PENGUKURAN RESIKO TEKNOLOGI INFORMASI PADA KEMENTRIAN KOMUNIKASI DAN INFORMATIKA DENGAN METODE OCTAVE-S. Tommy Sanjaya

Transkripsi

1 PENGUKURAN RESIKO TEKNOLOGI INFORMASI PADA KEMENTRIAN KOMUNIKASI DAN INFORMATIKA DENGAN METODE OCTAVE-S Tommy Sanjaya Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, Indri Ayu Pastriyani Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, Hendry Febianto Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, Abstrak Tujuan penelitian ini ialah untuk mengetahui risiko dari aset TI yang dimiliki oleh Pusat Data Kementrian Komunikasi dan Informatika. dan mengetahui cara menganalisa dan mengukur risiko dari aset TI yang ada pada Pusat Data Kementrian Komunikasi dan Informatika. Serta memberikan kebutuhan praktik keamanan untuk mengelola risiko pada Pusat Data Kementrian Komunikasi dan Informatika. Metodologi pengumpulan data yang digunakan adalah Studi kasus yaitu mencari referensireferensi teori mengenai IT Risk Management, lalu Observasi yakni mengamati langsung apa yang dikerjakan oleh pelaku pekerjaan didalam organisasi, serta Wawancara dan kuisioner yakni dengan bertanya langsung kepada subbidang-subbidang pada pusat data. Metode yang digunakan adalah metode OCTAVE-S Hasil yang dicapai dengan adanya manajemen risiko ini diharapkan Menghasilkan suatu informasi mengenai risiko dari penerapan teknologi informasi pada organisasi dan Memudahkan organisasi dalam mengambil keputusan yang strategis untuk meminimalkan risiko. Dapat ditarik simpulan dengan adanya manajemen risiko pada Kementrian Komunikasi dan Informatika dengan metode OCTAVE-S ini diharapkan dapat memberi masukan kepada Kementrian Komunikasi dan Informatika untuk pengelolaan ancaman yang terjadi pada organisasi. Kata Kunci : manajemen,risiko,sistem informasi, Metode OCTAVE-S

2 MEASUREMENT OF RISK INFORMATION TECHNOLOGY AT MINISTRY OF COMMUNICATIN AND INFORMATION USING OCTAVE-S METHOD Tommy Sanjaya Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, Indri Ayu Pastriyani Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, Hendry Febianto Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, Abstract The purpose of this research are to know the risk of critical assets of Data Center Ministry of Communication and Information and to know how analyze and measure the risk from IT assets of Data Center od Ministry Communication and Information. And give needed of security practices to organize the risk of Data Center in Ministry of Communication and Information. Collecting data methodology that used are study case which is searching references of theory about IT risk management, then observation which is direct observe what the worker di in the organization. And interview and quistionaire which is ask to subbidang in Data Center. The method which is used is OCTAVE-S. With availability of risk management, the result is hope can be create an information technology in organization and to help organization in making strategic decision to minimize the risk. We can make conclusion, the availability of risk management in Ministry Communication and Information with OCTAVE-S method hopefully can give input to ministry of Communication and Information to organize threat that happen in organization. Kata Kunci : risk, management, information system, OCTAVE-S method

3 1. Pendahuluan 1.1 Latar Belakang Kementrian Komunikasi dan Informatika Republik Indonesia dibentuk sejak proklamasi kemerdekaan (Kabinet Presidensial) dengan nama Kementrian Penerangan, sempat dibubarkan pada Kabinet Persatuan Nasional, dibentuk kembali dengan nama Kementrian Negara Komunikasi dan Informasi pada Kabinet Gotong Royong, dan menjadi Departemen Komunikasi dan Informatika pada Kabinet Indonesia Bersatu.Kedudukan instansi ini di samping sebagai unsur pelaksana pemerintah yang dipimpin oleh Menteri yang berada di bawah dan bertanggungjawab kepada Presiden.Kementerian Komunikasi dan Informatika mempunyai tugas membantu Presiden dalam menyelenggarakan sebagian urusan pemerintahan di bidang komunikasi dan informatika. Sehingga Kementrian Komunikasi dan Informatika dituntut untuk memiliki keamanan yang tinggi dalam mengamankan asset teknologi informasi yang mereka miliki. Hal ini berupaya agar Kementrian Komunikasi dan Informatika dapat terus menjadi role model organisasi dengan berbasis teknologi informasi dengan keamanan yang berkualitas tinggi. 1.2 Perumusan Masalah Masalah-masalah yang terdapat pada Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika: 1. Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika belum pernah mengidentifikasi risiko dari asset TI yang dimilikinya.

