UNIVERSITAS INDONESIA

Transkripsi

1 UNIVERSITAS INDONESIA PERENCANAAN MANAJEMEN RISIKO KEAMANAN INFORMASI: STUDI KASUS APLIKASI MODUL KEKAYAAN NEGARA DIREKTORAT JENDERAL KEKAYAAN NEGARA KEMENTERIAN KEUANGAN KARYA AKHIR SIGIT PRASETYO FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JULI 2014

2 UNIVERSITAS INDONESIA PERENCANAAN MANAJEMEN RISIKO KEAMANAN INFORMASI: STUDI KASUS APLIKASI MODUL KEKAYAAN NEGARA DIREKTORAT JENDERAL KEKAYAAN NEGARA KEMENTERIAN KEUANGAN KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi SIGIT PRASETYO HALAMAN JUDUL FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JULI 2014

3 HALAMAN PERNYATAAN ORISINALITAS ii

4 HALAMAN PENGESAHAN iii

5 KATA PENGANTAR Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa, karena atas berkat dan rahmat-nya, penulis dapat menyelesaikan Karya Akhir ini. Penulisan Karya Akhir dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer. Penulis menyadari bahwa, tanpa bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada penyusunan karya akhir ini, sangatlah sulit bagi penulis untuk menyelesaikannya. Oleh karena itu, penulis mengucapkan terimakasih kepada: 1. Bapak Yudho Giri Sucahyo M.Kom., Ph.D dan Muh. Kasfu Hammi S.Kom., MTI selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan dalam penyusunan Karya Akhir ini. 2. Dosen Penguji yang telah menguji dan memberikan saran dan perbaikan pada Karya Akhir ini. 3. Direktorat Jenderal Kekayaan Negara (DJKN) yang telah memberikan bantuan beasiswa. 4. Istri tercinta, Andry Muji Asbiyanti, yang telah memberikan pengertian, perhatian, dukungan, dan semangat yang telah diberikan pada penulis. 5. Kedua orang tua tercinta, yang telah memberikan dukungan, doa, dan perhatian yang telah diberikan kepada penulis. 6. Staf di Magister Teknologi Informasi, yang telah membantu kelancaran perkuliahan dan Karya Akhir. 7. Teman teman di MTI 2012SA, yang telah membantu melewati masa kuliah. Akhir kata, semoga Allah SWT membalas semua kebaikan dan bantuan yang telah diberikan dengan pahala yang berlipat ganda. Semoga Karya Akhir ini memberikan manfaat bagi pengembangan ilmu pada umumnya dan bagi penulis pada khususnya. Jakarta, 16 Juni 2014 Penulis iv

6 HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS v

7 ABSTRAK Nama : Sigit Prasetyo Program Studi : Magister Teknologi Informasi Judul Karya Akhir : Perencanaan Manajemen Risiko Keamanan Informasi: Studi Kasus Aplikasi Modul Kekayaan Negara Direktorat Jenderal Kekayaan Negara Kementerian Keuangan Kementerian Keuangan khususnya Direktorat Jenderal Kekayaan Negara (DJKN) merupakan salah satu organisasi yang bertugas untuk melakukan pengelolaan barang milik negara dan melakukan peningkatan pelayanan terhadap stakeholder dengan menggunakan teknologi informasi sebagai elemen pendukungnya. Untuk mewujudkan database nilai kekayaan negara yang kredibel sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat, dan dapat digunakan untuk proses pengambilan keputusan bagi pimpinan Kementerian Keuangan maka dibutuhkan suatu perencanaan manajemen risiko keamanan informasi terhadap sistem informasi utama yang mendukung proses bisnis DJKN. Penelitian ini bertujuan untuk menyusun perencanaan manajemen risiko keamanan informasi untuk DJKN khususnya terhadap aplikasi yang mendukung proses bisnis utama yaitu aplikasi Modul KN dengan menggunakan framework ISO dan ISO untuk penanganan pengurangan risiko. Hasil yang didapat dari penelitian ini adalah perencanaan manajemen risiko keamanan informasi yang berupa dokumen penanganan risiko, rekomendasi kontrol untuk mengurangi risiko dan penerimaan risiko yang berisi tentang keputusan penanganan risiko serta penanggung jawab penanganan risiko. Kata Kunci : Manajemen Risiko, Keamanan Informasi, ISO 27005, ISO vi

8 ABSTRAC Name Program of Study Topic : Sigit Prasetyo : Magister Teknologi Informasi : Information Security Risk Management Planning: A Case Study at Application Module of State Asset, Directorate General of State Asset, Ministry of Finance Ministry of Finance in particular the Directorate General of State Asset (DJKN) is one organization that is tasked to undertake the management of state asset and improved services to stakeholders using information technology as a supporting element. To realize the value database of state asset into a credible executive information intact, timely, accurate and can be used for decision making process for the leadership of the Ministry of Finance then needed an information security risk management plan to the main information systems that support business processes DJKN. This research aimed to develop an information security risk management plan for DJKN particularly to applications that support key business processes that called state assets module applications using the framework of ISO and ISO for risk reduction management. The results obtained from this research is the information security risk management plan that contains the document mitigation risk, control recommendations to reduce risk and acceptance of risk which contains risk management decisions also the person in charge of mitigation risk. Key Words : Risk Management, Information Security, ISO 27005, ISO vii

9 DAFTAR ISI HALAMAN JUDUL... i HALAMAN PERNYATAAN ORISINALITAS... ii HALAMAN PENGESAHAN... iii KATA PENGANTAR... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI... v KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS... v ABSTRAK... vi ABSTRAC... vii DAFTAR ISI... viii DAFTAR GAMBAR... x DAFTAR TABEL... xi BAB I PENDAHULUAN Latar Belakang Perumusan Masalah Pertanyaan Penelitian Tujuan Penelitian Manfaat Penelitian Batasan Penelitian Sistematika Penulisan BAB II LANDASAN TEORI Keamanan Informasi Risiko Manajemen Risiko Perencanaan Manajemen Risiko Metode Penelitian Manajemen Risiko Keamanan Informasi ISO NIST SP OCTAVE Perbandingan Metode Perancangan Manajemen Risiko Penelitian Sejenis Sebelumnya Kerangka Pemikiran (Theoritical Framework) BAB III METODOLOGI PENELITIAN Alur Penelitian Metode Pengumpulan Data Metode Analisis Data BAB IVPROFIL ORGANISASI Sejarah Singkat DJKN Visi, Misi dan Tugas Organisasi Sasaran Strategis Organisasi Struktur Organisasi Rincian tugas tiap Direktorat Penerapan Manajemen Risiko di DJKN BAB V ANALISIS DAN PEMBAHASAN Penetapan Konteks viii

10 5.1.1 Kriteria Dasar Pengelolaan Risiko Ruang Lingkup Perencanaaan Manajemen Risiko Keamanan Informasi Organisasi Manajemen Risiko Keamanan Informasi Penilaian Risiko Identifikasi Risiko Estimasi Risiko Evaluasi Risiko Penanganan Risiko Mengurangi risiko Mempertahankan risiko Menghindari risiko Mentransfer risiko Penerimaan Risiko BAB VI PENUTUP Kesimpulan Saran DAFTAR PUSTAKA LAMPIRAN A.TRANSKRIP WAWANCARA B. REKAP HELPDESK TIK DJKN C. MATRIKS EVALUASI RISIKO ix

