Jurnal Teknik Informatika dan Sistem Informasi ISSN 2407-4322
Vol. 10, No. 2, Juni 2023, Hal. 139-149 E- ISSN 2503-2933 139
Penilaian Risiko Keamanan Sistem Informasi Data Pemilih Menggunakan Framework NIST SP 800-30
Zeckyan¹, Megawati², Tengku Khairil Ahsyart3, Syaifullah4
Sistem Informasi, Sains dan Teknologi, Universitas Islam Negeri Sultan Syarif Kasim Riau Jl.
H.R Soebrantas No.155 Km 15, Simpang Baru, Tampan, Pekanbaru, Riau, Indonesia.
[email protected]¹, [email protected]², [email protected]³, [email protected]4
Abstrak
Kantor Komisi Pemilihan Umum (KPU) Kota Pekanbaru adalah organisasi yang mengimplementasikan sistem informasi, Tetapi sistem informasi tersebut tidak pernah dievaluasi terkait dengan keamanan sistem informasinya dan belum adanya pengelolaan manajemen risiko khususnya dibidang infrastruktur Teknologi Informasi. Oleh sebab itu dibutuhkan suatu cara penyeselaian masalah dengan menggunakan NIST SP 800-30. NIST SP 800-30 ialah sebuah cara untuk melakukan penilaian risiko kemanan dan memberi berbagai acuan penilaian terhadap sebuah penilaian risiko keamanan. Hasil dari penilitian ini yaitu memberikan rekomendasi tingkatan risiko keamanan yang ada pada kantor komisi umum (KPU) Pekanbaru. Dalam penggunaannya terhadap menilai suatu risiko keamanan sistem informasi, maka nantinya akan didapatkan hasil dari penilaian tersebut terhadap sistem daftar pemilih Komisi Pemilihan Umum Pekanbaru, didapatkan dua (2) risiko level rendah, dua (2) risiko level sedang, dua (2) risiko dengan level yang tinggi.
Kata kunci: Keamanan Informasi, NIST SP 800-30, Penilaian Risiko, Risiko, Sistem daftar pemilih.
Abstract
The Pekanbaru City General Election Commission (KPU) office is an organization that implements information systems, but these information systems have never been evaluated in terms of the security of their information systems and there is no risk management, especially in the field of Information Technology infrastructure. Therefore we need a way to solve the problem by using the NIST SP 800-30. NIST SP 800-30 is a way to carry out security risk assessments and provides various assessment references for a security risk assessment. The results of this research are to provide recommendations on the level of security risks that exist in the Pekanbaru General Commission (KPU) office. In its use to assess an information system security risk, the results of this assessment will be obtained from the Pekanbaru General Election Commission voter list system, two (2) low level risks, two (2) medium level risks, two (2) risks with high level.
Keywords: Academic Information Systems, Information Security, NIST SP 800-30, Risk Assessment, Risks. voter list system.
140 Jatisi ISSN 2407-4322 Vol. 10, No. 2, Juni 2023, Hal. 139-149 E-ISSN 2503-2933
Zeckyan, et., al [Penilaian Risiko Keamanan Sistem Informasi Data Pemilih Menggunakan Framework NIST SP 800- 30]
1. PENDAHULUAN
Seiring dengan pesatnya kemajuan dibidang teknologi informasi, membuat organisasi sadar bahwa Teknologi Informasi (TI) memberikan manfaat yang sangat luar biasa dalam meningkatkan kecepatan, akurasi serta kualitas [1]. Dalam hal ini, informasi yang dibutuhkan oleh masyarakat hendaknya dapat dengan mudah didapatkan dan diakses oleh seluruh kalangan.
Dengan adanya perkembangan teknologi yang pesat, mengakibatkan banyak organisasi ataupun individu yang memanfaatkan kecanggihan teknologi informasi dalam memperoleh informasi yang diinginkan.
Dengan adanya teknologi internet tentunya membantu masyarakat dalam melakukan beberapa hal, seperti melihat daftar calon pemililh Tingkat Komisi Pemilihan Umum (KPU) Kota Pekanbaru dengan cara mengakses link website instansi[2]. Sebagai salah satu negara demokrasi, Indonesia selalu melibatkan masyarakat sebagai pemilik kekuasaan tertinggi dalam pelaksanaan demokrasi. Masyarakat dapat terlibat dalam politik Indonesia dalam pemerintahan yang demokratis ini dengan cara berpartisipasi dalam kegiatan Pemilihan Umum[1].