4 2. Bagaimana mengidentifikasi, menganalisis dan mengukur risiko asset TI pada Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika. 3. Memenuhi kebutuhan praktik keamanan untuk menjaga asset TI pada Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika 1.3 Ruang Lingkup Dalam menganalisa dan mengukur keamanan risiko ini diberikan lingkup masalah sebagai berikut : 1. Penelitian hanya dilakukan pada Kementrian Komunikasi dan Informatika divisi Pusat Data dan Sarana Teknik Informatika yang terleltak di Jalan Medan Merdeka Barat no.17, Jakarta Pusat. 2. Penelitian dilakukan pada sistem keamanan teknologi informasi yang berkaitan dengan software,hardwaredan jaringan pada Pusat Data dan Sarana Teknik Informatika di Kementrian Komunikasi dan Informatika. 3. Pengukuran risiko teknologi informasi dilakukan dengan metode OCTAVE-S (Operationally Critical Threat, Asset and Vulnerability)-Small. 1.4 Tujuan Tujuan yang ingin dicapai dengan pembuatan skripsi ini adalah : 1. Untuk mengetahui risiko dari aset TI yang dimiliki oleh Pusat Data dan Sarana Teknik Informatika di Kementrian Komunikasi dan Informatika dengan metode OCTAVE -S.

5 2. Untuk mengetahui cara menganalisa dan mengukur risiko dari aset TI yang ada pada Pusat Data dan Sarana Teknik Informatika di Kementrian Komunikasi dan Informatika. 3. Untuk mengetahui kebutuhan praktik keamanan untuk operasional organisasi pada Pusat Data dan Sarana Teknik Informatika di Kementrian Komunikasi dan Informatika. 1.5 Manfaat Manfaat yang diharapkan dari pembuatan skripsi ini adalah : 1. Mengetahui risiko dari aset TI pada Pusat Data dan Sarana Teknik Informatika di Kementrian Komunikasi dan Informatika. 2. Mengetahui cara menganalisa dan mengukur risiko dari aset TI yang ada pada Pusat Data dan Sarana Teknik Informatika di Kementrian Komunikasi dan Informatika. 3. Mengetahui kebutuhan praktik keamanan untuk operasional organisasi pada Pusat Data dan Sarana Teknik Informatika di Kementrian Komunikasi dan Informatika. 2. Metodologi Penelitian Metode yang digunakan untuk mengukur risiko teknologi informasi menggunakan tkenik antara lain: 1. Teknik pengumpulan data a. Metode Kepustakaan (Library Research) Dalam metode ini kami mengumpulkan data, yaitu berupa buku-buku yang berhubungan dengan topik sebagai panduan dalam penyusunan skripsi serta membantu dalam memecahkan masalah.

6 b. Metode studi lapangan (Field Research) Merupakan penelitian kualitatif dengan mengamati dan berpatisipasi secara langsung dalam penelitian skala sosial kecil dan mengamati budaya setempat dengan cara mengunjungi perusahaan, dan data didapatkan dengan cara: a) Wawancara Sebuah dialog yang dilakukan oleh pewawancara untuk memperoleh informasi dari nara sumber. b) Kuisioner Teknik pengumpulan data yang dilakukan dengan cara memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden untuk dijawab 2. Teknik analisis data Dalam melakukan pengukuran manajemen risiko teknologi informasi pada Pusat Data dan Sarana Teknik Informatika di Kementrian Komunikasi dan Informatika digunakan metode OCTAVE-S dan OCTAVE-S dapat menyajikan secara rinci langkahlangkah untuk mengukur tingkat risiko. 3. Hasil dan Bahasan Kami telah melakukan pengumpulan dan pengolahan data yang didapatkan dari kuisioner dengan Chiefi Sandriyarka selaku Subbidang Keamanan yang diberikan wewenang dari surat disposisi. Kuisioner digunakan untuk mengetahui asset kritis, menegtahui kelemahannya dan mencari solusi atas risiko yang akan/sedang/sudah pernah terjadi dalam Pusat Data dan Sarana Teknik Informatika. Kuisioner yang dibuat dengan menggunakan metode OCTAVE-S terdiri dari 3 tahap, yaitu: membangun asset berbasis profil ancaman, mengidentifikasi infrastuktur kerentanan, serta mengembangkan strategi keamanan dan perencanaan. Dari ketiga tahap ini, dijabarkan menjadi 5 proses yang terdiri dari 16 aktivitas dan 30 langkah. 3.1 Kriteria Evaluasi Dampak Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika bagi Satuan Kerja lain sudah memiliki reputasi yang cukup baik. Karena belakangan ini pelaporan akses yang bermasalah sudah menurun karena komitmen