11 DAFTAR GAMBAR Gambar 1.1 Pie Chart Permasalahan layanan TIK DJKN... 8 Gambar 1.2 Gap Analysis TIK DJKN... 9 Gambar 1.3 Analisis Fishbone Gambar 2.1 Model PDCA pada proses SMKI Gambar 2.2 Proses Manajemen Risiko ISO Gambar 2.3 Proses Penanganan Risiko Gambar 2.4 Proses Manajemen Risiko NIST Gambar 2.5 Proses Manajemen Risiko OCTAVE Gambar 2.6 Kerangka Pemikiran Gambar 3.1 Metodologi Penelitian Gambar 4.1 Struktur organisasi kantor pusat Gambar 4.2 Struktur organisasi kantor wilayah Gambar 4.3 Struktur organisasi KPKNL Gambar 5.1 Proses Perencanaan Manajemen Risiko Keamanan Informasi Gambar 5.2 Proses bisnis pengelolaan BMN Gambar 5.3 Pemetaan aplikasi di DJKN Gambar 5.4 Grid McFarlan Gambar 5.5 Proses bisnis aplikasi Modul KN Gambar 5. 6 Arsitektur teknologi informasi aplikasi Modul KN Gambar 5.7 Struktur organisasi manajemen risiko keamanan informasi di DJKN x

12 DAFTAR TABEL Tabel 1.1 Rangkuman Permasalahan Layanan TIK DJKN... 7 Tabel 2.1 Penjelasan proses SMKI Tabel 2.2 Keselarasan antara proses SMKI dengan proses MRKI Tabel 2.3 Perbandingan metode manajemen risiko keamanan informasi Tabel 4.1 Rincian tugas tiap Direktorat Tabel 4.2 Laporan Profil Risiko DJKN semester 1 tahun Tabel 4.3 Laporan Penanganan Risiko DJKN semester 1 tahun Tabel 5.1Kriteria Dampak Tabel 5.2 Tingkat kecenderungan risiko Tabel 5.3 Kriteria penerimaan risiko Tabel 5.4 Kriteria risiko yang harus ditransfer Tabel 5.5 Matriks selera risiko Tabel 5.6 Rincian aset pada Modul KN Tabel 5.7 Identifikasi ancaman tiap aset Tabel 5.8 Identifikasi kontrol yang sudah ada Tabel 5.9 Identifikasi kerawanan tiap aset Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset Tabel 5.11 Matriks penentuan tingkatan evaluasi risiko Tabel 5.12 Matrik nilai evaluasi risiko Tabel 5.13 Prioritas risiko berdasarkan nilai risiko Tabel 5.14 Analisis Penanganan Risiko Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol Tabel 5.16 Analisis Penerimaan Risiko Tabel C.1 Matriks evaluasi risiko untuk A1 dan T Tabel C.2 Matriks evaluasi risiko untuk A1 dan T Tabel C.3 Matriks evaluasi risiko untuk A1 dan T Tabel C.4 Matriks evaluasi risiko untuk A2 dan T Tabel C.5 Matriks evaluasi risiko untuk A3 dan T Tabel C.6 Matriks evaluasi risiko untuk A3 dan T Tabel C.7 Matriks evaluasi risiko untuk A4 dan T Tabel C.8 Matriks evaluasi risiko untuk A4 dan T Tabel C.9 Matriks evaluasi risiko A5 dan T Tabel C.10 Matriks evaluasi risiko untuk A5 dan T Tabel C.11 Matriks evaluasi risiko untuk A6 dan T Tabel C.12 Matriks evaluasi risiko untuk A6 dan T Tabel C.13 Matriks evaluasi risiko untuk A7 dan T Tabel C.14 Matriks evaluasi risiko untuk A7 dan T Tabel C.15 Matriks evaluasi risiko untuk A8 dan T Tabel C.16 Matriks evaluasi risiko untuk A9 dan T Tabel C.17 Matriks evaluasi risiko untuk A10 dan T Tabel C.18 Matriks evaluasi risiko untuk A10 dan T Tabel C.19 Matriks evaluasi risiko untuk A11 dan T xi

13 Tabel C.20 Matriks evaluasi risiko untuk A12 dan T Tabel C.21 Matriks evaluasi risiko untuk A13 dan T Tabel C.22 Matriks evaluasi risiko untuk A14 dan T Tabel C.23 Matriks evaluasi risiko untuk A15 dan T Tabel C.24 Matriks evaluasi risiko untuk A15 dan T Tabel C.25 Matriks evaluasi risiko untuk A16 dan T Tabel C.26 Matriks evaluasi risiko untuk A16 dan T Tabel C.27 Matriks evaluasi risiko untuk A17 dan T Tabel C.28 Matriks evaluasi risiko untuk A18 dan T Tabel C.29 Matriks evaluasi risiko untuk A18 dan T Tabel C.30 Matriks evaluasi risiko untuk A19 dan T Tabel C.31 Matriks evaluasi risiko untuk A19 dan T Tabel C.32 Matriks evaluasi risiko untuk A20 dan T Tabel C.33 Matriks evaluasi risiko untuk A21 dan T Tabel C.34 Matriks evaluasi risiko untuk A22 dan T Tabel C.35 Matriks evaluasi risiko untuk A23 dan T Tabel C.36 Matriks evaluasi risiko untuk A24 dan T Tabel C.37 Matriks evaluasi risiko untuk A25 dan T Tabel C.38 Matriks evaluasi risiko untuk A26 dan T Tabel C.39 Nilai risiko dari tiap skenario xii

14 1 BAB I PENDAHULUAN Pada bab ini menjelaskan mengenai latar belakang penulisan penelitian terhadap kondisi terkini organisasi di Direktorat Jenderal Kekayaan Negara (DJKN), melakukan analisis permasalahan yang dihadapi sehingga menghasilkan perumusan masalah, menentukan ruang lingkup, tujuan, manfaat dan sistematika penulisan. 1.1 Latar Belakang Direktorat Jenderal Kekayaan Negara merupakan unit eselon 1 di lingkungan Kementerian Keuangan berdasarkan Peraturan Presiden Nomor 66 Tahun 2006 tentang Perubahan Keempat atas Peraturan Presiden Nomor 10 Tahun 2005 tentang Unit Organisasi dan Tugas Eselon I Kementerian Republik Indonesia. Direktorat Jenderal Kekayaan Negara mempunyai tugas merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara, piutang negara, dan lelang. Dalam melaksanakan tugas yang dibebankan kepada Direktorat Jenderal Kekayaan Negara, maka ditetapkan visi DJKN, yaitu: Menjadi Pengelola Kekayaan Negara, Piutang Negara dan Lelang yang profesional dan bertanggung jawab untuk sebesar-besar kemakmuran rakyat. Profesional adalah bahwa tugas-tugas pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelayanan lelang dilaksanakan sesuai standar profesi dan standar keilmuan yang telah ditetapkan. Bertanggung jawab adalah bahwa pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelaksanaan lelang dilakukan secara transparan dan dapat dipertanggungjawabkan sesuai dengan ketentuan peraturan perundangundangan yang berlaku. Untuk sebesar-besar kemakmuran rakyat, merupakan cita-cita dan arah dari tujuan akhir pengelolaan kekayaan negara sesuai dengan jiwa Pasal 33 Undang-Undang Dasar Republik Indonesia tahun 1945.

