BAB IV ANALISIS RESIKO TEKNOLOGI INFORMASI

Transkripsi

1 BAB IV ANALISIS RESIKO TEKNOLOGI INFORMASI IV.1 Penerapan Alur Metode Analisis Resiko Kombinasi antara studi literatur dengan studi lapangan yang telah dilakukan, dapat menghasilkan suatu cara di dalam melakukan analisis resiko pada penelitian ini, yaitu dengan mengadopsi beberapa langkah-langkah yang terdapat pada manajemen resiko, dengan melakukan penyesuaian kondisi yang terdapat pada organisasi SBUPE. IV.1.1 Penerapan Metode Kualitatif di SBUPE Berikut ini, disajikan suatu alur yang dilakukan pada organisasi SBUPE untuk mengetahui tingkatan resiko secara kualitatif. Penjelasan mengenai alur tersebut, terdapat dalam sub Bab IV.2. Profile SBUPE, proses bisnis, Identifikasi asset secara umum Pengelompokan Asset Information-Gathering Techniques Identifikasi Asset dan Valuasi Asset Threat pada track and trace system Vulnerability pada track and trace Pengukuran Resiko Likelihood, Level Of Impact, Exposure Rating, Vulnerability Level Tingkat Resiko Gambar IV.1 Alur Penerapan Metode Kualitatif 61

2 IV.1.2 Penerapan Metode Kuantitatif di SBUPE Berikut ini, disajikan suatu alur yang dilakukan pada organisasi SBUPE untuk mengetahui tingkatan resiko secara kuantitatif. Penjelasan mengenai alur tersebut, terdapat pada sub Bab IV.3 Profile SBUPE, proses bisnis, Identifikasi asset secara umum Account Officer Pengelompokan Asset Identifikasi dan Valuasi Asset Langkah pada kualitatif ARO Threat dan Vulnerability pada track and trace system Information-Gathering Techniques EF SLE ALE Cost/benefit Analysis T Hasil Cost/ benefit < 1?? Y Kandidat safeguard diimplementasi Gambar IV.2 Alur Penerapan Metode Kuantitatif 62

3 IV.2 Pengelompokkan Asset Di dalam memperkirakan penilaian resiko untuk suatu sistem IT, langkah yang pertama adalah menggambarkan lingkup usahanya (scope of the effort). Pada langkah ini, batasanbatasan dari IT mulai diidentifikasi, bersama dengan sumber daya dan informasi yang menjadi dasar sistemnya. Karakter suatu sistem IT dikenali, untuk menetapkan ruang lingkup usaha penilaian resiko, menggambarkan batasan-batasan otorisasi operasional, dan menyediakan informasi yang penting untuk menjelaskan resiko, contohnya: hardware, software, konektifitas sistem, dan divisi yang bertanggung jawab atau dukungan personilnya. [3] Dari hasil analisis sistem seperti yang ditulis pada bab sebelumnya, didapatkan suatu tabulasi mengenai asset yang terdapat pada SBUPE secara umum. Pembuatan tabel ini, bertujuan untuk memudahkan pengelompokkan asset berdasarkan suatu kriteria (lihat tinjauan pustaka). Untuk pengelompokkan asset pada track and trace system terdiri dari: - Information Asset, terdiri dari juklak, juknis, data keuangan perusahaan, data konsumen, dan data personil perusahaan, - Paper Document, terdiri dari surat izin usaha, kontrak kerja, resi pengiriman APE, dan PKS, - Software Asset, terdiri dari website, database, aplikasi perkantoran, sistem operasi, dan APE, - Physical Asset, terdiri dari gedung, PC Desktop, dan barcode reader/gun reader. - People, terdiri dari karyawan PT. Pos dan karyawan outsourching, - Service terdiri dari komunikasi track and trace system, listrik, jaringan komputer, telepon dan produk. Nama-nama asset untuk klasifikasi tersebut di atas, dapat dilihat dalam Tabel IV.1 mengenai pengelompokkan asset yang terdapat pada SBUPE. 63

4 Tabel IV.1 Pengelompokkan Asset SBUPE NO KLASIFIKASI ASSET NAMA ASSET ** KETERANGAN 1 Information Asset Juklak Petunjuk pelaksanaan Juknis Data keuangan perusahaan Data konsumen Data personil perusahaan Petunjuk teknis 2 Paper Document Surat izin usaha Kontrak kerja Resi pengirimam APE PKS 3 Software Asset Website Database Aplikasi perkantoran Sistem Operasi APE 4 Physical Asset Gedung PC desktop Barcode reader / Gun reader Printer Aplikasi pos express Perjanjian kerja sama Aplikasi pos express Personal Computer 5 People Karyawan PT.Pos Karyawan Outsourcing 6 Service Komunikasi T&T Track and trace Listrik Jaringan Komputer Telepon Produk ** Sumber: [21]. IV.3 Analisis Resiko Secara Kualitatif Dari sekian banyak cara yang dapat digunakan untuk menganalisis resiko, terdapat dua metode dasar yang dapat digunakan yaitu penilaian secara kualitatif dan kuantitatif. Penilaian secara kualitatif dilakukan berdasarkan intuisi, sehingga pendekatan analisis resiko yang dilakukan relative sangat subyektif. Metode ini tidak menghasilkan pengukuran yang dapat menghitung spesifikasi besaran dari dampaknya, oleh karena itu pembuatan analisis cost-benefit mengenai rekomendasi pengendalian sulit diterapkan. Walaupun demikian metode dasar ini sangat diperlukan, untuk langkah awal analisis resiko secara kuantitatif. 64