7 dan kualitas layanan dalam melayani penanganan masalah, permintaan dan pengembangan aplikasi dan jaringan yang semakin membaik. Dilihat dari segi keuangan, biaya operasional pusat data meningkat 5%-20% setiap tahunnya.hal ini disebabkan semakin naiknya harga hardware dan biaya pemeliharaan.sedangkan biaya lisensi atas berbagai macam aplikasi yang digunakan pada pusat data yaitu Rp Rp Jam kerja pada Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatikamengalami peningkatan 10%-30% saat dinas. Kemungkinan ancaman terhadap kehidupan karyawan di pusat data tergolong sedang karena pekerjaan yang dilakukan terbagi 2 golongan yaitu pekerja kantor dan diluar kota atau dinas. Dimana pegawai yang sedang melakukan dinas memiliki ancaman yang besar dan di dalam pekerjaan kantor risiko yang ada cukup rendah. Dalam hal kesehatan untuk para pegawai diberikan waktu 2-3 hari untuk istirahat jika penyakitnya tergolong ringan, sedangkan untuk penyakit yang tergolong sedang dan perlu perawatan di rumah sakit diberikan batas waktu 2-4 minggu. Pusat data tidak memberikan denda atas setiap keterlambatan proyek, tetapi akan mengundurkan jadwal penyelesaian proyek. 3.2 Aset-Aset Kritis Aset-aset yang dianggap kritis pada Pusat Data dan Sarana Teknik Informatika yaitu Portal dan Web. Untuk mendukung aktifitas organisasi, Kementrian Komunikasi dan Informatika menggunakan Portal sebagai sistem utama, yang mengolah informasi mengenai pegawai, forum internal, akses VPN.Layanan yang diperlukan adalah koneksi internet dan koneksi LAN. Aset terkait dengan Portal Kementrian Komunikasi dan Informatikaadalah aplikasi E-Office, E-Absensi, Kepegawainkudan server. Selain itu sistem yang diperlukan adalah Web Kementrian Komunikasi dan Informatika yang penting karena informasi yang tertera di dalamnya adalah informasi publik dan harus diketahui oleh masyarakat.aplikasi dan layanan yang diperlukan adalah Web Server dan koneksi Internet, sedangkan aset yang terkait adalah personal computer.