15 2 Untuk merealisasikan visi yang telah ditetapkan, maka Direktorat Jenderal Kekayaan Negara menetapkan misi antara lain: a. Mewujudkan optimalisasi penerimaan, efisiensi pengeluaran dan efektivitas pengelolaan kekayaan negara; b. Mengamankan kekayaan negara secara fisik, administrasi dan hukum; c. Mewujudkan nilai kekayaan negara yang wajar dan dapat dijadikan acuan dalam berbagai keperluan; d. Melaksanakan pengurusan piutang negara yang efektif, efisien, transparan dan akuntabel; e. Mewujudkan lelang yang efektif, efisien, transparan, akuntabel, adil dan kompetitif sebagai instrumen jual beli yang mampu mengakomodasi kepentingan masyarakat. Pada tahun 2008 telah disusun Blue Print (Cetak Biru) TIK DJKN yang bertujuan sebagai rujukan dalam pengembangan dan implementasi TIK di DJKN selama 5 tahun yaitu tahun Blue Print TIK DJKN tersebut mempunyai tujuan yaitu pemanfaatan teknologi dan informasi (TIK) yang handal, terintegrasi dan berkembang. Dalam analisis Strengths Weaknesses Opportunities and Threats (SWOT) khususnya mengenai kelemahan TIK DJKN terdapat beberapa permasalahan yaitu belum terdapatnya database yang lengkap, komprehensif dan terintegrasi, kemudian belum terdapatnya sistem informasi yang memadai untuk mendukung pelaksanaan proses-proses bisnis utama DJKN serta belum adanya infrastruktur perangkat keras dan lunak pendukung yang memadai di DJKN. Berdasarkan Peraturan Menteri Keuangan Nomor 191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan bahwa Setiap unit Eselon I di lingkungan Kementerian Keuangan harus menerapkan dan mengembangkan Manajemen Risiko di lingkungan masing-masing. Hal ini berdasarkan Peraturan Pemerintah nomor 60 tahun 2008 tentang Sistem Pengendalian Internal Pemerintah khususnya pada bagian ketiga pasal 13 ayat 1 yaitu pimpinan instansi pemerintah wajib melakukan penilaian risiko. Saat ini DJKN telah menyusun Laporan Manajemen Risiko pada awal tahun 2014 yang dibuat berdasarkan sasaran kinerja organisasi terhadap risiko yang berpotensi

16 3 menghalangi, menurunkan atau menunda tercapainya sasaran kerja unit eselon I. Laporan tersebut menghasilkan profil risiko dan cara penanganannya berdasarkan sasaran kinerja masing-masing unit di DJKN. Sesuai dengan Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi (SMKI) di Lingkungan Kementerian Keuangan bahwa Unit TIK pusat dan unit TIK eselon I menerapkan dan mengembangkan manajemen risiko dalam rangka pelaksanaan pengamanan dan perlindungan aset informasi dengan mengikuti ketentuan mengenai penerapan manajemen risiko di lingkungan Kementerian Keuangan. Berdasarkan wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi Bpk. Agus Setyo Pambudi tanggal 27 Maret 2014 bahwa sampai saat ini baik Unit TIK Pusat maupun Unit TIK DJKN belum menerapkan dan mengembangkan manajemen risiko dalam rangka pelaksanaan pengamanan dan perlindungan aset informasi. Kebijakan dan standar SMKI di lingkungan Kementerian Keuangan tersebut disusun dengan memperhatikan Peraturan Menteri Komunikasi dan Informatika Nomor 41/PERMEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional, lso/iec 27001:2005 (Information technology-security techniques-information security management system-requirements) dan lso/iec 27002:2005 (Information technology- Securitytechniques-Code of practice for information security management). PMK Nomor 479/KMK.01/2010 tersebut mewajibkan setiap unit Eselon I menerapkan Kebijakan dan Standar SMKI di lingkungan unit eselon I masing-masing yang terdiri dari sebelas pengendalian antara lain: Pengendalian Umum; Pengendalian Organisasi Keamanan Informasi; Pengelolaan Aset Informasi; Pengendalian Keamanan Sumber Daya Manusia; Pengendalian Keamanan Fisik dan Lingkungan; Pengendalian Pengelolaan Komunikasi dan Operasional;

17 4 Pengendalian Akses; Pengendalian Keamanan Informasi dalam Pengadaan, Pengembangan dan Pemeliharaan Sistem Informasi; Pengendalian Pengelolaan Gangguan Keamanan Informasi; Pengendalian Keamanan Informasi dalam Pengelolaan Kelangsungan Kegiatan; Pengendalian Kepatuhan. Untuk menindaklanjuti keputusan tersebut DJKN telah membuat Surat Edaran No.6/KN/2012 tentang Struktur Tim Keamanan Informasi, Standarisasi Personal Computer, Pengelolaan dan Pengoperasian Perangkat Teknologi Informasi dan Komunikasi di Lingkungan Direktorat Jenderal Kekayaan Negara. Dalam hal ini DJKN baru melakukan dua pengendalian yang diamanatkan oleh Keputusan Menteri Keuangan yaitu pengendalian organisasi keamanan informasi dan pengendalian pengelolaan komunikasi dan operasional sehingga diperlukan tindak lanjut dalam menyusun pengendalian keamanan informasi. Pada tahun 2010 telah disusun Keputusan Direktur Jenderal Kekayaan Negara Nomor KEP-38/KN/2010 tentang Rencana Strategis Direktorat Jenderal Kekayaan Negara Tahun yang merupakan penjabaran lebih lanjut dari Keputusan Menteri Keuangan Nomor 40/KMK.01/2010 tentang Rencana Strategis Kementerian Keuangan tahun Dalam Renstra tersebut terdapat strategi organisasi di bidang Teknologi Informasi Keuangan (TIK) yaitu melakukan pengembangan Sistem Informasi Manajemen (SIM) di lingkungan Direktorat Jenderal Kekayaan Negara yang terdiri dari rencana aksi yaitu antara lain dengan melakukan pengembangan aplikasi, pengelolaan database dan pengembangan infrastruktur TIK. Renstra tersebut juga menjelaskan permasalahan yaitu masih kurangnya kompetensi pegawai dalam pengoperasian aplikasi terkait penatausahaan Barang Milik Negara (BMN). Menurut Keputusan Menteri Keuangan Nomor 40/KMK.01/2010 tentang Rencana Strategis Kementerian Keuangan tahun terdapat salah satu sasaran strategis dalam tema kekayaan negara yaitu terwujudnya database nilai kekayaan

18 5 negara yang kredibel dengan cara mendapatkan, mengumpulkan dan mengolah data kekayaan negara sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat, dan dapat digunakan untuk proses pengambilan keputusan bagi pimpinan Kementerian Keuangan. kan permasalahan TIK yang dihadapi dalam pengelolaan kekayaaan negara yaitu penerapan Sistem Informasi Manajemen dan Akuntansi (SIMAK) BMN belum merata diseluruh K/L, kualitas dan kuantitas SDM belum memadai serta kurangnya sarana dan prasarana. Berdasarkan laporan hasil audit Inspektorat Jenderal Nomor 83 tahun 2011 terhadap pembangunan modul kekayaan negara di DJKN yang terdiri atas audit terkait pengandalian umum dan pengendalian aplikasi yang dapat dijelaskan sebagai berikut: a. Pengendalian umum IT Strategy Plan: Pengembangan TI tidak melalui rencana strategis yang ada sehingga masih bersifat ad hoc; Arsitektur Informasi: DJKN belum memiliki Interprise Information Architecture Model yang menjadi acuan dalam pengembangan aplikasi; Proses teknologi informasi, organisasi dan hubungan: tidak adanya IT Strategy Comittee, belum terdapat personel yang bertanggung jawab terhadap risiko, keamanan dan kepatuhan pada sistem TI DJKN, belum adanya tim Quality Assurance; Tidak memiliki sistem manajemen kualitas; Belum memiliki manajemen risiko yang baku terkait pengelolaan TI; Tidak memiliki standar dan prosedur baku dalam manajemen proyek; Pembangunan aplikasi hanya didasari oleh pengetahuan dan pengalaman dari individu kunci, tidak ada studi kelayakan dan analisis risiko; Dalam pembangunan aplikasi tidak terdapat ruang lingkup testing, pengembangan, manajemen keamanan dan Software Quality Assurance (SQA); Pengadaan infrastruktur tidak berdasarkan kebutuhan bisnis tapi dari sisi teknis, hal ini dikarenakan tidak adanya penerapan audit, security dan internal control untuk memproteksi sumber daya TIK dan memastikan

