luas.

Penyerang dapat

mengeksploitasi masalah ini dengan serangan man-in-the- middle (MITM) atau mendekripsi komunikasi antara layanan yang terpengaruh dan klien

9 SSL 3.0

deprecated protocol

High Layanan jarak jauh mengenkripsi lalu lintas menggunakan SSL 3.0, protokol yang tidak aman dan tidak digunakan lagi dengan kelemahan yang diketahui secara luas.

Penyerang dapat

mengeksploitasi masalah ini dengan serangan MITM atau mendekripsi komunikasi antara layanan yang terpengaruh dan klien

10 TLS 1.0 enabled High Server web mendukung enkripsi melalui TLS 1.0, yang secara resmi tidak digunakan lagi pada Maret 2021 karena masalah keamanan yang melekat

Penyerang dapat

mengeksploitasi masalah ini dengan serangan MITM atau mendekripsi komunikasi antara layanan yang terpengaruh dan klien

11 The DROWN attack (SSLv2 supported)

High DROWN adalah kerentanan serius yang memengaruhi HTTPS dan layanan lain yang mengandalkan SSL dan TLS, beberapa protokol kriptografi penting untuk keamanan Internet.

DROWN memungkinkan

penyerang untuk memecahkan enkripsi dan membaca atau mencuri komunikasi sensitif, termasuk kata sandi, nomor kartu kredit, rahasia dagang, atau data keuangan

12 TLS 1.1 enabled Medium Server web mendukung enkripsi melalui TLS 1.1, yang secara resmi tidak digunakan lagi pada Maret 2021 karena masalah keamanan yang melekat

Penyerang dapat

mengeksploitasi masalah ini dengan serangan MITM atau mendekripsi komunikasi antara layanan yang terpengaruh dan klien

13 TLS/SSL Sweet32 attack

Medium Serangan Sweet32 adalah kerentanan SSL/TLS yang memungkinkan penyerang mengkompromikan koneksi HTTPS menggunakan cipher blok 64-bit

Penyerang dapat mencegat koneksi HTTPS antara klien dan server yang rentan.

14 The POODLE attack (SSLv3 with CBC cipher suites)

Medium Situs web yang mendukung sandi mode SSLv3 dan CBC berpotensi rentan terhadap serangan MITM (Man-in-the- middle) aktif. Serangan ini, disebut POODLE, mirip dengan serangan BEAST

Penyerang mungkin dapat mengeksploitasi masalah ini untuk melakukan serangan man- in-the-middle dan mendekripsi komunikasi antara layanan yang

JURIKOM (Jurnal Riset Komputer), Vol. 9 No. 3, Juni 2022 e-ISSN 2715-7393 (Media Online), p-ISSN 2407-389X (Media Cetak) DOI 10.30865/jurikom.v9i3.4181 Hal 591−599 http://ejurnal.stmik-budidarma.ac.id/index.php/jurikom jaringan untuk mengekstrak plaintext dari

bagian yang ditargetkan dari koneksi SSL, biasanya data cookie.

3.4 Analisa Kontrol

Pada tahapan ini, SIMS dilakukakan Analisa kontrol oleh pihak ketiga atau provider sebagai pihak yang ditunjuk oleh organisasi sesuai kontrak yang disepakati. Analisa kontrol yang dilakukan oleh pihak provider terdokumentasikan dalam laporan setiap 6 bulan.

3.5 Penentuan Kecenderungan / Kemungkinan

Penentuan kecenderungan / kemungkinan adalah penentuan suatu tingkat seberapa mungkin ancaman dapat mengeksplorasi kerawanan yang dimiliki SIMS yang dapat mengakibatkan kegagalan layanan SIMS. Proses pengukuran tingkat kemungkinan dilakukan 2 kali yaitu untuk penilaian tingkat kemungkinan dasar sebelum ada kontrol yang diterapkan dan penilaian tingkat kemungkinan akhir setelah sejumlah kontrol diterapkan. Kecenderungan / kemungkinan terjadinya risiko dapat dikategorikan ke dalam lima tingkatan. Tabel 3 berikut ini merupakan keterangan kriteria penentuan tingkatan kecenderungan yang ada di organisasi.