5 IV.3.1 Identifikasi dan Valuasi Asset Dari hasil pengelompokan asset secara umum yang terdapat di SBUPE (Tabel IV.1), selanjutnya dilakukan identifikasi pada asset yang berinteraksi secara langsung dengan track and trace system. Di dalam tahap ini, dilakukan beberapa Information-Gathering Techniques (lihat tinjauan pustaka), dengan tujuan untuk mengumpulkan informasi yang relevant pada sistem IT dalam batasan operasional, sehingga dapat dilakukan pemberian range value pada asset-nya. Secara operasional, asset yang berinteraksi langsung dengan batasan track and trace system SBUPE dapat dilihat dalam Table IV.2. Tabel IV.2 Identifikasi Asset dan Valuasi NO. ASSET RANGE VALUE DESCRIPTION 1 PC Desktop: client HIGH Hardware 2 PC Desktop: server HIGH Hardware 3 Barcode Reader HIGH Hardware 4 Printer MEDIUM Hardware 5 HUB Link HIGH Hardware 6 Operating System MEDIUM Software 7 Aplikasi Pos Express HIGH Software 8 Website HIGH Software 9 Database HIGH Software 10 Aplikasi Perkantoran LOW Software 11 Karyawan PT. Pos HIGH People 12 Karyawan Outsourching HIGH People 13 Data Elektronik MEDIUM Information 14 Resi Pengiriman HIGH Information 15 Juklak dan Juknis LOW Information IV.3.2 Threat Pada Track and Trace System Ancaman merupakan potensi untuk suatu threat-source tertentu terjadi pada suatu vulnerability, sebagai trigger eksploitasi kelemahan yang disengaja ataupun tidak disengaja. Threat-source tidak akan menghasilkan resiko jika tidak ada vulnerability yang digunakan. Tujuan dari langkah ini adalah untuk mengidentifikasi potensi dari threatsources dan penyusunan suatu daftar yang memaparkan ancaman potensi threat-sources sehingga dapat diterapkan pada sistem IT yang dievaluasi. Suatu threat-source digambarkan sebagai keadaan atau peristiwa dengan potensi yang menyebabkan 65

6 kerusakan pada suatu sistem IT. Pada umumnya, threat-sources berasal dari alam, manusia, atau lingkungan. Prosedur yang dilakukan di SBUPE, pada saat mengidentifikasi threat untuk track and trace system adalah sebagai berikut: a. Berdasarkan asset yang telah diidentifikasi dan valuasinya, dilakukan pembuatan list/daftar kemungkinan threat yang terjadi, b. Dari list/daftar tersebut, didapatkan suatu kemungkinan beberapa threat, yang kemudian dilakukan pencarian keterkaitan atau kecocokan, antara semua kemungkinan vulnerability dan threat tersebut, c. Jika threat tersebut memiliki keterkaitan/kecocokan dengan suatu vulnerability yang dapat menghasilkan resiko, maka threat tersebut ditetapkan sebagai sumber threat pada list/daftar threat, d. Jika threat tersebut tidak memiliki keterkaitan/kecocokan dengan suatu vulnerability untuk menghasilkan resiko, maka lakukan penghapusan threat dari daftar/list tersebut, e. Lakukan pengulangan prosedur b, c, dan d untuk semua threat yang terdapat pada list/daftar threat, f. Berdasarkan prosedur yang telah dilakukan, akan dihasilkan suatu daftar resiko, g. Lakukan pengukuran resiko tersebut. Di dalam menentukan Likelihood Of Occurrence, selain didapatkan dari data survey organisasi yang memantau statistik kejadian suatu insiden atau berdasarkan pengalaman suatu organisasi, sumber yang dapat dijadikan referensi dalam pemberian nilai adalah hasil melalui Information-Gathering Techniques.Terdapat dua teknik yang dapat dipergunakan di SBUPE dalam melakukan analisis resiko di-track and trace system, yaitu On-site Interviews dan Document Review (lihat karakteristik sistem pada tinjauan pustaka). Likelihood Of Occurrence adalah kemungkinan banyaknya suatu threat yang terjadi dalam suatu kurun waktu, dimana dalam proses penentuannya sangat subyektif. Metode untuk menentukan value-nya dapat dilakukan dengan memberikan suatu rating secara kualitatif, sebagai berikut: [8] 66