19 6 availability dan integrity dari sistem dan data TIK serta tidak adanya perawatan berkala terhadap infrastruktur TI; Belum memilik standar baku manajemen perubahan; Belum memiliki manajemen dan standar tingkat layanan; Belum memiliki Business Continuity Plan (BCP) dan Disaster Recovery Plan (DRP) untuk layanan berkelanjutan; Tidak ada manajemen service desk terhadap permasalahan; Belum memiliki standar baku konfigurasi aset TIK; Tidak memilik tata kelola TIK. Blue Print yang ada belum ditetapkan secara formal oleh pejabat yang berwenang; Tidak ada dokumentasi hasil testing aplikasi Modul KN; Pembentukan database server kurang akurat, tidak mendukung pertukaran data tingkat eselon I; Belum adanya monitoring dan evaluasi pembangunan TI; Tidak ada regulasi dalam penggunaan Modul KN untuk rekonsiliasi BMN dalam bentuk peraturan (Surat Edaran). b. Pengendalian Aplikasi Berisi tentang berbagai permasalahan yang ada dalam pengoperasian Modul KN yaitu adanya menu yang masih kurang, proses operasi yang lama, Standar Operating Procedure (SOP) yang kurang lengkap dan tidak ada indikator dalam proses eksekusi aplikasi. Untuk menindaklanjuti hasil audit tersebut maka Direktorat PKNSI membuat matriks tindak lanjut temuan Itjen atas kegiatan pengelolaan BMN dimana akan melakukan perancangan pembuatan Blue Print (Cetak Biru) TIK yang didalamnya berisi tentang perencanaan strategi TI, arsitektur informasi, manajemen kualitas, manajemen risiko, manajemen proyek, kebutuhan proses bisnis dan solusi TI, manajemen layanan, manajemen service desk, konfigurasi aset TIK dan tata kelola TIK. Berdasarkan laporan jumlah permasalahan terkait dengan layanan TI yang didapat dari Aplikasi Helpdesk Layanan TIK DJKN pada tahun 2010 sampai dengan

20 7 tahun 2013 terdapat permasalahan yang semakin bertambah setiap tahun terutama dalam hal pengelolaan TI dan keamanan informasi. Dalam hal pengelolaan TI yaitu bertambahnya permasalahan terkait infrastruktur TI. kan dalam hal keamanan informasi yaitu banyaknya permasalahan database yang hilang atau rusak, adanya orang yang tidak mempunyai otoritas menggunakan akun (user account) orang lain sehingga dapat melihat maupun merubah data, banyaknya software yang rusak dikarenakan faktor manusia maupun faktor lainnya misalnya karena terkena virus sehingga data tidak dapat diakses. Hal ini menyebabkan risiko keamanan informasi terjadi berulang dan tidak dikontrol dengan baik. Adapun rangkuman permasalahan seperti dijelaskan pada Tabel 1.1: No Tabel 1.1 Rangkuman Permasalahan Layanan TIK DJKN Jenis Layanan Tahun 2010 Tahun 2011 Tahun 2012 Tahun Umum Jaringan Aplikasi DJKN User account dan Hardware Software Rekonsiliasi BMN Database Konfigurasi Informasi Voip SSO DJKN Jumlah Sumber: Pada Tabel 1.1 tersebut dapat dijelaskan bahwa terdapat permasalahan layanan TIK dari tahun 2010 sampai dengan tahun 2013 dengan jumlah insiden sebanyak 715 insiden. Terkait permasalahan keamanan informasi terdapat 560 insiden yang terdiri dari jenis layanan sebagai berikut: Jaringan sebanyak 265 insiden yang menyebabkan permasalahan terkait ketersediaan data (availability); Aplikasi sebanyak 81 insiden yang menyebabkan permasalahan terkait kerahasiaan dan ketersediaan data (confidentiality dan availability);

21 8 Hardware sebanyak 82 insiden yang menyebabkan permasalahan terkait keutuhan dan ketersediaan data (integrity dan availability); Software sebanyak 40 insiden yang menyebabkan permasalahan terkait keutuhan dan ketersediaan data (integrity dan availability); Rekonsiliasi BMN sebanyak 7 insiden yang menyebabkan permasalahan terkait keutuhan data (integrity); Database sebanyak 64 insiden yang menyebabkan permasalahan terkait kerahasiaan, keutuhan dan ketersediaan data (confidentiality, integrity dan availability); Berdasarkan data tersebut maka dapat digambarkan porsi permasalahan keamanan informasi pada Gambar 1.1: Gambar 1.1 Pie Chart Permasalahan layanan TIK DJKN Pada Gambar 1.1 dapat diketahui bahwa permasalahan terkait keamanan informasi sebesar 79 % dengan jumlah insiden sebanyak 560 insiden sedangkan untuk permasalahan diluar keamanan informasi sebesar 21 % dengan jumlah insiden sebanyak 155 insiden.

22 9 Berdasarkan hasil wawancara dengan Kasubdit Pengolahan Data dan Layanan Operasional Bpk. I Ketut Puja tanggal 4 Februari 2014 bahwa terdapat beberapa permasalahan TIK di DJKN yaitu: Belum adanya perencanaan manajemen risiko terhadap pengelolaan teknologi dan keamanan informasi di DJKN; Kompetensi dan jumlah SDM TI di DJKN masih kurang; Sesuai dengan paparan diatas, maka dapat ditarik permasalahan dengan menggunakan gap analysis (analisis kesenjangan) yang membandingkan antara keadaan yang diharapkan dengan kenyataan yang terjadi pada kondisi sekarang yang dapat dijelaskan pada Gambar 1.2: Gambar 1.2 Gap Analysis TIK DJKN Pada Gambar 1.2 menjelaskan bahwa ekspektasi dari Kementerian Keuangan adalah DJKN dapat mewujudkan database nilai kekayaan negara yang kredibel sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat dan dapat digunakan untuk proses pengambilan keputusan. Menurut rekap helpdesk TIK DJKN sekarang ini database kekayaan negara yang terdapat dalam sistem informasi utama yaitu Modul Kekayaan Negara banyak mengalami loss of

23 10 confidentiality, integrity dan availibility sehingga tidak kredibel dan tidak dapat digunakan untuk proses pengambilan keputusan. Dalam hal ini terdapat permasalahan yaitu risiko keamanan informasi database kekayaan negara yang terdapat dalam Modul Kekayaan Negara tidak dikontrol dengan baik. 1.2 Perumusan Masalah Berdasarkan permasalahan dan kondisi yang sudah dijelaskan diatas dapat dilakukan perumusan dengan menggunakan analisis fishbone pada Gambar 1.3: Gambar 1.3 Analisis Fishbone Berdasarkan analisis fishbone pada Gambar 1.3 diatas, secara garis besar terdapat empat permasalahan mendasar yang menyebabkan risiko terkait keamanan informasi tidak dikontrol dengan baik yaitu: Sumber Daya Manusia (SDM): kompetensi dan jumlah SDM TI di DJKN masih kurang menyebabkan rendahnya awareness keamanan informasi dan penanganan risiko keamanan informasi tidak terselesaikan dengan baik; Infrastruktur: tidak adanya perawatan berkala terhadap infrastruktur TI. Hal ini dapat menyebabkan kerusakan perangkat dan informasi yang terkandung

24 11 di dalamnya sehingga terjadi permasalahan terkait keutuhan data (integrity) dan ketersediaan data (availability); Kebijakan: belum adanya evaluasi pembangunan SI/TI yang terkait dengan risiko keamanan informasi misalnya evaluasi terhadap waktu layanan (response time) dan keutuhan data sehingga kebutuhan pengendalian risiko keamanan informasi tidak terdefinisi. Belum adanya perencanaan manajemen risiko keamanan informasi sehingga perlindungan dan pengamanan aset informasi tidak dilakukan baik; Organisasi: belum adanya unit yang bertanggung jawab melakukan koordinasi, penanganan dan monitoring terhadap risiko keamanan informasi. 1.3 Pertanyaan Penelitian Dari analisis permasalahan menggunakan fishbone diagram diatas, maka diambil salah satu akar permasalahan yang dijadikan pertanyaan penelitian yaitu: Bagaimanakah perencanaan manajemen risiko keamanan informasi yang tepat di Direktorat Jenderal Kekayaan Negara Kementerian Keuangan khususnya terhadap aplikasi yang mendukung proses bisnis utama (Modul Kekayaan Negara)? 1.4 Tujuan Penelitian Adapun tujuan yang dicapai dalam penelitian ini antara lain: Mengetahui risiko-risiko apa saja yang teridentifikasi dalam penilaian risiko keamanan informasi; Melakukan rencana penanganan (mitigasi) terhadap risiko keamanan informasi; Menentukan unit yang bertanggung jawab terhadap penanganan risiko keamanan informasi. 1.5 Manfaat Penelitian Adapun manfaat yang diperoleh dalam penelitian ini antara lain: Memberikan rekomendasi pemilihan penanganan risiko berdasarkan analisis risiko yang telah dilakukan;