8 3.3 Lima Belas Praktik Kemanan 15 praktik keamanan pada Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika, yaitu: 1. Kesadaran Keamanan dan Pelatihan (GREEN) Tingkat keamanan Pusat Data dan Sarana Teknik Informatika pada Kementrian Komunikasi dan Informatika cukup baik karena Satuan Kerja sudah memahami peran keamanan dan tanggung jawabnya dan mengikuti praktik-praktik keamanan dengan baik misalnya menggunakan password dengan baik dan tidak membocorkan informasi sensitif kepihak lain. 2. Strategi Keamanan (GREEN) Subbidang keamanan selalu mempertimbangkan unsur-unsur keamanan informasi untuk strategi bisnis dan tujuan organisasi yang baik.salah satu unsur yang menjadi pertimbangan yaitu strategi keamanan dan kebijakan. Sehingga strategi, tujuan dan sasaran keamanan akan didokumentasikan dan ditinjau secara rutin, diperbaharui dan dikomunikasikan ke seluruh Satuan Kerja Kementrian Komunikasi dan Informatika. 3. Manajemen Keamanan (GREEN) Peran keamanan selalu dijelaskan kepada seluruh Satuan Kerja namun dalam penerapan keamanan tugas dan tanggung jawab hanya sedikit Satuan Kerja yang dapat melaksanakan dengan baik. Namun jika dalam Satuan Kerja terlibat dalam permasalahan keamanan informasi akan dilakukan pemecatan dan penghentian praktik. 4. Peraturan dan Kebijakan Keamanan (GREEN) Subbidang keamanan memiliki dokumentasi dari kebijakan keamanan secara menyeluruh dan dokumentasi dari evaluasi untuk memastikan pemenuhan kebijakan keamanan informasi serta melakukan peninjauan dan memperbaharui secara berkala. 5. Manajemen Keamanan dan Kolaborasi (GREEN) Dalam kolaborasi manajemen keamanan dengan Satuan kerja lain, subbidang keamanan sangat menjaga hubungan baik dengan Satuan kerja lain. Dan untuk menjaga hubungan baik tersebut, maka subbidang keamanan memiliki kebijakan dan prosedur perlindungan informasi secara formal serta memiliki dokumentasi

9 informasi secara formal untuk melindungi kebutuhan-kebutuhan dan dengan tegas memberitahukan ke semua aspek. 6. Perencanaan Contigency (YELLOW) Walaupun Pusat Data dan Sarana Teknik Informatika pada tahap Contigency sudah melakukan analisa dari operasional, aplikasi-aplikasi dan data penting namun belum banyak melakukan dokumentasi sehingga sedikit kemungkinan pemulihan bencana dan kontinuitas bisnis mempertimbangkan rencana fisik dan persyaratan elektronik dan kontrol akses. 7. Pengendalian Akses Fisik (GREEN) Pusat Data dan Sarana Teknik Informatika sudah mempunyai prosedur dan kegiatan dalam menjaga bangunan kantor, mengendalikan akses fisik di tempat kerja, serta menjaga informasi yang sensitif agar tidak di akses oleh pihak yang tidak berwenang. Adanya pembatasan pemakaian terhadap pengguna yang dapat mengakses ruang server. 8. Pemantauan dan Audit Keamanan Fisik (GREEN) Pemantauan dan audit untuk keamanan fisik baru sedikit dilakukan Pusat Data dan Sarana Teknik Informatika. Pusat Data dan Sarana Teknik Informatika sudah memiliki catatan pemeliharaan guna dokumentasi. Setiap orang yang hendak mendekati ruang serve rakan dipantau apakah ada akses yang tidak sah didalamnya, karena sudah adanya verifikasi oleh Pusat Data dan Sarana Teknik Informatika atas pemantauan keamanan fisik. 9. Manajemen Jaringan dan Sistem (GREEN) Pusat Data dan Sarana Teknik Informatika kurang memiliki rencana keamanan untuk menjaga sistem dan jaringan tanpa dokumentasi yang lengkap.back-up atas informasi sensitif hanya sedikit yang disimpan secara off-site.subbidang pengembangan aplikasi telah melakukan revisisoftware terhadap sistem informasi sesuai rekomendasi dalam saran keamanan dan hanya layanan yang diperlukan saja yang dijalankan pada sistem. 10. Pemantauan dan Audit Keamanan TI (YELLOW) Pada praktik keamanan ini Pusat Data dan Sarana Teknik Informatika sudah memiliki alat untuk memantau serta mengaudit sistem dan jaringan yang secara rutin