7 High (3) = 71% - 100% Medium (2) = 31% - 70% Low (1) = 1% - 30% Terdapat tiga aspek keamanan yang ditinjau terkait sistem SBUPE berdasarkan C.I.A triangle model, sebagai berikut: Confidentiality, harus dapat menjamin, bahwa hanya karyawan tertentu saja yang memiliki hak untuk dapat mengakses informasi tertentu. Integrity, harus menjamin kelengkapan informasi dan menjaga dari korupsi, kerusakan, atau ancaman lain yang menyebabkannya perubahan dari aslinya. Availability: adalah aspek keamanan informasi yang menjamin pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini adalah manusia atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi. Human dan Non-Human merupakan pelaku yang mempunyai potensi threat pada track and trace system dengan value berikut ini. Untuk hasil threat assesment yang terdapat pada sistemnya dapat dilihat dalam Tabel IV.3. Tabel IV.3 Threat Assesment No Actor Klasifikasi Threat Likelihood of occurrence Source C I A 1 Human Deliberate Administration failure High 2 Human Deliberate Assault on an employee Low 3 Human Deliberate Blackmail Medium 4 Human Deliberate Bomb/Terrorism Low Browsing of proprietary Medium 5 Human Deliberate information Non Accidental Client/server failure High 6 Human 7 Human Deliberate Computer abuse High Human Computer crime (cyber Low 8 Deliberate stalking) 9 Human Deliberate Credit card fraud Low 10 Human Deliberate Disgruntled employees High Non Nature Earthquake Medium 11 Human 12 Human Deliberate Economic exploitation Low Information-Gathering Techniques 67

8 Tabel IV.3 (Lanjutan) Threat Assesment No Actor Klasifikasi Threat Likelihood of occurrence Source C I A 13 Human Deliberate Fraud and theft Medium 14 Human Deliberate Fraudulent act (replay, Medium impersonation, interception) 15 Human Deliberate Hacking Medium 16 Human Deliberate Information bribery Medium 17 Human Deliberate Information theft Medium 18 Human Deliberate Information warfare Medium 19 Human Low Input of falsified, Medium corrupted data 20 Human Deliberate Interception Low 21 Human Low Intrusion on personal Medium privacy 22 Human Deliberate Malicious code (virus, High logic bomb, Trojan horse) 23 Human Deliberate Negligent persons Medium Non Accidental Power failure Medium 24 Human 25 Human Deliberate Sabotage of data Medium Human Deliberate Sale of personal Medium 26 information 27 Human Deliberate Social engineering Low 28 Human Deliberate Spoofing Low 29 Human Deliberate System attack (distributed Medium denial of service) 30 Human Deliberate System bugs Medium 31 Human Deliberate System intrusion Medium 32 Human Deliberate System penetration Medium 33 Human Deliberate System sabotage Low 34 Human Deliberate System tampering Low 35 Human Deliberate Telecom fraud Low 36 Human Deliberate Terminated employees Low 37 Human Deliberate Theft of laptop/pc Medium 38 Human Deliberate Theft of proprietary data Medium 39 Human Deliberate Unauthorized access Medium 40 Human Deliberate Unauthorized system Medium access (access to classified, proprietary, and/or technology-related information) 41 Human Deliberate Web browser privacy Low Information-Gathering Techniques 68

9 IV.3.3 Vulnerability Pada Track & Trace System Vulnerability merupakan kelemahan yang ada pada asset dalam suatu organisasi. Vulnerability tidak menyebabkan rusaknya suatu asset, melainkan menciptakan suatu kondisi yang dapat mengakibatkan threat terjadi. Analisis suatu ancaman pada suatu sistem IT harus meliputi suatu analisis hubungan vulnerability dengan sistem lingkungannya. Tujuan dari langkah ini untuk mengembangkan daftar rincian vulnerability (kekurangan atau kelemahan) yang dapat dieksploitasi atau dimanfaatkan oleh potensi threat. Prosedur yang dilakukan di SBUPE, pada saat mengidentifikasi vulnerability untuk track and trace system adalah sebagai berikut. a. Berdasarkan asset yang telah diidentifikasi dan valuasinya, dilakukan pembuatan list/daftar kemungkinan vulnerability terjadi. b. Dari list/daftar tersebut, didapatkan suatu kemungkinan beberapa vulnerability, yang kemudian dilakukan pencarian keterkaitan atau kecocokan, antara semua kemungkinan threat dan vulnerability tersebut. c. Jika vulnerability tersebut memiliki keterkaitan/kecocokan dengan suatu threat yang dapat menghasilkan resiko, maka vulnerability tersebut termasuk di dalam list/daftar untuk vulnerability. d. Jika vulnerability tersebut tidak memiliki keterkaitan/kecocokan dengan suatu threat untuk menghasilkan resiko, maka lakukan penghapusan vulnerability dari daftar/list tersebut. e. Lakukan pengulangan prosedur b, c, dan d untuk semua vulnerability yang terdapat pada list/daftar vulnerability. f. Berdasarkan prosedur e yang telah dilakukan, akan dihasilkan suatu daftar resiko. g. Lakukan pengukuran resiko tersebut 69

10 Untuk hasil identifikasi vulnerability pada organisasi ini, dapat dilihat dalam Tabel IV.4. Tabel IV.4 Daftar Vulnerability pada Asset Organisasi No. Vulnerability Asset 1 Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. 2 Pengubahan User Id atau password tidak dilakukan oleh unit processing 3 Tidak adanya user interface dari aplikasi, untuk fasilitasitas pengubahan User Ide atau password 4 Pemberian privileges untuk APE tidak dapat langsung dilakukan oleh supervisor, hanya dapat dilakukan oleh pihak pembuat aplikasi (divisi Teksisfo) Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Masih terjadi scanning barcode pada resi tidak dapat dibaca oleh Gun/Barcode Reader Tidak adanya pengawasan penggunaan barcode yang rusak/sobek Standard operating procedure dari juklak tidak dilaksanakan Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Tidak adanya keberlanjutan revisi untuk juklak beserta dokumentasinya Standard operating procedure dari juknis tidak dilaksanakan Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi APE dengan proses akuntansi Hak akses pada unit processing tidak terbatas dalam mengubah data konsumen pada database APE Data konsumen tidak tidak dirahasiakan, melainkan di-publish pada LAN. Aplikasi Pos Ekspres Resi pengirimam APE Juklak Juknis Data keuangan perusahaan Data konsumen 70