25 12 Memberikan rekomendasi kontrol (pengendalian) keamanan informasi yang tepat untuk mengurangi risiko. 1.6 Batasan Penelitian Penelitian ini dibatasi pada lingkungan Direktorat Jenderal Kekayaan Negara Kementerian Keuangan periode tahun Sistematika Penulisan Sistematika penulisan Karya Akhir ini dibagi menjadi 6 (enam) bab sebagai berikut: Bab 1. Pendahuluan, berisi latar belakang, perumusan masalah, pertanyaan penelitian, tujuan dan manfaat penelitian dan batasan penelitian; Bab 2. Landasan Teori, berisi berbagai teori, metode, teknik, proses, dan prosedur yang terkait dengan topik penelitian; Bab 3. Metodologi Penelitian, berisi langkah-langkah penelitian, metode yang digunakan dan output yang diharapkan; Bab 4. Profil Organisasi, berisi sejarah singkat, visi, misi, rencana strategis, struktur organisasi dan tugas masing-masing unit di DJKN; Bab 5. Analisis dan Pembahasan berisi penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko; Bab 6. Kesimpulan dan Saran berisi tentang intisari penelitian dan masukan terhadap perencanaan manajemen risiko keamanan informasi di DJKN.

26 13 BAB II LANDASAN TEORI Pada bab ini berisi penjelasan mengenai landasan teori yang terkait dengan topik penelitian yang berisi antara lain berbagai teori, metode dan analisis penelitian sebelumnya yang berhubungan dengan perancangan manajemen keamanan informasi sehingga menghasilkan kerangka pemikiran (theoritical framework). 2.1 Keamanan Informasi Menurut Andress (2011) keamanan informasi mempunyai tiga konsep dasar yaitu confidentiality, integrity dan availability (CIA). Confidentiality adalah kemampuan untuk melindungi data dari seseorang yang tidak memiliki otoritas untuk melihat data tersebut. Integrity adalah kemampuan melindungi data agar tidak mengalami perubahan dari sesuatu yang tidak terotorisasi maupun yang tidak diinginkan. Availability adalah kemampuan untuk mengakses data pada saat data tersebut diperlukan. Keamanan informasi adalah perlindungan informasi dari berbagai macam ancaman untuk memastikan kelangsungan bisnis, meminimalisasi risiko bisnis, memaksimalkan pengembalian modal investasi dan peluang bisnis (Hintzbergen & Smulders, 2010). Berdasarkan ISO bahwa proses Sistem Manajemen Keamanan Informasi (SMKI) terdiri dari empat langkah yang disebut Plan-Do-Check-Act (PDCA) pada Gambar 2.1:

27 14 Gambar 2.1 Model PDCA pada proses SMKI Sumber: ISO 27001:2008 Pada Gambar 2.1 dapat dijelaskan bahwa proses SMKI adalah proses yang dilakukan secara terus menerus dan berkesinambungan yang dapat diterangkan pada Tabel 2.1: Proses SMKI Tabel 2.1 Penjelasan proses SMKI Keterangan Plan (Perencanaan) Menetapkan kebijakan SMKI, tujuan, proses dan prosedur yang relevan dengan pengelolaan risiko dan peningkatan keamanan informasi untuk memberikan hasil yang sesuai dengan kebijakan dan tujuan organisasi Do (Implementasi) Melakukan implementasi kebijakan SMKI, kontrol, proses dan prosedur Check (Pemeriksaan) Melakukan pengawasan dan pengukuran terhadap implementasi kebijakan SMKI Act (Tindakan) Melakukan koreksi dan tindakan pencegahan sesuai dengan hasil audit kebijakan SMKI Sumber: ISO 27001:2008

28 Risiko Menurut Smith (2011) risiko adalah situasi potensial yang dapat melakukan ancaman terhadap aset. Jika kita mempunyai deskripsi terhadap situasi maka risiko mengidentifikasikan sesuatu yang buruk dapat terjadi menimpa aset kita. Risiko adalah kemungkinan dimana sesuatu yang tidak diinginkan akan terjadi, organisasi harus meminimalisasi risiko sesuai dengan tingkat risiko yang diinginkan yaitu jumlah dan bentuk risiko yang akan mereka terima (Michael Whiteman,2011). 2.3 Manajemen Risiko Manajemen risiko adalah langkah untuk mengidentifikasi, melakukan kualifikasi dan mengendalikan risiko informasi yang berdampak pada organisasi (Angus,2012). Menurut NIST (2002), manajemen risiko adalah proses yang memungkinkan manajer TI untuk menyeimbangkan biaya operasional dan ekonomi dalam tindakan pengamanan dan mencapai peningkatan kemampuan dengan melindungi data dan sistem TI yang mendukung misi organisasi mereka. 2.4 Perencanaan Manajemen Risiko Perencanaan manajemen risiko terkait dengan semua komponen manajemen risiko misalnya identifikasi risiko, analisis risiko dan mitigasi risiko dimana menjadi suatu kesatuan fungsional. Merupakan bagian yang menginformasikan kepada semua anggota tim dan pengawas tentang risiko proyek, bagaimana risiko akan dikelola, dan siapa yang akan mengelola risiko (COA, 2005). Perencanaan manajemen risiko merupakan skema dalam kerangka manajemen risiko dengan menetapkan pendekatan, komponen manajemen (prosedur, praktek, pembagian tanggung jawab, urutan dan waktu kegiatan) dan sumber daya untuk untuk diterapkan pada pengelolaan risiko (ISO 31000, 2009). Menurut ISACA (2013), dalam hal perencanaan dan sumber daya, manajemen risiko mendefinisikan tanggung jawab, wewenang, hubungan antar personil yang terlibat dan melakukan verifikasi pekerjaan yang terkait dengan manajemen risiko dimana harus didefinisikan dan didokumentasikan. Organisasi harus

29 16 mengidentifikasi kebutuhan sumber daya dan memfasilitasi pelaksanaan program manajemen risiko tersebut melalui penugasan personil terlatih dalam kegiatan manajemen yang sedang berlangsung dan melakukan verifikasi untuk review internal. 2.5 Metode Penelitian Manajemen Risiko Keamanan Informasi Dalam sub bab ini akan dibahas mengenai beberapa metode yang umum digunakan dalam perencanaan manajemen keamanan informasi yaitu antara lain: ISO Merupakan standar yang dibuat oleh ISO (The International Organization for Standardization) dan IEC (The International Electrotechnical Commission), kedua badan tersebut sejak tahun 2005 mengembangkan sejumlah standardisasi di seluruh dunia yang salah satunya mengembangkan sejumlah standar tentang Information Security Management Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan. Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO yang terdiri dari: ISO/IEC 27000:2009 tentang ISMS Overview and Vocabulary; ISO/IEC 27001:2005 tentang ISMS Requirement; ISO/IEC 27002:2005 tentang Code of Practice for ISMS; ISO/IEC 27003:2010 tentang ISMS Implementation Guidance; ISO/IEC 27004:2009 tentang ISMS Measurements; ISO/IEC 27005:2008 tentang Information Security Risk Management; ISO/IEC 27006: 2007 tentang ISMS Certification Body Requirements; ISO/IEC tentang Guidelines for ISMS Auditing. Menurut ISO (2008), ISO memberikan pedoman manajemen risiko keamanan informasi dan dirancang untuk membantu pelaksaanaan proses keamanan informasi berdasarkan pendekatan manajemen risiko. Standar ini berlaku pada semua jenis organisasi misalnya perusahaan komersial, instansi