Tabel 3. Kriteria Penentuan Tingkat Kecenderungan

No. Kategori Kriteria Pengukuran

Frekuensi Terjadi Kemungkinan Potensi Terjadi

1. Sangat Rendah

Sangat jarang terjadi Kemungkinan terjadi kecil atau hanya terjadi sesekali Hanya terjadi dalam kondisi sangat

tidak normal atau terjadi sekali dalam 3 tahun

Kemungkinan terjadi dalam rentang waktu yang cukup lama (lebih dari 5 tahun)

2. Rendah

Jarang terjadi Terjadi hanya dalam kondisi diluar kebiasaan, kemungkinan terjadi kecil

Terjadi diluar kondisi normal atau terjadi sesekali dalam 3 tahun

Terjadi dalam jangka waktu yang cukup lama (kurang dari 5 tahun)

3. Sedang

Cukup sering terjadi Cukup besar kemungkinan terjadi dalam berbagai kondisi

Misal kejadian cukup sering terulang dan terjadi kejadian selama kondisi normal

Terjadi dalam rentang waktu antara 1 sampai dengan 3 tahun

4. Tinggi

Sering terjadi Kemungkinan besar terjadi dalam berbagai kondisi normal

Kejadian cukup sering berulang dan terjadi dalam kondisi normal antara 6 sampai 15 kali dalam setahun

Terjadi dalam rentang waktu tertentu (antara 3-12 bulan)

5. Sangat Tinggi

Sangat Sering terjadi Pasti terjadi setiap saat dalam berbagai kondisi normal Selalu terjadi dalam setiap kejadian

antara 3 sampai 5 kali dalam setiap bulan

Terjadi dalam rentang waktu yang sangat singkat (kurang dari 3 bulan) untuk kejadian diluar kebiasaan

3.6 Analisa Dampak

Setelah dilakukan penentuan kecenderungan terhadapa terjadinya ancaman maka selanjutnya dilakukan analisa dampak.

Dampak risiko menunjukkan seberapa besar dampak yang muncul akibat dari ancaman yang mengekploitasi kerentanan dari SIMS. Pengukuran tingkat dampak adalah pengukuran terhadap besarnya dampak yang dapat muncul oleh sebuah risiko apabila risiko tersebut terdokumentasi. Pengukuran dampak dilakukan 2 kali yaitu untuk pengukuran nilai dampak dasar sebelum ada kontrol dan pengukuran nilai dampak akhir setelah sejumlah kontrol diterapkan. Kriteria penentuan tingkat dampak dapat dilihat pada Tabel 4 berikut :

Tabel 4. Kriteria Penentuan Tingkat Dampak

Level Kategori Kriteria Dampak

Kinerja Operasional Keuangan

1 Sangat Rendah Gangguan 1 s/d 2 hari Gangguan kecil Kerugian s/d Rp 5Jt

2 Rendah Gangguan s/d 1 pekan Penurunan performa 25 s/d 50% Kerugian Rp 5 Jt s/d Rp 10Jt 3 Sedang Gangguan 1 s/d 2 pekan Penurunan performa 25 s/d 50% Kerugian Rp 10 Jt s/d Rp 25Jt 4 Tinggi Gangguan s/d 1 Bulan Kegagalan sebagian besar (>60%) Kerugian Rp 25 Jt s/d Rp 50Jt 5 Sangat Tinggi Gangguan s/d >1 Bulan Kegagalan sebagian besar (>60%) Kerugian s/d > Rp 50Jt 3.7 Penentuan Risiko