11 Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi No. Vulnerability Asset 17 Data personil melalui LAN dapat diakses dan tidak dilakukan batasan dalam pengungkapan informasi 18 Hasil penilaian kecakapan personil tidak ditutupi, melainkan dipublish pada area LAN. 19 Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini Anggaran untuk melakukan pelatihan komputer (software/hardware) tidak ada dalam rencana kerja anggaran pada saat tahun berlangsung Tidak adanya pengawasan fisik terhadap web server secara langsung oleh unit ini, ditempatkan pada ruang server gedung pos bandung Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung Anggaran untuk melakukan pelatihan komputer (software/hardware) tidak ada dalam rencana kerja anggaran pada saat tahun berlangsung Tidak adanya pengawasan fisik terhadap server database secara langsung oleh unit ini, ditempatkan pada ruang server gedung pos bandung Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung 26 Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui versi untuk database antivirus yang ada. Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan. Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui versi untuk database antivirus yang ada. Unit ini tidak mempunyai personil khusus yang menangani kerusakan hardware/sotware. Data personil perusahaan Surat izin usaha Website Database Surat Kontrak kerja Aplikasi perkantoran Sistem Operasi Gedung PC desktop 71

12 Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi No. Vulnerability Asset 33 Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Barcode 34 Barcode pada paket/barang kiriman tidak dapat dibaca oleh reader/ Gun Gun/barcode Reader reader 35 Sensitive ketika scanning kertas barcode tidak stabil 36 Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Printer 37 Tidak adanya cadangan pita printer 38 Tidak adanya pembinaan rohani yang dilakukan secara berkala. Pelatihan hardware/software untuk mendukung operasional tidak 39 dilakukan pada semua personil Karyawan Sosialisasi/presentasi awal terhadap produk baru yang dihasilkan 40 PT.Pos oleh organisasi tidak dilakukan. 41 Pengembangan wawasan baru mengenai jasa kurir tidak dilakukan pada semua personil 42 Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini. PKS 43 Tidak adanya pembinaan rohani yang dilakukan secara berkala. Pelatihan hardware/software untuk mendukung operasional tidak 44 dilakukan pada semua personil Karyawan Sosialisasi/presentasi awal terhadap produk baru yang dihasilkan 45 Outsourcing oleh organisasi tidak dilakukan. 46 Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil 47 Tidak adanya kebijakan yang mengatur hak akses data/informasi jika terjadi pengungkapan informasi. Komunikasi 48 Jika terjadi down pada server, maka komunikasi track and trace T&T system dilakukan melalui pesawat telephone. 49 UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Listrik 50 Tidak adanya pengawasan penggunaan listrik Di dalam menggunakan suatu sumber daya pada unit ini, tidak ada 51 prosedur khusus yang membuat pengawasan penggunaan semua Jaringan sumber daya. Komputer Untuk arsitektur jaringan komputer unit ini tidak terpisah, masih 52 digabungkan dengan unit kerja yang ada di gedung pos bandung. 72

13 Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi No. Vulnerability Asset 53 Sambungan telephone yang terdapat pada unit ini, tidak menggunakan kode password atau lock 54 Tidak ada pengawasan dalam penggunaan telepon Telephone 55 Tidak ada penempatan khusus untuk posisi pesawat telepon, ada pada ruangan umum unit processing. 56 Di dalam menggunakan suatu sumber daya produk pada unit ini, tidak ada prosedur khusus yang membuat pengawasan penggunaan semua sumber daya. 57 Jika tidak terdapat suatu kasus pada saat operasional, maka Produk pengembangan produk tidak dilakukan 58 Untuk pengembangan produknya, tidak melibatkan unit Pos Ekspress. IV.3.4 Resiko Pada Track & Trace System Dari hasil identifikasi threat dan vulnerability, akan didapatkan suatu resiko dengan melakukan keterkaitan dan kecocokan setiap threat dan vulnerability yang terjadi. Berikut ini disajikan suatu tabulasi (Tabel IV.5) hasil dari threat dan vulnerability yang menghasilkan suatu resiko pada organisasi atau unit ini. Ukuran dari suatu resiko berasal dari kombinasi antara exposure rating, level vulnerability, dan tingkat efektifitas safeguard. Secara sederhana, pengukuran resiko secara kualitatif dilakukan dengan memberikan skala high, medium, dan low. Pengukuran resiko dengan skala tersebut memiliki kekurangan, yaitu untuk resiko dengan exposure, vulnerability, dan safeguard yang bernilai high, akan memiliki hasil yang sama dengan resiko untuk exposure, vulnerability, dan safeguard yang bernilai low. Oleh karena itu, untuk tingkatan pengukuran resiko diberikan lima skala, yaitu: [8] High = 5 Moderately high = 4 Medium = 3 Low = 2 Very low = 1 Pada Tabel II.8, penentuan resiko dilakukan secara conservative dengan vulnerability level lebih berperan terhadap perubahan tingkat resiko, jika dibandingkan dengan safeguard effectiveness. 73