30 17 pemerintah maupun organisasi non-profit yang berniat untuk mengelola risiko yang dapat membahayakan keamanan informasi organisasi. Suatu pendekatan sistematis terhadap manajemen risiko keamanan informasi diperlukan untuk mengidentifikasi kebutuhan organisasi mengenai persyaratan keamanan informasi dan menciptakan sistem manajemen keamanan informasi yang efektif. Pendekatan ini harus sesuai untuk lingkungan organisasi dan khususnya harus diselaraskan dengan manajemen risiko perusahaan secara keseluruhan. Upaya keamanan harus menangani risiko secara efektif dan tepat waktu dimana dan kapan mereka dibutuhkan. SMKI harus menjadi bagian integral dari semua kegiatan manajemen keamanan informasi dan harus diterapkan baik untuk pelaksanaan dan operasi yang sedang berlangsung. Manajemen risiko keamanan informasi harus menjadi proses yang berkelanjutan. Proses ini harus menetapkan konteks, menilai risiko dan penanganan risiko menggunakan rencana penanganan untuk melaksanakan rekomendasi dan keputusan. Manajemen risiko menganalisis apa yang bisa terjadi dan konsekuensi apa yang ditimbulkan, sebelum memutuskan apa yang harus dilakukan dan kapan untuk mengurangi risiko ke tingkat yang dapat diterima. Manajemen risiko keamanan informasi harus berkontribusi pada hal-hal berikut: Risiko yang diidentifikasi; Risiko yang dinilai dalam hal konsekuensi bisnis dan kemungkinan terjadinya risiko tersebut; Kemungkinan dan konsekuensi risiko dikomunikasikan dan dipahami; Urutan prioritas perlakuan resiko; Prioritas tindakan untuk mengurangi risiko yang terjadi; Para pemangku kepentingan terlibat ketika keputusan manajemen risiko dibuat dan selalu diinformasikan mengenai status manajemen risiko; Efektivitas pemantauan perlakuan risiko; Risiko dan proses manajemen risiko dipantau dan dikaji secara berkala; Informasi ditangkap untuk meningkatkan pendekatan manajemen risiko;

31 18 Manajer dan staf dididik tentang risiko dan tindakan yang diambil untuk menanggulanginya. Proses manajemen risiko keamanan informasi dapat diterapkan pada organisasi secara keseluruhan, setiap bagian dari organisasi, setiap sistem informasi, aspek yang ada atau yang direncanakan maupun untuk kontrol tertentu. Adapun gambaran tentang proses manajemen risiko keamanan informasi dapat dilihat pada Gambar 2.2: Gambar 2.2 Proses Manajemen Risiko ISO Sumber: ISO 27005:2008 Seperti yang digambarkan pada Gambar 2.2 bahwa proses manajemen risiko keamanan informasi dapat berulang untuk penilaian risiko dan/atau kegiatan penanganan risiko. Pendekatan iteratif untuk melakukan penilaian risiko dapat meningkatkan kedalaman dan rincian dari penilaian pada setiap iterasi. Pendekatan berulang itu memberikan keseimbangan yang baik antara meminimalkan waktu dan usaha yang dihabiskan dalam mengidentifikasi kontrol.

32 19 Adapun langkah dalam proses manajemen risiko keamanan informasi adalah sebagai berikut: a. Penetapan konteks Menerangkan konteks manajemen risiko keamanan informasi harus ditetapkan dimana melibatkan penetapan kriteria dasar yang diperlukan untuk manajemen risiko keamanan informasi, mendefinisikan ruang lingkup maupun batasan dan membentuk sebuah organisasi yang layak menjalankan manajemen risiko keamanan informasi. b. Penilaian risiko kemanan informasi Mengukur atau menggambarkan secara kualitatif suatu risiko dan memungkinkan manajer untuk memprioritaskan risiko sesuai dengan keseriusan yang dirasakan atau kriteria lain yang telah ditetapkan. Penilaian risiko memuat kegiatan analisis risiko yang terdiri dari identifikasi risiko, estimasi risiko dan evaluasi risiko. c. Penanganan risiko keamanan informasi Kontrol untuk mengurangi, mempertahankan, menghindari atau mentransfer risiko yang harus dipilih dan rencana penanganan ditetapkan. Opsi penanganan risiko harus dipilih berdasarkan pada hasil penilaian risiko, biaya yang dikeluarkan dan manfaat yang diharapkan dari penerapan opsi tersebut. Proses tersebut dapat dijelaskan pada Gambar 2.3:

33 20 Gambar 2.3 Proses Penanganan Risiko Sumber: ISO 27005:2008 Untuk mengurangi risiko maka harus menyusun rekomendasi kontrol yang bersumber pada ISO yang berisi tentang kode praktis dalam pengendalian keamanan informasi. Dalam ISO terdapat 12 kategori utama pengelolaan keamanan informasi yaitu antara lain: Kebijakan Keamanan; Organisasi Keamanan Informasi; Pengelolaan Aset; Keamanan Sumber Daya Manusia; Keamanan Lingkungan dan Fisik; Pengelolaan Operasi dan Komunikasi; Kontrol Akses; Pemeliharaan, Pengembangan dan Penerimaan Sistem Informasi; Pengelolaan Insiden Sistem Informasi;

34 21 Pengelolaan Kelangsungan Bisnis; Kepatuhan. d. Penerimaan risiko keamanan informasi Keputusan untuk menerima risiko dan tanggung jawab terhadap keputusan harus dibuat dan secara resmi dicatat. Dalam beberapa kasus level risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku. Sebagai contoh, dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko sangatlah menarik atau karena biaya pengurangan risiko terlalu tinggi. Keadaan seperti itu menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan. e. Komunikasi risiko keamanan informasi Kegiatan untuk mencapai kesepakatan tentang bagaimana untuk mengelola risiko dengan bertukar dan/atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya. Komunikasi risiko harus dilaksanakan untuk mencapai hal-hal berikut: Untuk memberikan jaminan hasil manajemen risiko organisasi; Untuk mengumpulkan informasi risiko; Untuk membagi hasil dari penilaian risiko dan menyampaikan rencana penanganan risiko; Untuk menghindari atau mengurangi baik terjadinya maupun konsekuensi dari pelanggaran keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan; Untuk mendukung pengambilan keputusan; Untuk mendapatkan pengetahuan baru tentang keamanan informasi; Untuk bekerja sama dengan pihak lain dan merencanakan tanggapan untuk mengurangi konsekuensi dari kejadian apapun; Untuk memberikan rasa tanggung jawab tentang risiko pada para pembuat keputusan dan pemangku kepentingan; Untuk meningkatkan kesadaran.