Di Indonesia, KPU adalah badan pemerintahan pusat yang menyelenggarakan pemilihan umum. KPU tingkat Kabupaten/Kota bertempat di Ibukota Kabupaten/Kota tersebut. KPU Kota Pekanbaru Provinsi Riau terletak di Jalan Arifin Ahmad Nomor 39, Tangkerang Barat, Marpoyan Damai. Sesuai dengan Undang-Undang No. 2 Tahun 2017 mengenai penyusunan daftar pemilih dan pemutakhiran data pemilihan Gubernur dan Wakil Gubernur, Bupati dan Wakil Bupati, atau Walikota dan Wakil Walikota. Agar masyarakat dapat memantau secara langsung dan real time proses pemilihan umum yang diselenggarakan diberbagai daerah, maka KPU Kota Pekanbaru harus mempunyai sistem informasi yang baik juga[3]. Sistem Informasi Data Pemilih merupakan kumpulan teknologi dan sistem informasi yang dirancang untuk membantu pekerjaan penyelenggara pemilu dalam mengumpulkan, mengkoordinasikan, merilis dan menjaga data pemilih. Oleh karna itu di perlukannya keamanan informasi pada Sistem informasi data pemilih.
Setiap organisasi atau instansi memiliki tingkat keamanan informasi yang berbeda-beda, tingkat keamanan informasi tersebut dapat diperkirakan berdasarkan tingkat kematangan (maturity level). Dengan adanya perkiraan maturity level dapat menangani kemungkinan risiko keamanan yang diukur dengan tingkat kematangan keamanan informasi [4]. Beberapa aspek pengelolaan risiko difokuskan kedalam beberapa hal, yakni identifikasi risiko, pengelolaan risiko dan pengendalian risiko[5].
Istilah "risiko" mengacu pada satu keadaan yang belum tentu akan terjadi dan berpotensi memberikan dampak buruk bagi suatu organisasi atau instansi. Tiga komponen pembentukan risiko, yakni : kemungkinan sesuatu yang akan terjadi, efek atau respons (apabila terjadi, risiko akan memberikan semacam efek buruk), Penelitian terdahulu mengenai penggunaan metode NIST SP 800-30 tentang menilai suatu risiko keamanan yakni penelitian yang dilakukan oleh (Wahyu S. Prabowo, Widyawan, Noor A. S, M. Hanif Muslim, Yoga S.
Utama)[6], yang meneliti tentang Manajemen Risiko Insfrastuktur CLOUD Pemerintah menggunakan NIST (Studi Kasus: Lembaga Ilmu Pengetahuan Indonesia (LIPI), berdasarkan penilaian yang berbasis keamanan sistem informasi Lembaga Ilmu Pengetahuan Indonesia (LIPI) memiliki risiko 5 risiko tingkat tinggi, 3 tingkat sedang.
Penelitian selanjutnya diteliti oleh (Damalia, R., Ambarwati, A., & Setiawan, E., 2021)[10], yang meneliti Analisis Manajemen Risiko IT Sistem Adminstrasi Bisnis Retail Menggunakan NIST SP 800-30, dari temuan terhadap penilaian risiko yang berbasis keamanan infrastruktur STMIK Rosma memiliki risiko : level rendah sebanyak 52 risiko, level sedang sebanyak 5 risiko dan level tinggi sebanyak 1 risiko.
Penelitian yang penulis lakukan ini akan berfokus kepada sistem yang ada pada Komisi Pemilihan Umum Pekanbaru sebagai studi kasus penelitian ini yaitu Sistem Informasi Data Pemilih (Sidalih) Pekanbaru. Pada tahun 2018 silam saat dilaksanakannya pilkada serentak
Jatisi ISSN 2407-4322
Vol. 10, No. 2, Juni 2023, Hal. 139-149 E- ISSN 2503-2933 141
tercatat ada 1.052.996 data pemilih tetap, 35.163 data pemilih pemula, dan 1.071 data pemilih disabilitas. Penulis bermaksud untuk menganalisis penilaian risiko pada Sistem Informasi Data Pemilih Komisi Pemilihan Umum Pekanbaru. Salah satu produk IT yang dikenal dengan nama SIDALIH dianggap sebagai upaya ganda di bidang e-government. Dengan kata lain menerapkan prinsip e-government dan e-governance untuk memungkinkan partisipasi masyarakat dalam pemilihan umum[7].Pada penilaian ini nantinya akan memanfaatkan Framework NIST SP 800-30 dalam melaksanakan identifikasi terhadap risiko apa saja yang mungkin terjadi dan menganalisa tingkatan risiko yang ada pada Sistem Informasi Data Pemilih agar kerugian yang disebabkan oleh ancaman-ancaman dari keamanan informasi dapat diminimalisir. NIST SP 800 30 digunakan oleh peneliti karena mempunyai tahapan yang lebih detail, yang memungkinkan pengumpulan data yang lebih detail serta fokus kepada aset-aset perusahaan[8]. NIST SP 800 30 ialah tolak ukur yang menyinggung risiko keamanan data dewan serta menyoroti pengawasan risiko untuk membatasi kemalangan yang terjadi pada suatu organisasi.