14 Tabel IV.5 Daftar Resiko di SBUPE THREAT VULNERABILITY RESIKO TINGKAT/ NILAI ** Pengubahan data Administration failure Client/server failure Computer abuse Earthquake Fraud and theft Fraudulent act (replay, impersonation, interception) Malicious code (virus, logic bomb, Trojan horse) Power failure Theft of laptop/pc ** Hasil perhitungan pada Tabel IV.6 Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui untuk versi database antivirus yang ada. UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan. Kerusakan data elektronik Pencurian Asset Informasi Kerusakan akibat api atau air Pencurian Pengungkapan informasi secara tidak tepat Terinfeksi virus Kegagalan hardware/software Pencurian Moderately high(4) High(5) High(5) Medium(3) High(5) Medium(3) High(5) Moderately high(4) Very low(1) 74

15 Tabel IV.5 (Lanjutan) Daftar Resiko di SBUPE THREAT VULNERABILITY RESIKO TINGKAT/ NILAI ** Unauthorized access Unauthorized system access (access to classified, proprietary, and/or technologyrelated information) Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung ** Hasil perhitungan pada Tabel IV.6 IV.3.5 Pengukuran Resiko Penyalahgunaan data Hak akses illegal Medium(3) Very low(1) Di dalam proses pengukuran resiko secara kualitatif, nilai likelihood didapatkan dari Information-Gathering Techniques berdasarkan tabel IV.3. Sedangkan untuk menentukan nilai skala high = 3, medium = 2, dan low = 1, dapat dilihat dari Tabel II.4. Untuk menentukan nilai Level of impact, estimasinya berdasarkan threat pada Tabel IV.5. Kemudian, untuk skala high, medium, dan low, dapat lihat Tabel pada II.5. Berdasarkan nilai likelihood dan impact, kemudian dilakukan penentuan exposure rating dengan referensi Tabel II.10. Vulnerability berdasarkan estimasi dengan berpedoman pada threat (action) yang dihasilkannya. Risk level matrik dalam Tabel II.7 dapat dijadikan referensi untuk memberikan penilaian resiko. Untuk pemberian nilai resiko pada laporan ini, menggunakan pengembangan dari Tabel II.8, dimana nilai resikonya berdasarkan pada exposure rating, vulnerability level, dan safeguard effectiveness. 75

16 Tabel IV.6 Pengukuran Resiko Threat Administration failure Client/server failure Computer abuse Earthquake Fraud and theft Fraudulent act (replay, impersonation, interception) Malicious code (virus, logic bomb, Trojan horse) Power failure Theft of laptop/pc Unauthorized access Unauthorized system access (access to classified, proprietary, and/or technologyrelated information) Vulnerability Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui untuk versi database antivirus yang ada. UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan. Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung Likelihood Level Of Impact Exposure Rating Vulberability Level Risk

17 IV.4 Analisis Resiko Secara Kuantitatif Untuk melakukan suatu analisis resiko secara kuantitatif, perlu menentukan hubungan suatu nilai dari kerugian-kerugian potensial dengan proses yang tertunda, kerusakan properti, atau data. Kemudian perlu juga dilakukan perkiraan kemungkinan kejadian dari kegagalan resiko, sehingga akhirnya dapat diperhitungkan perkiraan kerugian pertahunnya. [10]. IV.4.1 Identifikasi dan Valuasi Asset Studi mengenai identifikasi, valuasi asset (secara subyektif), threat, dan vulnerability assessment telah dilakukan pada prosedur analisis resiko secara kualitatif. Selanjutnya, pada prosedur kuantitatif dilakukan perhitungan yang mengarah pada analisis cost-benefit dengan menggunakan value berupa suatu besaran satuan mata uang (rupiah). Berdasarkan data-data dari hasil analisis sistem yang sedang terjadi di SBUPE dan formula perhitungan analisis resiko secara kuantitatif, didapatkan hasil seperti dalam Tabel IV.7, dengan hasil perhitungan asset dari unit Account Officer yang sudah bernilai tangible. ** Sumber: Peraturan Dinas No. 6 (Akuntansi) Tabel IV.7 Identifikasi dan Valuasi Aset No. NAMA ASET JUMLAH NILAI NILAI SATUAN TOTAL (Rp.) ** (Rp.)** 1 PC Desktop: client IBM PC 300 GL 8 unit 6,800, ,400, PC Desktop: server IBM System X unit 13,850, ,850, Barcode Reader NEC 9 unit 950, ,550, Printer Epson LQ unit 875, ,625, Hub/ Switch ATi 16 port 10/ unit 600, ,200, Operating System Microsoft E paket 2,800, ,400, Aplikasi Pos Express 1 paket 5,000, ,000, Website 1 paket 4,000, ,000, Database 1 paket Aplikasi Perkantoran 1 paket 2,000, ,000, Karyawan Pos 16 orang 2,500, ,000, Karyawan Outsourching 18 orang 900, ,200,