JURIKOM (Jurnal Riset Komputer), Vol. 9 No. 3, Juni 2022 e-ISSN 2715-7393 (Media Online), p-ISSN 2407-389X (Media Cetak) DOI 10.30865/jurikom.v9i3.4181 Hal 591−599 http://ejurnal.stmik-budidarma.ac.id/index.php/jurikom Penentuan nilai risiko dapat diperoleh dari nilai kecenderungan dikalikan dengan tingkat dampak yang terjadi sehingga kriteria perhitungan tingkat nilai risiko dapat dirumuskan sebagai berikut :

Nilai Risiko = Kecenderungan x Tingkat Dampak

Tabel 5. Matriks Penilaian Risiko

Matriks Risiko Dampak

1 2 3 4 5

Kecenderungan

1 Rendah Rendah Rendah Rendah Sedang 2 Rendah Rendah Sedang Sedang Sedang 3 Rendah Sedang Sedang Sedang Tinggi 4 Rendah Sedang Sedang Tinggi Tinggi 5 Sedang Sedang Tinggi Tinggi Tinggi

Dari Tabel 5 diatas, nilai risiko kurang dari 4 adalah termasuk kategori risiko rendah, nilai risiko antara 5 sampai 14 termasuk kategori risiko sedang dan nilai risiko 15 sampai 25 termasuk kategori risiko tinggi. Untuk kategori risiko rendah dan sedang maka penerimaan risiko dapat diterima, sedangkan kategori risiko tinggi maka penerimaan risiko tidak dapat diterima.

3.8 Rekomendasi Kontrol

Tahapan ini bertujuan untuk mengurangi nilai level risiko dari SIMS. Setelah dilakukan penilaian risiko dimana ada 3 kategori risiko dengan nilai risiko antara 1 sampai 25 maka perlu dilakukan rekomendasi kontrol. Pada Tabel 6 berikut merupakan hasil penilaian risiko dan rekomendasi kontrol yang harus dilakukan oleh organisasi.

Tabel 6. Rekomendasi risiko No. Jenis Risiko Kecenderungan Dampak Tingkat

Risiko

Rekomendasi 1 Pelanggaran hak

akses

2 3 Sedang organisasi menerapkan maksimum jumlah sesi akun di waktu yang sama

2 Kesalahan Input Data

1 3 Rendah Membuat pelatihan secara berkala pada pegawai yang memiliki user SIMS

3 Serangan Malware

4 4 Tinggi Melakukan update patch antivirus secara otomatis 4 Server down

(crash)

1 5 Sedang Organisasi membangun server lain di lokasi yang berbeda 5 Serangan bom ke

fasilitas TI

1 5 Sedang Petugas keamanan berkoordinasi dengan pihak kepolisian jika ada dugaan serangan teroris

6 Listrik Mati 2 3 Sedang Melakukan pengecekan UPS dan genset secara berkala 7 Banjir 2 4 Sedang Menempatkan server di gedung pada lantai atas

8 Gempa Bumi 2 4 Sedang Bangunan ruangan server dilindungi oleh alat tahan gempa 9 Kebakaran 1 5 Sedang Memberikan alat pemadam kebakaran di sekitar ruangan server 10 Hilangnya data 3 5 Tinggi Melakukan backup server secara berkala

11 Application error messages

2 3 Sedang Verifikasi halaman web mengungkapkan pesan kesalahan atau peringatan dan konfigurasikan aplikasi dengan benar

12 Cross site scripting (XSS)

3 5 Tinggi Menerapkan pengkodean dan/atau validasi yang bergantung pada konteks ke input pengguna yang diberikan pada halaman web 13 SQL injection 4 5 Tinggi Gunakan kueri berparameter saat menangani kueri SQL yang

berisi input pengguna 14 File konfigurasi

pengembangan

2 4 Sedang Hapus atau batasi akses ke semua file konfigurasi yang dapat diakses dari internet

15 Remote DOS 2 3 Sedang Meningkatkan ke versi terbaru Apache HTTP Server (2.2.20 atau lebih baru)

16 Remote Host 2 3 Sedang Konfigurasi ulang aplikasi yang terpengaruh untuk menghindari penggunaan rangkaian sandi yang lemah

17 Serangan DOS 2 3 Sedang Meningkatkan PHP ke versi terbaru

18 MITM 3 5 Tinggi Nonaktifkan SSL 2.0 dan SSL 3.0 lalu gunakan TLS 1.2 (atau lebih tinggi)

19 The DROWN attack

3 5 Tinggi menonaktifkan protokol SSLv2 di semua server SSL/TLS mereka, jika mereka belum melakukannya. Menonaktifkan semua cipher SSLv2 juga cukup, asalkan patch untuk CVE-2015-3197 telah diterapkan.