10 digunakan.penggunaan firewall dan komponen keamanan di Pusat Data dan Sarana Teknik Informatika sudah diaudit dengan cukup baik untuk mematuhi kebijakan.tetapi keamanan TI hanya sedikit dikomunikasikan kepada semua pihak pemantau sistem dan jaringan, dan belum diverifikasi oleh Pusat Data dan Sarana Teknik Informatika. 11. Pengesahan dan Otorisasi (YELLOW) Pusat Data dan Sarana Teknik Informatika kurang melakukan pengendalian atas akses dan otentikasi pengguna yang tepat (misalnya: Perizinan file, konfigurasi jaringan) dan hanya sedikit metode dan mekanisme untuk memastikan bahwa informasi sensitif belum pernah diakses dan diubah secara tidak sah. Namun sedikitnya terdapat kebijakan dan prosedur terdokumentasi untuk mendirikan dan mengakhiri hak akses atas informasi. 12. Manajemen Kerentanan (GREEN) Pusat Data dan Sarana Teknik Informatika sudah melakukan tindakan terhadap manajemen kerentanan dan sudah melakukan dokumentasi. Kerentanan akan diatasi ketika ditemukan, dan penilaian kerentanan teknologi dilakukan secara berkala. Pusat Data dan Sarana Teknik Informatika sudah memiliki hubungan kerjasama dengan pihak ketiga dan dikomunikasikan secara resmi. 13. Enkripsi (YELLOW) Pusat Data dan Sarana Teknik Informatika kurang lebih sudah melakukan tindakan keamanan dengan menerapkan kendali atas sistem yang digunakan untuk melindungi informasi sensitif selama dalam penyimpanan dan transmisi. 14. Perancangan dan Arsitektur Keamanan (YELLOW) Pusat Data dan Sarana Teknik Informatika tidak secara resmi memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi syarat untuk merancang arsitektur keamanan dan tidak mengkomunikasikannya. Namun Pusat Data dan Sarana Teknik Informatika dalam merancang dan arsitektur keamanan telah memliki bidang infrastuktur dan subbidang jaringan dalam mempertimbangkan strategi, kebijakan dan prosedur keamanan.

11 15. Manajemen Insiden (RED) Pusat Data dan Sarana Teknik Informatika tidak secara resmi memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk mengelola insiden sehingga insiden tidak akan dikomunikasikan kepada kontraktor dan penyedia layanan. Selain itu, Pusat Data dan Sarana Teknik Informatika tidak memiliki prosedur dan kebijakan yang didokumentasikan untuk bekerja dengan lembaga penegak hukum. Maka dengan itu, Subbidang Keamanan bertanggung jawab atas prosedur yang didokumentasikan disediakan untuk mengidentifikasi, melaporkan dan menanggapi dugaan insiden dan pelanggaran keamanan dan prosedur tersebut akan diuji secara berkala, diverifikasi dan diperbaharui. 3.4 Ancaman Pada Aset Kritis Kemungkinan ancaman dalam Pusat Data dan Sarana Teknik Informatika terhadap asset kritis adalah terjadinya penyingkapan, modifikasi, penghancuran dan interupsi yang dapat merugikan dan mengganggu kinerja Satuan kerja. Ancaman bisa terjadi melalui akses jaringan dan fisik. Akses tersebut masingmasing memiliki dua aktor dan 2 motif yaitu internal dan eksternal serta sengaja dan tidak sengaja. Portal melalui akses jaringan, secara internal pelaku ancaman yang tidak disengaja adalah staff dan pejabat yang mengentri, meng-update dan memodifikasi data. Sedangkan pelaku yang sengaja adalah staf yang berniat bertindak kriminal. Secara eksternal pelaku ancaman yang tidak disengaja adalah serangan virus, sedangkan yang disengaja adalah hacker. Serta portal melalui akses fisik, secara internal pelaku ancaman yang tidak disengaja adalah pegawai yang menggunakan atau tidak sengaja merusakkan server portal. Sedangkan yang disengaja adalah pegawai yang ingin melakukan tindak kriminal. Secara eksternal ancaman yang tidak disengaja berasal dari bencana alam seperti kebakaran dan gempa bumi. Sedangkan yang disengaja adalah mata-mata atau pihak luar yang bertindak kriminal.