35 22 f. Pemantauan dan peninjauan risiko keamanan informasi Resiko tidak statis. Ancaman, kerentanan, kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa ada indikasi. Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini. Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman atau kerentanan baru. Organisasi harus memastikan bahwa hal-hal berikut ini terus dipantau: Aset baru yang telah dimasukkan dalam lingkup manajemen risiko; Modifikasi diperlukan terhadap nilai aset, misalnya karena perubahan kebutuhan bisnis; Ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum dinilai; Kemungkinan bahwa kerentanan baru atau yang meningkat dapat memungkinkan ancaman untuk mengeksploitasi kerentanan baru atau berubah; Mengidentifikasi kerentanan untuk menentukan mereka yang terekspos sehingga menjadi ancaman baru atau yang muncul kembali; Peningkatan dampak atau konsekuensi dari ancaman, kerentanan dan risiko yang telah dinilai dalam pengumpulan menghasilkan level risiko yang tidak dapat diterima; Insiden keamanan informasi. Dalam proses Manajemen Risiko Keamanan Informasi (MRKI) terdapat keselarasan dengan sistem manajemen keamanan informasi (SMKI) yang dapat dijelaskan pada Tabel 2.2:

36 23 Tabel 2.2 Keselarasan antara proses SMKI dengan proses MRKI Proses SMKI Plan (Perencanaan) Do (Implementasi) Check (Pemeriksaan) Act (Tindakan) Proses Manajemen Risiko Keamanan Informasi (MRKI) Menetapkan konteks Penilaian risiko Mengembangkan rencana penanganan risiko Penerimaan risiko Penerapan rencana penanganan risiko Pemantauan dan peninjauan berkala terhadap risiko Meningkatkan dan memelihara proses manajemen risiko keamanan informasi Sumber: ISO 27005:2008 Pada Tabel 2.2 diatas menerangkan bahwa proses menetapkan konteks, penilaian risiko, mengembangkan rencanan penanganan risiko dan penerimaan risiko di Manajemen Risiko Keamanan Informasi selaras dengan proses perencanaan di Sistem Manajemen Keamanan Informasi dikarenakan dalam keseluruhan proses tersebut terdapat kebijakan dan prosedur yang digunakan untuk meningkatkan keamanan informasi NIST SP Merupakan rekomendasi dari NIST (National Institute of Standard and Technology ) melalui publikasi khusus yang berisi tentang Risk Management Guide for Information Technology System. Menurut NIST (2002), terdapat tiga proses dalam melakukan manajemen risiko yang dapat dilihat pada Gambar 2.4:

37 24 Risk Assesment Risk Evaluation Risk Mitigation Gambar 2.4 Proses Manajemen Risiko NIST Pada Gambar 2.4 dapat dijelaskan bahwa terdapat tiga proses dalam melakukan manajemen risiko keamanan informasi yaitu: a. Risk Assesment Adalah proses pertama dalam metodologi manajemen risiko. Organisasi menggunakan penilaian risiko untuk menentukan sejauh mana potensi ancaman dan risiko yang terkait dengan sistem TI. Hasil dari proses ini membantu untuk mengidentifikasi pengendalian yang tepat untuk mengurangi atau menghilangkan risiko selama proses mitigasi risiko. Dalam proses ini terdapat sembilan langkah penilaian risiko antara lain: Mengetahui karakteristik dari sistem TI : Hardware, software, sistem antarmuka (koneksi internal atau eksternal), data dan informasi, orang yang mendukung atau menggunakan sistem, tujuan dari sistem, data kritis dan sensitifitas data; Melakukan identifikasi terhadap ancaman yang dapat menyerang kelemahan sistem TI. Proses ini terdiri dari identifikasi sumber ancaman dan identifikasi motifikasi serta aksi ancaman; Identifikasi kerawanan (vulnerability). Tujuan dari proses ini adalah mengembangkan daftar kerawanan dari sistem yang dapat dieksploitasi sumber ancaman;

38 25 Melakukan analisis kontrol. Tujuan dari proses ini adalah untuk melakukan analisis terhadap kontrol yang sudah diimplementasikan dan atau kontrol yang direncanakan untuk diimplementasikan ; Menetapkan kecenderungan (likelihood) yang dipengaruhi oleh kemampuan dan motivasi sumber ancaman, sifat kerawanan dan efektifitas dari kontrol yang telah digunakan; Analisa terhadap dampak yang dihasilkan dari suksesnya ancaman seperti loss of integrity, loss of availability, dan loss of confidentiality. Beberapa dampak yang nyata dapat diukur secara kuantitatif dalam kehilangan pendapatan, biaya perbaikan sistem, atau tingkat usaha yang dibutuhkan untuk memperbaiki masalah yang disebabkan oleh tindakan ancaman yang sukses. Dampak lainnya (hilangnya kepercayaan masyarakat, kehilangan kredibilitas, kerusakan kepentingan organisasi) tidak dapat diukur dalam satuan tertentu tetapi dapat memenuhi syarat atau dijelaskan dalam hal tinggi, sedang, dan dampak yang rendah. Melakukan penilaian level risiko dari sistem TI dengan mengembangkan matrik level dan risiko skala risiko; Rekomendasi kontrol dengan tujuan untuk mengurangi level risiko sistem TI sehingga mencapai level dapat diterima; Dokumentasi hasil yang berisi laporan penilaian risiko yang menjelaskan ancaman dan kerawanan, pengukuran risiko dan menyediakan rekomendasi implementasi kontrol. b. Proses Pengurangan Resiko (Risk Mitigation) Merupakan langkah kedua dalam proses manajemen risiko. Proses ini terdiri dari beberapa langkah antara lain: Menentukan aksi prioritas berdasarkan level resiko dari hasil penilaian resiko, implementasi dari aksi yang diprioritaskan. Hasil dari langkah pertama ini adalah ranking tindakan mulai dari tinggi hingga rendah; Melakukan evaluasi terhadap pilihan kontrol yang direkomendasikan. Kelayakan dan efektifitas dari pilihan kontrol yang direkomendasikan dianalisis dengan tujuan untuk meminimalkan risiko. Hasilnya adalah susunan daftar kontrol yang layak;

39 26 Menyusun cost-benefit analysis. Hasilnya adalah penjelasan biaya dan manfaat jika organisasi mengimplementasikan atau tidak mengimplementasikan kontrol tersebut; Memilih kontrol berdasarkan hasil dari cost-benefit analysis dimana manajemen menentukan kontrol dengan biaya paling efektif untuk mengurangi risiko terhadap misi organisasi. Hasilnya adalah daftar kontrol yang dipilih; Memberikan tanggung jawab. Menentukan personil yang sesuai yang memiliki keahlian dan ketrampilan ditugaskan untuk mengimplementasikan pemilihan kontrol yang telah diidentifikasi dan bertanggung jawab terhadap apa yang sudah ditugaskan. Hasilnya adalah daftar tanggung jawab personal; Mengembangkan rencana implementasi keamanan yang mempunyai informasi terhadap risiko, rekomendasi kontrol, prioritas aksi, kontrol, daftar tanggung jawab dan implementasi; Implementasikan kontrol. Hasilnya adalah risiko residual. c. Proses Evaluasi Risiko (Risk Evaluation) Bagian ini menekankan praktek yang baik, kebutuhan untuk penilaian dan evaluasi risiko yang sedang berlangsung dan faktor-faktor yang akan mengarah pada kesuksesan program manajemen risiko OCTAVE Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) yang dikembangkan Software Engineering Institute, Carnegie Mellon University. Menurut SEI (2011) bahwa metode manajemen risiko di dalam Octave dapat dilihat pada Gambar 2.5:

40 27 Gambar 2.5 Proses Manajemen Risiko OCTAVE Sumber: Octave Catalog of Practise:2001 Pada Gambar 2.5 menggambarkan tiga langkah dalam melakukan metode manajemen risiko Octave yang terdiri dari: a. Membangun profil ancaman berdasarkan aset Fase ini adalah evaluasi dari sebuah organisasi. Tim analisis menentukan aset mana yang paling penting untuk organisasi (aset kritis) dan melakukan identifikasi apa yang telah dilakukan untuk melindungi aset-aset tersebut. Survei berdasarkan katalog penerapan yang digunakan untuk memperoleh informasi dari personil organisasi tentang apa saja yang sudah dilakukan dengan memperhatikan penerapan keamanan. Proses yang dilakukan antara lain: Proses 1: Identifikasi pengetahuan manajemen senior. Manajer senior yang terpilih mengidentifikasi aset penting, ancaman yang dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan kerentanan organisasi; Proses 2: Identifikasi pengetahuan manajemen area operasional. Manajer Operasional yang terpilih mengidentifikasi aset penting, ancaman yang