2. METODE PENELITIAN
National Institute of Standards and Technology Special Publication (NIST SP 800-30) mengembangkan dokumen sederhana untuk memenuhi tanggung jawabnya dibawah Undang- Undang Computer Security Act tahun 1987 dan The Information Technology Management Reform Act tahun 1996. NIST memberikan saran pedoman Manajemen Risiko terhadap Sistem Teknologi Informasi yang telah dipublikasi secara khusus. Berdasarkan NIST SP 800-30, terdapat tiga bagian dalam suatu manajemen risiko, yaitu evaluasi risiko, penilaian risiko dan mitigasi risiko[9]. Untuk memastikan kelangsungan proses bisnis dan mengurangi risiko bisnis, Tujuan dari adanya keamanan suatu informasi adalah memberikan perlindungan terhadap informasiu tersebut agar aman dari berbagai macam jenis bahaya[10].
Pola dari NIST SP 800-30 akan membantu dalam pengukuran suatu risiko terhadap sistem informasi Data Pemilih Komisi Pemilihan Umum Pekanbaru. Penilaian risiko dan mitigasi risiko adalah dua tingkatan penting dalam NIST 800-30[11]. Kerangka penilaian risiko atau pengukuran risiko di bidang TI adalah NIST SP 800-30 perbaikan pertama.
Langkah pertama dalam melangsungkan pengukuran risiko adalah membuat karakterisasi sistem (system characterization) dan mengidentifikasi ruang lingkup sistem informasi. Berikut ini adalah tahapan penilaian risiko berdasarkan NIST 800-30.
1. System Characteristics
Ruang lingkup sistem informasi dapat ditentukan melalui langkah-langkah yang diambil untuk penilaian risiko dan karakterisasi sistem. Pada tahap ini, penulis akan memanfaatkan pola observasi dan wawancara agar dapat mengidentifikasi proses bisnis pada Sistem Informasi Data Pemilih Komisi Pemilihan Umum Pekanbaru.
2. Mengidentifikasi Ancaman (Threat Identification)
Selanjutnya adalah mengidentifikasi terhadap risk yang mungkin terjadi. Pada tahapan ini akan dilakukan observasi serta wawancara pada sistem informasi Data Pemilih KPU Pekanbaru, tujuan dilakukann nya identifikasi terhadap ancaman adalah menyadari bahwa ancaman dapat terjadi sewaktu-wakktu.
3. Mengidentifikasi Kerentanan (Vulnerability Identification)
Membuat daftar kerentanan terhadap sistem informasi Data Pemilih KPU Kota Pekanbaru (system vulnerability) yang ditimbulkan oleh berbagai sumber ancaman.
4. Melakukan Analisis Pengendalian (Control Analysis)
Tahapan ini terhadap kerentanan suatu sistem meliputi pendokumentasian dan melakukan evaluasi efektivitas pengendalian baik dari segi teknis ataupun non-teknis yang dilakukan
142 Jatisi ISSN 2407-4322 Vol. 10, No. 2, Juni 2023, Hal. 139-149 E-ISSN 2503-2933
Zeckyan, et., al [Penilaian Risiko Keamanan Sistem Informasi Data Pemilih Menggunakan Framework NIST SP 800- 30]
Komisi Pemilihan Umum Pekanbaru untuk meminimalkan kemungkinan segala macam ancaman.
5. Penentuan Kemungkinan (Likelihood)
Memberikan angket atau kuisioner untuk mengetahui seberapa besar kemungkinan dan tren sumber ancaman secara keseluruhan.