12 Web melalui akses jaringan, secara internal pelaku ancaman yang tidak disengaja adalah Staff dan pejabat yang tidak sengaja mengentri, meng-update, dan memodifikasi. Sedangkan yang sengaja adalah pegawai yang paham dengan pembuatan web yang ingin bertindak kriminal. Tapi di Pusat data dan sarana informatika belum pernah ditemukan pihak internal melakukan ancaman. Secara ekternal, pelaku yang tidak disengaja adalah virus dan yang disengaja adalah hacker. Web melalui akses fisik, secara internal pelaku ancaman yang tidak disengaja adalah subbidang yang tidak sengaja merusak web server.sedangkan yang disengaja adalah Staff yang berniat bertindak kriminal merusak web server. Secara ekternal pelaku yang tidak disengaja adalah bencana alam. Dan yang disengaja adalah mata-mata. 4. Simpulan Berdasarkan pengukuran risiko meggunakan pendekatan OCTAVE-S terhadap Pusat Data dan Sarana Teknik Informatika Kementrian Komunikasi dan Informatika dapat ditarik beberapa kesimpulan sebagai berikut: 1. Aset-aset kritis pada Pusat Data dan Sarana Teknik InformatikaKementrian Komunikasi dan Informatika yang teridentifikasi adalah: Portalberisi aplikasi-aplikasi utama organisasi yang sangat vital untuk Pusat Data dan Sarana Teknik Informatika karena didalamnya ada server, E-Office, Forum-forum diskusi pegawai, data pegawai dan Web yang berisi keterbukaan informasi-informasi tentang Kementrian Komunikasi dan Informatika dan tentang seluruh bidang komunikasi di Indonesia yang harus disampaikan kepada seluruh masyarakat. 2. Dari lima belas praktik keamanan Kementrian Komunikasi dan Informatika memiliki satu kelemahan yang berada pada area merah. Area merah tersebut yaitu dalam hal Manajemen Insiden. 3. Pada satu kelemahan dari lima belas praktik keamanan yaitu dalam hal: manajemen insiden, kami telah membuat rencana mitigasi untuk penanganan risiko yang mungkin terjadi.

13 4. Pusat Data dan Sarana Teknik Informatika memiliki kebijakan dalam manajemen insiden untuk keamanan penggunaan Teknologi Informasi, walaupun kebijakan tersebut sudah terdokumentasi namun belum dilakukan secara resmi. 5. Aset-aset kritis Pusat Data dan Sarana Teknik Informatika seperti tersebut pada nomor satu di atas masing-masing memiliki kerentanan terhadap risiko ancaman: a. Portal memiliki risiko paling besar (high) karena dinilai melalui akses jaringan portal sangat berperan dalam aktivitas setiap Satuan kerja. b. Aset kritis lainnya yaitu Web, berjalan pada jalur internet dan memiliki risiko yang cukup besar (medium). Dinilai demikian karena memiliki dampak yang tinggi pada reputasi Kementrian Komunikasi dan Informatika dari penilaian masyarakat.

14 DAFTAR PUSTAKA Abbas, Salim. (2005). Asuransi & Manajemen Risiko. PT.RajaGrafindo Persada, Jakarta. Alberts, Christopher J & Dorofee, Audrey J (2003). Managing information security risks the octave approach.1st Edition. Addison-Wesley Haag, Cummings, & Cuberry, C. (2005).Management Information Systems for The Information Age, edisi ke-5. McGraw-Hill, New York. Jordan, E., & Silcock, L. (2005).Beating IT Risks. John Wiley and Sons, Inc., England. Maulana, M.M., & Supangkat, S.H. (2006). Pemodelan Framework Manajemen Risiko Teknologi Informasi untuk Organisasi di Negara Berkembang. Retrieved 10 November 2009 from O Brien, J.K., & Marakas, G.M (2006).Management Information System, edisi ke-7. McGraw Hill, New York Peltier, Thomas R.(2001). Information Security Risk Analysis. Auerbach/CRC Press Release, Washington D.C Soeisno, Djojosoedarso, S. (2005). Prinsip-prinsip Manajemen Risiko Asuransi, edisi revisi Salemba Empat, Jakarta. Software Engineering Institute OCTAVE-S Implementation Guide Version 1.0; Volume 1: Introduction to OCTAVE-S. Software Engineering Institute OCTAVE-S Implementation Guide Version 1.0; Volume 10: Example Scenario. Thompson, R., & Cats-Baril, W. (2003). Information Technology and Management, edisi ke-2. McGraw-Hill, New York.

15 RIWAYAT PENULIS 1. Tommy Sanjaya, lahir di Jakarta pada tanggal 24 Juli 1989, Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2013, 2. Indri Ayu Pastriyani, lahir di Jakarta pada tanggal 01 Mei 1991, Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2013, 3. Hendry Febianto, lahir di Jakarta pada tanggal 26 Februari 1991, Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2013.