18 ** Sumber: Peraturan Dinas No. 6 (Akuntansi) Tabel IV.7 (Lanjutan) Identifikasi dan Valuasi Aset No. NAMA ASET JUMLAH NILAI NILAI SATUAN TOTAL (Rp.) ** (Rp.)** 13 Data Elektronik 1 unit 20,000, ,000, Resi Pengiriman 1 Paket (500 lembar) 1,000, ,000, Juklak dan Juknis 1 bundel 20,000, ,000, IV.4.2 Threat dan Vulnerability Assessment Pada kuantitatif, nilai ARO (Annualized Rate Of Occurrence) dipergunakan untuk perkiraan atau estimasi frekuensi sebuah resiko yang dapat terjadi dalam statu periode tertentu, seperti yang diperlihatkan Dalam Tabel IV.8. Misalnya sebagai berikut. Jika suatu threat terjadi sebanyak 1 kali dalam 8 tahun, maka ARO yang terjadi adalah 1/8 = Jika pencurian terjadi sebanyak 1 kali dalam 12 tahun, maka ARO yang terjadi adalah 1/12 = Jika pencurian terjadi sebanyak 1 kali dalam 4 tahun, maka ARO yang terjadi adalah 1/4 = Tabel IV.8 Kemungkinan terjadi threat berdasarkan ARO Actor Klasifikasi Threat ARO Source C I A Deliberate Unauthorized access 1 Malicious code (virus, logic 1 Deliberate bomb, Trojan horse) Unauthorized system access 6 (access to classified, proprietary, and/or technologyrelated information) Human Deliberate Accidental Administration failure 1 Deliberate Fraud and theft 0.13 Deliberate Computer abuse 0.13 Deliberate Theft of laptop/pc 0.08 Fraudulent act (replay, 0.25 Deliberate impersonation, interception) Non-human Nature Earthquake 0.25 Accidental Client/server failure 6 Accidental Power failure 0.25 Information-Gathering Techniques 78

19 Exposure rating (EF) yang dimiliki setiap asset nilainya berbeda terhadap suatu threat, sehingga terdapat asset yang invulnerable terhadap threat dan terdapat pula asset yang sangat vulnerable terhadap threat. Persentase penilaian suatu asset loss yang disebabkan oleh identifikasi threat, pemberian estimasi ranges-nya diantara 0% sampai 100%, lihat Tabel II.11 mengenai estimasi nilai EF. Dalam menentukan value estimasinya, Information-Gathering Techniques yang dilakukan pada SBUPE dapat dijadikan referensi suatu estimasi presentase untuk exposure rating. Berikut ini, diperlihatkan suatu tabulasi mengenai pemetaan nilai asset terhadap ARO serta exposure rating-nya. (Tabel IV.9) 79

20 Tabel IV.9 Exposure Rating THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technologyrelated information) Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure ARO 1 1 Power failure ASET VALUE PC Desktop: client IBM PC 300 GL 54,400,000 40% 60% 40% 20% 40% 20% 80% 80% 80% 60% 20% PC Desktop: server IBM System X ,850,000 20% 40% 40% 20% 40% 20% 80% 80% 80% 60% 20% Barcode Reader NEC 8,550,000 0% 0% 0% 0% 0% 20% 80% 0% 80% 60% 0% Printer Epson LQ1170 2,625,000 0% 0% 0% 0% 0% 0% 80% 0% 80% 60% 0% Hub/ Switch ATi 16 port 10/ 100 1,200,000 0% 0% 0% 0% 0% 0% 80% 0% 80% 60% 20% Operating System Microsoft E ,400,000 20% 80% 40% 60% 0% 0% 80% 0% 80% 40% 20% Aplikasi Pos Express 5,000,000 20% 60% 20% 60% 0% 20% 40% 80% 80% 40% 20% Website 4,000,000 20% 40% 0% 0% 0% 0% 80% 0% 80% 40% 20% Database - 0% 0% 20% 0% 0% 0% 80% 40% 80% 40% 20% Aplikasi Perkantoran 2,000,000 0% 40% 0% 40% 0% 0% 60% 0% 80% 40% 20% Karyawan Pos 40,000,000 0% 0% 20% 0% 60% 40% 60% 0% 80% 0% 0% Karyawan Outsourching 16,200,000 0% 0% 20% 0% 60% 40% 60% 0% 80% 0% 0% Data Elektronik 20,000,000 40% 20% 0% 60% 40% 20% 40% 80% 80% 80% 20% Resi Pengiriman 1,000,000 20% 0% 20% 20% 0% 0% 0% 0% 80% 0% 0% Juklak dan Juknis 20,000,000 0% 0% 0% 0% 0% 0% 0% 0% 80% 0% 0%

21 Single Loss Expectancy (SLE) adalah nilai kerugian terhadap asset bila sebuah resiko yang teridentifikasi terjadi. Formula untuk menghitung SLE adalah Asset Value x Exposure factor, sehingga data-data SLE yang terdapat pada Tabel IV.10 berasal dari nilai total (rupiah) suatu asset dengan nilai EF pada tabel exposure rating. Contoh perhitungan untuk SLE pada SBUPE dijelaskan di bawah ini. Diketahui: Asset dengan nama PC Desktop client IBM PC 300 GL, Nilai total dari asset sebesar Rp , EF untuk asset tersebut berdasarkan tabel exposure rating adalah 40%. Dengan formula perhitungan SLE maka didapatkan hasil sebesar Rp Untuk hasil perhitungan lengkap semua nilai SLE, dapat dilihat pada tabel IV.9 mengenai Single Loss Expectancy. 81