20 Sweet32 attack 2 4 Sedang Konfigurasi ulang server SSL/TLS yang terpengaruh untuk

JURIKOM (Jurnal Riset Komputer), Vol. 9 No. 3, Juni 2022 e-ISSN 2715-7393 (Media Online), p-ISSN 2407-389X (Media Cetak) DOI 10.30865/jurikom.v9i3.4181 Hal 591−599 http://ejurnal.stmik-budidarma.ac.id/index.php/jurikom 3.9 Dokumentasi Hasil

Tahapan akhir yaitu dokumentasi hasil yang merupakan hasil analisis penilaian risiko dari SIMS. Untuk menyusun menajemen risiko maka perlu dilakukan dokumentasi yang meliputi aspek kerentanan, ancaman, penilaian risiko serta rekomendasi kontrol atas risiko yang ada pada SIMS.

4. KESIMPULAN

SIMS yang merupakan sebuah sistem informasi milik salah satu instansi Pemerintah sebagai menjadi pintu gerbang dari pelayanan perizinan spektrum frekuensi. SIMS berisi data-data seluruh pemilik Izin Stasiun Radio (ISR) yang telah terintegrasi dengan layanan perizinan online sebagai pelayanan publik di bidang perizinan spektrum frekuensi. Sebuah organisasi yang mengelola sistem informasi maka harus memiliki manajemen risiko keamanan informasi untuk meminimalisir resiko keamanan informasi yang dapat terjadi.

Pada awalnya organisasi yang mengelola SIMS belum memiliki manajemen risiko keamanan informasi. Setelah dilakukan serangkaian tahapan penilaian risiko pada SIMS maka didapat beberapa rekomendasi kontrol. Namun sebelumnya dilakukan tahapan penentuan risiko untuk mengetahui potensi risiko dengan melakukan pentest terhadap sistem informasi yang dimiliki dengan menggunakan tools Acunetix versi 14 untuk mengetahui kerentanan sistem.

Dari rangkaian tahapan penilaian risiko keamanan informasi dengan metode NIST 800-30 yang telah terdokumentasi, maka manajemen risiko SIMS memiliki 1 tingkat risiko rendah, 13 tingkat risiko sedang dan 6 tingkat risiko tinggi. Untuk selanjutnya dapat dilakukan tindakan pengendalian risiko dan mitigasi risiko. Untuk nilai risiko rendah dan sedang maka berdasarkan pedoman metodologi risk assessment dari organisasi dapat diterima. Sedangkan untuk kategori nilai risiko tinggi maka perlu dilakukan pengendalian risiko dengan cara risk avoidance (menghindari risiko), risk transfer (mentransfer risiko), maupun risk reduction (mengurangi risiko).

REFERENCES

[1] Poningsih, M. Ridwan Lubis, “Analysis and Evaluation of Academic Information System Security Using NIST SP 800-26 Framework,” Jurnal dan Penelitian Teknik Informatika, vol. 7 no.1, pp 267-273, 2022

[2] Awangga F.S. Admaja, “Analisis Kesuksesan Sistem Informasi Manajemen Sumber Daya dan Perangkat Pos dan Informatika (SIMS),” Buletin Pos dan Telekomunikasi, vol. 12 no.2, pp 105-118, 2014.