6. Analisa Dampak (Impact Analysis)
Memberikan angket atau kuisioner untuk mengetahui seberapa besar sumber ancaman yang berdampak negatif bagi Sistem Informasi Data Pemilih KPU Kota Pekanbaru.
7. Penentuan Risiko (Risk Determination)
Penilaian risiko dengan menggunakan tabel matriks, menetapkan level setiap risiko dari yangterendah hingga tertinggi dengan cara mengalikan nilai.
8. Rekomendasi Kontrol
Memberikan rekomendasi berupa saran terhadap risiko yang telah diidentifikasi sebelumnya.
Tahapan ini berpengaruh untuk menentukan pengendalian yang akan diterapkan untuk meminimalisir risiko yang telah diidentifikasi. Penggunaan pola NIST SP 800-30 berfungsi sebagai dasar bagi saran yang akan dibuat. Metode ini juga berfungsi sebagai dasar bagi rekomendasi yang diberikan.
9. Pengumpulan Hasil Kegiatan
Penelitian tentang penilaian risiko yang dilakukan ini akan menghasilkan dokumentasi berupa penjelasan mengenai penilaian risiko, lalu didistribusikan untuk pihak terkait sehingga pihak yang bersangkutan tersebut dapat memutuskan tahapan-tahapan untuk mengimplementasikan rekomendasi-rekomendasi yang diberikan agar dapat mengurangi risiko.
3. HASIL DAN PEMBAHASAN 1. Karakterisasi Sistem (System Characterization)
Berdasarkan hasil survei dan wawancara yang dilakukan kepada Sisten Informasi Data Pemilih Komisi Pemilihan Umum Pekanbaru memiliki 6 aset, dapat dilihat pada tabel 1.:
Tabel 1.System Characterization
No. Kategori ID Asset Asset Alur Bisnis 1. Information
(Informasi)
IN-001 Data Pemilih Staf admin mengakses Sistem Informasi Data Pemilih untuk melakukan proses tembah data pemilih, hapus data pemilih, edit data pemilih, dan simpan.
2. Hardware (Perangkat
HD-001 Server Ketersediaan sumber daya seperti adanya hardware (perangkat keras) atau aplication
Keras) (aplikasi) yang bisa digunakan secara
bersamaan
HD-002 Computer Computer yang tersedia hanya boleh digunakan oleh staff i sntansi atau
organisasi dan hanya untuk kebutuhan instansi
HD-003 Jaringan Jaringan di Komisi Pemilihan Umum Pekanbaru menggunakan topologi Mesh
Jatisi ISSN 2407-4322
Vol. 10, No. 2, Juni 2023, Hal. 139-149 E- ISSN 2503-2933 143
3. Information(Informasi)
SW-001 Sidalih (Sistem Informasi Data
Pemilih)
Sidalih digunakan untuk salah satu kepentingan KPU Pekanbaru, pengguna aplikasi ini hanya staf yang menggunakan aplikasi tersebut.
4. People (Manusia)
SDM-001 Staf Merupakan staf instansi yang menjalankan tugasnya masing-masing sesuai dengan bidang mereka
2. Identifikasi Ancaman (Threat Identification)
Wawancara dengan staf Komisi Pemilihan Umum Pekanbaru bagian program dan data tentang daftar ancaman serta kelemahan Sistemn Informasi Data Pemilih KPU. Dibawah ini merupakan tabel dari daftar ancaman (threat) atau kelemahan terhadap Sistem Informasi Data Pemilih KPU yang telah teridentifikasi dapat di lihat pada tabel 2.berikut :
Tabel 2.Identifikasi Ancaman
No. Peristiwa Keterangan Code
1. Illegal Access Untuk orang yang tak mempunyai kepentingan apapun, maka aksesnya tidak sah dan akan ditolak
T1
2. Serangan Virus Dapat mengakibatkan kerusakan terhadapa software yang disebabkan oleh serangan virus
T2
3. Hackers (Intruders) Seseorang yang tidak memiliki hak apapun yang mencoba mengakses sistem dari luar dengan mengngunakan jaringan komputer
T3
4. Pencurian Aset (Theft of Asset) Perbuatan yang dilakukan oleh pihak lain selain staf instansi dalam melakukan pemindahan aset instansi tanpa izin
T4
5. Bencana Alam (Nature Disaster) Kejadian-kejadian yang berasal dari alam yang memungkinkan akan membahayakan asset yang dilinfungi
T5
6. Kebakaran (Fire) Kebakaran yang dapat disebabkan oileh konsleting listrik yang menimbulkan ancaman terhadap asset yang ada
T6
Dibawah ini ialah tabel hasil identifikasi kelemahan yang dialami bagi setiap asset sistem informasi Data Pemilih yang dapat dilihat pada tabel 3 berikut:
144 Jatisi ISSN 2407-4322 Vol. 10, No. 2, Juni 2023, Hal. 139-149 E-ISSN 2503-2933
Zeckyan, et., al [Penilaian Risiko Keamanan Sistem Informasi Data Pemilih Menggunakan Framework NIST SP 800- 30]