22 Tabel IV.10 Single Loss Expectancy THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technology-related information) Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure ASET VALUE ARO PC Desktop: client IBM PC 300 GL 54,400,000 21,760,000 32,640,000 21,760,000 10,880,000 21,760,000 10,880,000 43,520,000 43,520,000 43,520,000 32,640,000 10,880,000 PC Desktop: server IBM System X ,850,000 2,770,000 5,540,000 5,540,000 2,770,000 5,540,000 2,770,000 11,080,000 11,080,000 11,080,000 8,310,000 2,770,000 Barcode Reader NEC 8,550, ,710,000 6,840,000-6,840,000 5,130,000 - Printer Epson LQ1170 2,625, ,100,000-2,100,000 1,575,000 - Hub/ Switch ATi 16 port 10/ 100 1,200, , , , ,000 Operating System Microsoft E ,400,000 4,480,000 17,920,000 8,960,000 13,440, ,920,000-17,920,000 8,960,000 4,480,000 Aplikasi Pos Express 5,000,000 1,000,000 3,000,000 1,000,000 3,000,000-1,000,000 2,000,000 4,000,000 4,000,000 2,000,000 1,000,000 Website 4,000, ,000 1,600, ,200,000-3,200,000 1,600, ,000 Database Aplikasi Perkantoran 2,000, , , ,200,000-1,600, , ,000 Karyawan Pos 40,000, ,000,000-24,000,000 16,000,000 24,000,000-32,000, Karyawan Outsourching 16,200, ,240,000-9,720,000 6,480,000 9,720,000-12,960, Data Elektronik 20,000,000 8,000,000 4,000,000-12,000,000 8,000,000 4,000,000 8,000,000 16,000,000 16,000,000 16,000,000 4,000,000 Resi Pengiriman 1,000, , , , , Juklak dan Juknis 20,000, ,000,

23 Annualized Loss Expectancy (ALE) adalah nilai estimasi kerugian pertahun terhadap asset, jika sebuah resiko yang teridentifikasi terjadi. Formula untuk menghitung ALE adalah Single Loss Expectancy x Annualized Rate of Occurrence, sehingga data-data ALE yang terdapat Tabel IV.11 berasal dari SLE dalam Tabel IV.10 dengan nilai ARO suatu threat yang terjadi. Contoh perhitungan untuk ARO pada SBUPE dijelaskan di bawah ini. Diketahui: Asset dengan nama PC Desktop client IBM PC 300 GL, Nilai total dari asset sebesar Rp , EF untuk asset tersebut berdasarkan tabel exposure rating adalah 40%, Mempunyai nilai SLE sebesar Rp , Dari tabel IV.7 didapatkan nilai ARO-nya adalah 1. Dengan menggunakan formula perhitungan ARO, maka didapatkan hasil sebesar Rp ,00 Untuk hasil perhitungan lengkap semua nilai ARO, dapat dilihat pada Tabel IV.11 mengenai Annualized Loss Expectancy. 83

24 Tabel IV.11. Annualized Loss Expectancy ARO 1 THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technology-related information) Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure ASET VALUE PC Desktop: client IBM PC 300 GL 54,400,000 21,760,000 32,640, ,560,000 10,880,000 2,828,800 1,414,400 3,481,600 10,880,000 10,880, ,840,000 2,720,000 PC Desktop: server IBM System X ,850,000 2,770,000 5,540,000 33,240,000 2,770, , , ,400 2,770,000 2,770,000 49,860, ,500 Barcode Reader NEC ,550, , ,200-1,710,000 30,780,000 - Printer Epson LQ1170 2,625, , ,000 9,450,000 - Hub/ Switch ATi 16 port 10/ 100 1,200, , ,000 4,320,000 60,000 Operating System Microsoft E ,400,000 4,480,000 17,920,000 53,760,000 13,440, ,433,600-4,480,000 53,760,000 1,120,000 Aplikasi Pos Express Website Database Aplikasi Perkantoran Karyawan Pos Karyawan Outsourching Data Elektronik Resi Pengiriman Juklak dan Juknis 5,000,000 1,000,000 3,000,000 6,000,000 3,000, , ,000 1,000,000 1,000,000 12,000, ,000 4,000, ,000 1,600, , ,000 9,600, , ,000, , , , ,000 4,800, ,000 40,000, ,000,000-3,120,000 2,080,000 1,920,000-8,000, ,200, ,440,000-1,263, , ,600-3,240, ,000,000 8,000,000 4,000,000-12,000,000 1,040, , ,000 4,000,000 4,000,000 96,000,000 1,000,000 1,000, ,000-1,200, , , ,000, ,000, Total 39,010,000 65,500, ,200,000 43,090,000 8,972,600 5,569,200 10,443,200 18,650,000 42,245, ,410,000 6,142,