[3] H. Santoso, L. Ernawati, “Manajemen Risiko Pada Pusat Data Perguruan Tinggi Dengan Kerangka Kerja NIST 800-30 (Studi Kasus: Universitas Kristen Duta Wacana),” Jurnal Informatika Dan Sistem Informasi (JUISI), vol. 3 no.2, pp 8-17, 2017.

[4] Sekjen Kementerian Kominfo, Pedoman Sekjen Kementerian Kominfo Nomor 01 tentang Tata Kelola Teknologi Informasi Kementerian Kominfo, Kementerian Kominfo, 2018.

[5] U. Nugraha, “Manajemen Risiko Sistem Informasi Pada Perguruan Tinggi Menggunakan Kerangka Kerja Nist Sp 800-300,”

Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016), pp 121-126, Bandung, 2016.

[6] Y. Idah, R. Prima, “Analisis Manajemen Risiko Sistem Pembelajaran Online pada Perguruan Tinggi Menghadapi Pandemi COVID-19,” Jurnal Rekayasa Informasi, vol. 10 no. 1, pp. 50–56, 2021

[7] DI. Izatri, NI. Rohmah, RS. Dewi, “Identifikasi Risiko pada Perpustakaan Daerah Gresik dengan NIST SP 800-30,” Jurnal Riset Komputer, vol. 7, no. 1, pp. 50–55, 2020.

[8] R. Von Solms, J. Van Niekerk, “From information security to cyber security,” Computer Security, pp. 2–7, 2013.

[9] K. Harsanto, D. Hidayat, “Sistem Informasi Manajemen Risiko dengan Menggunakan Framework National Institute of Standards and Technology pada Lembaga Pendidikan,” Jurnal Ipsikom, vol. 6, no. 1, 2018.

[10] F. Mahardika, “Manajemen Risiko Keamanan Informasi Menggunakan Framework NIST SP 800-30 Revisi 1 (Studi Kasus:

STMIK Sumedang),” Jurnal Informatika:Jurnal Pengembangan IT (JPIT), vol 02, no. 02, 2017.

[11] E. Supristiowadi, “Manajemen Risiko Keamanan Informasi Pada Sistem Aplikasi Keuangan Tingkat Instansi (SAKTI) Kementerian Keuangan,” Indonesian Treasury Review, vol. 3, no. 1, pp 23-33, 2018.

[12] D. S. Valena, R. Prabowo, A. S. Irawati, Aristoteles, “Analisis Manajemen Risiko Sistem Informasi Perpustakaan Universitas Lampung Menggunakan Metode Nist Sp 800-30,” Jurnal Komputasi, vol. 7, no. 1, pp. 1-10, 2019.

[13] A. A. Putro, A. Ambarwati, E. Setiawan, " Analisa Manajemen Risiko E-Learning Edlink Menggunakan Metode NIST SP 800- 30 Revisi 1," Jurnal Teknologi dan Informasi, vol. 11, no. 2, pp. 125-136, 2021.

[14] R. Putra, E. Setiawan, A. Ambarwati, "Analisis Manajemen Risiko TI Pada Keamanan Data E-Learning Dan Aset TI Menggunakan NIST SP 800-30 Revisi 1," Jurnal Teknik Informatika dan Sistem Informasi, vol. 6, no. 1, pp. 96-105, 2019.

[15] A. Syalim, Y. Hori, K. Sakurai, "Comparison of Risk Analysis Methods: Mehari, Magerit, NIST800-30 and Microsoft's Security Management Guide," 2009 International Conference on Availability, Reliability and Security, 2009, pp. 726-731, doi:

10.1109/ARES.2009.75.

[16] W. Safitri, “Penilaian Risiko Keamanan Informasi Menggunakan Metode NIST 800-30 (Studi Kasus: Sistem Informasi Akademik Universitas XYZ),” Jurnal CoreIT, vol. 2, no. 2, pp. 8-13, Desember 2016.

[17] Gary Stoneburner, Alice Goguen, Alexis Feringa, “Risk Management Guide for Information Technology Systems,” NIST Special Publication 800-30, July 2002.