Tabel 3. Identifikasi Kelemahan
No. Peristiwa Keterangan Code
1. Corruption Data Dapat terjadi suuatu kehilangan data sebagai akibat dari masalah seperti pemeliharaan media yang tidak memadai
V1
2. Human Error Terjadi kesalahan dalam melakukan penginputan data, kesalahan dalam mengoperasikan aset instansi dan lalai dalam menjalankan tugasnya
V2
3. Hardware Failure Perngkat lunak yang belum bisa berfungsi sebagaimana dengan harusnya
V3 4. Power Failure Perangkat keras yang belum dapat
dioperasikan tanpa sumber energi listrik
V4 5. Data Missing Recipient Terjadi kelalaian dalam proses pengantaran
data yang menyebabkan data tersebut terkendala ketika hendak sampai ke tempat yang ingin dituju
V5
6. Software Bug Fungsionalitas perangkat lunak tidak berjalan sebagaimana mestinya
V6 7. Pembaharuan Aplikasi Update dilakukan setiap pemilu akan
berlangsung, dan sudah melakukan Update sebanyak dua kali, tetapi tidak di terapkan proses penetration-test.
V7
8. Tidak ada kontrol pengawasan
Tidak melakukan pemantauan terhadap proses proses pemeliharaan sistem (maintenance) sreta pengawasan (monitoring)
V8
Setelah mengidentifikasi individu dari Sistem Informasi Data Pemilih, langkah selanjutnya adalah mengidentifikasi ancaman dari Sistem Informasi Data Pemilih yang relevan terhadap individu dari Sistem Informasi Data Pemilih tersebut. Tujuannya agar tercapai baik aset maupun gangguan keamanannya, dapat dilihat pada tabel 4:
Tabel 4. Kemungkinan Ancaman dan Kelemahan Code
Asset
Kemungkinan Ancaman Kemungkinan Kelemahan T1 T2 T3 T4 T5 T6 V1 V2 V3 V4 V5 V6 V7 V8 IN-001
HD-001 HD-002 HD-003 SW-001 SDM-001
3. Mengidentifikasi Kerentanan (Vulnerability Identification)
Peneliti mengidentifikasi terhadap kerentanan pada Sistem Informasi Data Pemilih KPU Pekanbaru, sekaligus juga melakukan wawancara dengan kepala bidang program dan data KPU Pekanbaru, kerentanan data berdasarkan kelompok dari setiap asset, dapat dilihat pada tabel 5:
Jatisi ISSN 2407-4322
Vol. 10, No. 2, Juni 2023, Hal. 139-149 E- ISSN 2503-2933
145 Tabel 5. Identifikasi KerentananAset Kerentanan
Information: Informasi Data Pemilih Pelanggaran data, serangan virus, input dan penghapusan data yang salah, agensi yang tidak melakukan prosedur backup, dan kesalahan dalam entri dan penghapusan data
Hardware : Server Server terlalu panas, pemeliharaan sistem (maintenance) jarang dilakukan, server yang rusak, hubungan pendek arus listrik, dan kurangnya keamanan organisasi
Komputer Apabila Sistem Informasi Data Pemilih KPU Pekanbaru tidak dilakukan pemeliharaan (maintenance) secara berkala, maka akan rentan untuk terserang virus
Jaringan Keamanan sistem TI internal yang tidak memadai, pengolahan pemantauan jaringan yang masih kurang, terjadi gangguan jaringan, dan kesalahan saat melakukan konfigurasi titik akses
Karyawan (People) Sering melakukan kesalahan input dan menghapus data Teknologi informasi: Sidalih
(Sistem Informasi Data Pemilih)
Terjadi kesalahan dalam input pengkodean dalam pemograman, serta data yang rentan untuk dicuri 4. Analisa Pengendalian (Control Analysis)
Masing-masing aset dan kelompoknya mempunyai potensi dalam memberikan ancaman bagi sistem informasi, oleh karena itu potensi ancaman tersebut akan diberikan pengendaliannya masing-masing. Dibawah ini merupakan penanganan potensi ancaman terhadap Sistem Informasi data Pemilih KPU Pekanbaru, dapat dilihat pada tabel 6:
Tabel 6. Control Analysis
Asset Potensial Ancaman Penyelesaian
Information:
Data informasi pemilih
Pelanggaran data, serangan virus, input dan, menghapus data yang masih sering salah salah, dan kesalahan dalam entri dan penghapusan data
Melakukan pengecekan secara berkala, backup data rutin dan teratur, meningkatkan sistem keamanan, dan dengan
berkala melakukan
pemeliharaan sistem Hardware : Server Kegagalan dalam melakukan
pemeliharaan secara rutin, kerusakan fisik pada server, hubungan pendek arus listrik dan server yang terlalu panas
Maintenance secara teratur, dan menambahkan server cadangan.