25 IV.4.3 Analisis Cost dan benefit Safeguard cost/benefit analysis adalah analisis cost/benefit terhadap langkah-langkah penanganan resiko yang telah dimiliki, bagi setiap resiko yang teridentifikasi. Nilai safeguard suatu perusahaan/organisasi = (ALE sebelum implemantasi safeguard) (ALE setelah implementasi safeguard) (biaya tahunan safeguard). Nilai tersebut, kemudian dibandingkan dengan cost dalam mengimplementasikan safeguard. Dari perbandingan nilainya, akan dapat di analisis bahwa kandidat safeguard yang dapat diimplementasikan adalah safeguard dengan perbandingan cost dan benefitnya lebih kecil dari 1. [8]. Nilai ALE pada Tabel IV.11 merupakan nilai prediksi, jika resiko-resiko yang diidentifikasikan terjadi pada SBUPE. Kemudian, untuk langkah selanjutnya dalam mengantisipasi resiko-resiko tersebut, dapat dilakukan dengan beberapa cara, yaitu: Menurunkan Mengurangi tingkat resiko menuju arah yang acceptable level, Menghindari tingkat resiko yang ada pada sistem, Menerima resiko yang ada, Men-transfer resiko ke pihak lain. Secara teknisnya, hal-hal tersebut di atas dapat dilakukan dengan cara, sebagai berikut:[8] 1. Mengimplementasikan produk-produk keamanan yang mampu menurunkan tingkat resiko dengan dengan mempertimbangkan perbandingan cost dan benefit-nya, 2. Mengimplementasikan prosedur-prosedur atau policy, baik itu dalam monitoring, mencegah, mengurangi, ataupun me-respond resiko yang telah terjadi, 3. Melimpahkan resiko yang ada kepada pihak lain, seperti asuransi, 4. Mengabaikan resiko-resiko yang terjadi. Berikut ini, disajikan tabulasi mengenai estimasi dari safeguard effectiveness, dengan cara membuat safeguard untuk suatu vulnerability yang ada pada Tabel IV.4. Prosedur untuk mengisikan hasil dari semua tabulasi di bawah ini, sama dengan yang dilakukan pada prosedur untuk tabel menghitung EF, SLE, dan ALE sebelum implementasi safeguard. Pada tabulasi ini akan menghasilkan ALE setelah implementasi safeguard, sehingga akan didapatkan nilai Safeguard cost/benefit analysis yang terjadi pada SBUPE. (Tabel IV.15) 85

26 Tabel IV.12 safeguard effectiveness SAFEGUARD ANNUAL COST THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technology-related information) Pembinaan SDM (berkala) 150,000,000 75% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% Antivirus 30,000,000 0% 85% 0% 0% 0% 0% 0% 0% 0% 0% 0% Membuat SOP 40,000,000 85% 85% 85% 85% 85% 85% 85% 85% 85% 85% 85% Pelatihan komputer 50,000,000 0% 80% 80% 85% 0% 0% 0% 0% 0% 75% 0% Rekonsiliasi keuangan 70,000,000 0% 0% 0% 0% 85% 0% 85% 0% 0% 0% 0% Prosedur penggunaan 10,000,000 0% 0% 0% 0% 0% 60% 0% 0% 0% 0% 0% CCTV 22,000,000 0% 0% 0% 0% 0% 0% 80% 0% 0% 0% 0% Membuat kebijakan hak akses data/informasi 70,000,000 0% 0% 0% 0% 0% 0% 0% 60% 0% 0% 0% Asuransi 110,000,000 0% 0% 0% 0% 0% 0% 0% 0% 80% 0% 0% Pengadaan barang 81,275,000 0% 0% 0% 0% 0% 0% 0% 0% 0% 80% 0% Pemeliharaan UPS 15,000,000 0% 0% 0% 0% 0% 0% 0% 0% 0% 80% 90% Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure 86

27 Tabel IV.13 SLE dari implementasi THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technology-related information) Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure ANNUAL SAFEGUARD COST Pembinaan SDM (berkala) 150,000, ,500, Antivirus 30,000,000-25,500, Membuat SOP 40,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 Pelatihan komputer 50,000,000-40,000,000 40,000,000 42,500, ,500,000 - Rekonsiliasi keuangan 70,000, ,500,000-59,500, Prosedur penggunaan 10,000, ,000, CCTV 22,000, ,600, Membuat kebijakan hak akses data/informasi 70,000, ,000, Asuransi 110,000, ,000, Pengadaan barang 81,275, ,020,000 - Pemeliharaan UPS 15,000, ,000,000 13,500,000 87

28 Tabel IV.14 ALE dari implementasi THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technology-related information) Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure ASET ANNUAL COST ARO Pembinaan SDM (berkala) 150,000, ,500, Antivirus 30,000,000-25,500, Membuat SOP 40,000,000 34,000,000 34,000, ,000,000 34,000,000 4,420,000 4,420,000 2,720,000 8,500,000 8,500, ,000,000 8,500,000 Pelatihan komputer 50,000,000-40,000, ,000,000 42,500, ,000,000 - Rekonsiliasi keuangan 70,000, ,735,000-4,760, Prosedur penggunaan 10,000, , CCTV 22,000, ,408, Membuat kebijakan hak akses data/informasi 70,000, ,500, Asuransi 110,000, ,000, Pengadaan barang 81,275, ,120,000 - Pemeliharaan UPS 15,000, ,000,000 3,375,000 total 648,275, ,500,000 99,500, ,000,000 76,500,000 12,155,000 5,200,000 8,888,000 19,000,000 30,500, ,120,000 11,875,000 88

29 Tabel IV.15 Cost/benefit analysis THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technology-related information) Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure SAFEGUARD Pembinaan SDM (berkala) Antivirus Membuat SOP Pelatihan computer Rekonsiliasi keuangan Prosedur penggunaan CCTV Membuat kebijakan hak akses data/informasi Asuransi Pengadaan barang Pemeliharaan UPS