Komputer Kehilangan data, kehilangan perangkat, pemeliharaan tidak teratur, serangan virus, dan kurangnya keamanan organisasi
Melakukan
Maintenance secara teratur, minimal 3 bulan sekali
Jaringan Masih kurangnya prosedur pengamatan jaringan, jaringan yang tidak stabil, dan terjadi kerusakan terhadap prasarana jaringan
Mengadakan penambahan dan upgrade spesifikasi jaringan
Karyawan (People) Pemasukan dan penghapusan data yang tidak akurat, kurangnya sistem
Dilakukan penlatihan rutin kepada user
146 Jatisi ISSN 2407-4322 Vol. 10, No. 2, Juni 2023, Hal. 139-149 E-ISSN 2503-2933
Zeckyan, et., al [Penilaian Risiko Keamanan Sistem Informasi Data Pemilih Menggunakan Framework NIST SP 800- 30]
pemantauan, organisasi yang tidak menggunakan prosedur pencadangan, pelanggaran data
Software:
Sidalih ( Sistem Informasi Data Pemilih)
Terjadi kesalahan peng-codingan pada fungsionalitas perangkat dan berpotensi terjadi pencurian data
Meningkatkan
keamanan sistem dan melakukan
Maintenance rutin 5. Penentuan Kemungkinan (Likelihood)
Bertujuan untuk mengetahui seberapa baik aset KPU Kota Pekanbaru dalam mengelola pengamanan informasi data pemilih saat ini. Sistem informasi Data Pemilih KPU Pekanbaru telah memberikan estimasi nilai aset potensial, dapat dilihat pada tabel 7 berikut:
Tabel 7. Penentuan Nilai Kemungkinan
Kategori Asset Nama Asset Code likelihood Keterangan Informasi Informasi Data Pemilih IN-001 0,05332 Sangat jarang Hardware
Server HD-001 0,01036 Sangat jarang
Computer HD-002 0,12333 Sangat jarang
Jaringan HD-003 0,1 Sangat jarang
Software Sidalih (Sistem Informasi Data
Pemilih) SW-001 0,42592 mungkin
Staff Staff SDM-001 0,24445 jarang
6. Analisa Dampak (Impact Analysis)
Mengidentifikasi sejauh mana ancaman akan menyebabkan kerugian jika berhasil menemukan kerentanan. Mempertimbangkan signifikansi misi organisasi, peka dan kritis, biaya, hilangnya kerahasiaan, integritas, dan persediaan data serta sistem semua harus dipertimbangkan dengan matang.
Menganalisis setiap dampak aset SI/TI pada bisnis untuk memastikan tingkat kerugian yang diakibatkan oleh sumber ancaman pada Sistem Informasi Pemilih. Keterangan mengenai impact dapat dilhat pada tabel 8:
Tabel 8. Impact Analysis
No. Code Asset Nama Impact Poin
1. IN-001 Informasi Data Pemilih
Kehilangan data yang/ aset penting 2 . 2. HD-001 Server Sistem belum bisa di akses, proses dan
pengelolaan menjadi terganggu
4 3. HD-002 Komputer Kehilangan seluruh data-data penting
atau sensitif
3 4. HD-003 Jaringan Sistem tidak dapat di akses menggunakan
jaringan luar
2 5. SW-001 Sidalih
(Sistem Informasi Data Pemilih)
Sistem tidak dapat di akses, proses dan pngelolaan menjadi terganggu
2
6. SDM-001 Karyawan Kesalahan pengelolaan data oleh user 2
Jatisi ISSN 2407-4322
Vol. 10, No. 2, Juni 2023, Hal. 139-149 E- ISSN 2503-2933
147 7. Penentuan Risiko (Risk Determination)Pada fase in, risiko akan diurutkan dari terendah sampai paling tinggi dengan cara mengalikan nilai. Penentuan risiko dapat dilihat dengan jelas pada tabel 8.1
Tingkat risiko yang telah ditentukan sebelumnya dengan cara mengalikan nilai peringkat berdasarkan kemungkinan serta analisis dampak, hasil penentuan risiko dapat dilihat pada tabel 9:
Tabel 9. Nilai Resiko Kategori
Assset Nama Asset Kode
Asset Kemungkinan Dampak Level Information Informasi Data
Pemilih
IN-001 Sangat jarang kecil Rendah Perangkat
Keras (Hardware)
Server HD-001 Sangat jarang Sangat besar Tinggi Computer HD-002 Sangat jarang Sedang Sedang
Jaringan HD-003 Sangat jarang kecil rendah
Perngkat Lunak (Software)
Sidalih (Sistem Informasi Data Pemilih)
SW-001 mungkin Besar Tinggi
Staff Karyawan SDM-001 jarang Sedang Sedang
8. Control Recommendations
Solusi yang diberikan adalah pedoman dalam pelaksanaannya menjadi rekomendasi untuk manajemen keamaan suatu sistem untuk setiap modal yang berlandaskan rangkuman hasil level yang telah ditentukan dari setiap kontrol keamanan yang telah dinilai. Penerbitan rekomendasi sesuai dengan derajat terapi ditentukan oleh aturan rekomendasi yang sudah tersimpan.
Solusi yang dapat digunakan adalah analisis risiko dan analisis saran, dan digunakan untuk mengatasi sebuah ancaman anemia dan kelemahan yang mungkin muncul karena proses manajemen risiko KPU Kota Pekanbaru. Tabel dibawah ini merupakan kriteria pada saat penerimaan risiko, yakni dapat dilihat pada tabel 8.1 berikut :
Tabel 10. Hasil Rekomendasi
No. Nama Aset kemungkinan Impact Rekomendasi 1. Informasi Data
Pemilih
Low Low Melakukan pengecekan dengan rutin, melakukan backup data dengan teratur, dan melakukan pemneliharaan sistem dengan rutin
2. Server Low High Maintenance secara teratur, dan
menambahkan server cadangan.
3. Computer Low Med Melakukan Maintenance secara teratur, minimal 3 bulan sekali
4. Jaringan Low Low Penambahan jaringan, dan Upgrade spesifikasi jaringan
5. Sidalih (Sistem Informasi Data Pemilih)
Med High Dilakukan penlatihan berkala kepada user
6. Karyawan Med Med Meningkatkan keamanan sistem dan melakukan Maintenance rutin
148 Jatisi ISSN 2407-4322 Vol. 10, No. 2, Juni 2023, Hal. 139-149 E-ISSN 2503-2933
Zeckyan, et., al [Penilaian Risiko Keamanan Sistem Informasi Data Pemilih Menggunakan Framework NIST SP 800- 30]
9. Dokumentasi hasil kegiatan penilaian risiko
Sistem Informasi Data Pemilih menghasilkan 6 aset yang telah diidentifikasi terkait secara langsung dengan Sistem Informasi Komisi Pemilihan Umum Pekanbaru, yakni :
1. Dua (2) risiko dengan level rendah yakni, informasi data pemilih dan jaringan.
2. Dua (2) risiko dengan level sedang yakni, komputer dan karyawan.
3. Dua (2) risiko dengan level tinggi yakni, server dan sistem informasi data pemilih.
Apabila sudah mendapatkan tingkat risiko, maka rekomendasi yang telah diberikan sebelumnya dilaksanakan oleh instansi. Rekomendasi diperoleh dari probabilitas ancaman,.
Rekomendasi untuk setiap asset dapat dilihat 8.1, Informasi data pemilih dan jaringan memiliki rekomendasi untuk melakukan Maintenance, Upgrade spesifikasi jaringan, Meningkatkan keamanan sistem, penambahan server dan jaringan, dan pelatihan berkala kepada user.
4. KESIMPULAN
Bersumber dari hasil penelitian yang telah dilakukan tentang keamanan sistem informasi terhadap asset yang mendukung Sistem Informasi Data Pemilih KPU Kota Pekanbaru, maka dapat ditarik kesimpulan bahwa penilaian yang dilakukan terhadap Sistem Informasi Penilaian Risiko Keamanan Informasi dengan memanfaatkan pola National Institute of Standards and Technology Special Publication (NIST SP 800-30) pada Sistem Informasi Data Pemilih KPU Pekanbaru, didapatkan dua (2) risiko yang mempunyai level yang rendah, yaitu informasi data pemilih dan jaringan, dua (2) risiko dengan level yang sedang, yaitu komputer dan karyawan, dua (2) risiko dengan level tertinggi, yaitu server dan Sistem Informasi Data Pemilih.
5. SARAN
Dengan adanya kajian mengenai tingkat risiko keamanan pada Sistem Informasi Data Pemilih KPU Kota Pekanbaru ini yang menggunakan metode NIST SP 800-30 revisi pertama, diharapkan penelitian dimasa yang akan datang dapat melanjutkan penelitian terkait keamanan risiko Sistem Informasi Data Pemilih pada Komisi Pemilihan Umum Kota Pekanbaru.
DAFTAR PUSTAKA
[1] Fahrudin, N.F., Nugraha S,A., & Putra, K.R, 2022 “Penilaian Risiko Keamanan Data Karyawan pada Sistem Informasi Dengan Menggunakan Framework NIST SP 800-30”
Vol.8, No.3,
[2] Nugroho, D. A., & Sukmariningsih, R. M.. 2020 “Peran KPU Dalam Mewujudkan Pemilu yang Demokratis”. Jurnal Juristic, Vol.1, No.1, pp.22-32,
[3] Hidayatullah, S., & Cahyani, A,A., 2022 “Analisis Pengembangan Sistem Informasi Tahapan (Sitap) pada Komisi Pemilihan Umum Republik Indonesia”, Esensi Infikom, Vol.4, No.2,
[4] Elanda, A. & Buana, R.L, 2021. “Analisa Manajemen Risiko Insfrastruktur Dengan Metode NIST SP 800-30”, Vol.14, No.1, pp. 141-151,
Jatisi ISSN 2407-4322
Vol. 10, No. 2, Juni 2023, Hal. 139-149 E- ISSN 2503-2933
149 [5] Al Fikri, M., Putra, F. A., Suryanto, Y., & Ramli, K. 2019 “Isk Assessment Using NIST SP 800-30 Revision 1 and ISO 27005 Combination Technique in Profit-Based Organization” Procedia Computer Science, Vol. No.161, pp.1206–1215,[6] Prabowo, W. S,.W., A Setiawan, N., Muslim, M. H., & Utama, Y. S, 2017“Manajemen Risiko Infrastruktur Cloud Pemerintah Menggunakan Nist Framework Studi Kasus Lembaga Ilmu Pengetahuan Indonesia (LIPI)” Pos dan Informatika, Vol.7, No.1, pp. 17, [7] Habibah, I,N., & Safuan, 2022 “Penggunaan Aplikasi Sistem Informasi Data Pemilih
Berkelanjutan Untuk Mewujudkan Daftar Pemilih yang Akurat dan Mutakhir”, Syantax Literate, Vol.7, No.2,
[8] Putra, R.R, Setiawan, E.,& Ambarwati, A. 2019 “Analisis Manajemen Risiko TI pada Keamanan Data E-Learning dan Aset TI Menggunakan NIST SP 800-30 Revisi 1” Vol. 6, No. 1, pp. 96-105.
[9] Izatri, D,I., Rohmah,. N,I & Dewi, R,S,. 2020 “Identifikasi Risiko pada Perusahaan Daerah Gresik Dengan NIST SP 800-30”, Vol.7 No.1, pp.50-55,
[10] Damalia, R., Ambarwati, A., & Setiawan, E., 2021 “Analisis Manajemen Risiko IT Sistem Adminstrasi Bisnis Retail Menggunakan NIST SP 800-30” Intecoms, Vol.4, No.2, pp. 271- 281..
[11] Prabowo, W. A., & Saputri, M. E. 2020 “Pemetaan Resiko Teknologi Informasi Dengan Integrasi IT Balanced Scorecard dan NIST SP 800-30” Edukasi dan Penelitian Informatika, Vol.6, No.3, pp. 370-378,