41 28 dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan kerentanan organisasi; Proses 3: Identifikasi pengetahuan staf. Pegawai staf TI dan di luar TI mengidentifikasi aset penting, ancaman yang dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan kerentanan organisasi; Proses 4: Membuat Profil Ancaman. Tim analisis menganalisis informasi dari Proses 1 sampai 3, memilih aset kritis, memperbaiki persyaratan keamanan terkait dengan aset tersebut, mengidentifikasi ancaman terhadap aset kritis dan membuat profil ancaman. b. Melakukan identifikasi kerawanan infrastruktur Fase ini adalah evaluasi dari infrastruktur informasi. Tim analisis mengkaji kunci komponen operasional untuk mencari kelemahan (kerentanan teknologi) yang dapat menyebabkan tindakan yang tidak terotorisasi terhadap aset kritis. Proses yang dilakukan dalam fase ini antara lain: Proses 5: Identifikasi Komponen Kunci - Tim analisis mengidentifikasi informasi kunci sistem dan komponen teknologi untuk setiap aset kritis. Kasus tertentu kemudian dipilih untuk evaluasi; Proses 6: Evaluasi Komponen Terpilih - Tim analisis mengkaji sistem dan komponen kunci untuk kelemahan teknologi. Hasilnya diperiksa dan diringkas kemudian mencari relevansi untuk aset kritis dan profil ancaman. c. Mengembangkan rencana dan strategi keamanan Dalam tahap evaluasi ini, tim analisis mengidentifikasi risiko terhadap aset kritis organisasi dan memutuskan cara untuk mengatasi risiko. Proses pada tahap ini antara lain: Proses 7: Melakukan Analisis Risiko - Tim analisis mengidentifikasi dampak ancaman terhadap aset penting untuk menentukan risiko, mengembangkan kriteria untuk mengevaluasi risiko-risiko, dan mengevaluasi dampak risiko berdasarkan kriteria tersebut. Ini menghasilkan profil risiko untuk setiap aset kritis; Proses 8: Mengembangkan Strategi Perlindungan - Tim analisis menciptakan strategi perlindungan organisasi dan mitigasi rencana untuk

42 29 aset kritis, berdasarkan analisis informasi yang dikumpulkan. Manajer senior kemudian meninjau, memperbaiki, dan menyetujui strategi dan rencana; 2.6 Perbandingan Metode Perancangan Manajemen Risiko Dari pembahasan ketiga metode perencanaan manajemen risiko keamanan informasi seperti dibahas pada sub bab 2.4, maka dapat dilakukan perbandingan dari karakteristik pada masing-masing metode perencanaan manajemen risiko keamanan informasi untuk selanjutnya digunakan sebagai pertimbangan dan panduan dalam metodologi penelitian. Adapun kriteria dan perbedaan dari metode perencanaan manajemen risiko keamanan informasi adalah seperti yang ditunjukkan pada Tabel 2.3: Tabel 2.3 Perbandingan metode manajemen risiko keamanan informasi No Metodologi NIST SP OCTAVE ISO Vendor National Institute for Standard and Technology (NIST) Carnegie Mellon University, Software Engineering Institute (SEI) International Standard Organization (ISO) 2 Risk Metodologi 3 Target Organisasi 4 Target Level Organisasi Memberikan panduan dan identifikasi yang rinci (checklist, grafis dan rumus matematika) dalam manajemen dan penilaian risiko keamanan informasi. Pemerintahan Perusahaan besar Small Medium Enterprise (SME) Teknikal Operasional Bersifat selfdirected, yang berarti bahwa personel dalam organisasi bertanggung jawab untuk menetapkan strategi keamanan organisasi. Small Medium Enterprise (SME) Manajemen Operasional Menjelaskan dengan lengkap proses manajemen risiko keamanan informasi Masih berkaitan dengan ISO dan ISO Terdapat kriteria unit dan ruang lingkup dalam penetapan konteks manajemen risiko keamanan informasi Pemerintahan Perusahaan besar Small Medium Enterprise (SME) Manajemen Operasional Sumber: The European Union Agency for Network and Information Security: 2014

43 Penelitian Sejenis Sebelumnya Sebagai bahan pertimbangan dan rujukan dalam penyusunan penelitian yang disusun, penulis telah menemukan beberapa penelitian sejenis sebelumnya yang mengambil topik yang berkaitan dengan perencanaan manajemen risiko keamanan informasi. Berikut pembahasan mengenai penelitian tersebut: a. Perancangan Manajemen Resiko Sistem Informasi di Instansi Pemerintah: Studi Kasus Direktorat Jenderal Perkeretaapian oleh Ary Lundi Ayu Oktrada tahun Dalam penelitian ini menggunakan metodologi NIST dikarenakan standar tersebut sudah banyak digunakan di pemerintahan. Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut: Identifikasi sistem informasi; Pemilihan sistem informasi; Penyusunan perencanaan manajemen risiko TI. Keluaran yang dihasilkan adalah daftar kontrol yang digunakan untuk mengurangi risiko. Kekurangan dari penelitian ini adalah pada proses penilaian risiko dimana penentuan kecenderungan kurang lengkap dan kuantifikasi dampak serta analisis biaya kurang terperinci. b. Manajemen Resiko Sistem Informasi: Studi Kasus Pusat Komunikasi Kementerian Luar Negeri oleh Feradhian Prasastie tahun Dalam penelitian ini menggunakan metodologi NIST dikarenakan standar tersebut tepat untuk diimplementasikan di lingkungan pemerintahan. Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut: Perumusan masalah; Studi literatur; Pengumpulan data; Penilaian risiko; Prioritas tindakan; Evaluasi kontrol; Analisis biaya dan manfaat; Pemilihan kontrol.

44 31 Keluaran yang dihasilkan adalah kontrol yang digunakan untuk mengurangi risiko yang ada dilengkapi dengan analisis biaya. Kekurangan dari penelitian ini adalah objek penelitian terlalu luas yaitu seluruh sistem informasi dan teknologi informasi di Pusat Komunikasi Kementerian Luar Negeri sehingga penilaian risiko kurang mendalam dan tidak adanya strategi penanganan risiko dimana disusun rekomendasi kontrol untuk semua risiko yang sudah dievaluasi. c. Evaluasi Manajemen Risiko Keamanan Informasi Sistem Provisionong Gateway Telkom Flexy oleh Ega Lestaria Sukma tahun 2011 Penelitian ini menggunakan metodologi ISO dan ISO dikarenakan memiliki kontrol objektif yang lengkap. Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut: Perencanaan; Pengumpulan data; Analisis; Penyelesaian. Keluaran yang dihasilkan adalah evaluasi risiko dan penyusunan prosedur keamanan informasi pada sistem provisioning gateway Telkom Flexi. Kekurangan dari penelitian ini adalah tidak adanya definisi kriteria penanganan risiko sehingga keputusan untuk menerima risiko kurang jelas. 2.8 Kerangka Pemikiran (Theoritical Framework) Adapun kerangka pemikiran dari penelitian ini dapat dilihat pada Gambar 2.6:

45 32 Kondisi Organisasi saat ini PMK No 191/PMK.09/2008 KMK No 479/KMK.01/2010 Perencanaan Manajemen Risiko Keamanan Informasi Penentuan konteks Penilaian Risiko NIST ISO Penanganan Risiko Penerimaan Risiko Rancangan Pengendalian Keamanan Informasi Analisis Kebutuhan Kontrol ISO Analisis Biaya dan Manfaat Rekomendasi Kontrol Gambar 2.6 Kerangka Pemikiran Pada Gambar 2.6 dapat dijelaskan bahwa proses perencanaan manajemen risiko keamanan informasi di Direktorat Jenderal Kekayaan Negara Kementerian Keuangan dipengaruhi oleh: a. Kondisi organisasi saat ini yang diperoleh dari pengumpulan data baik data primer maupun data sekunder; b. Adanya PMK No. 191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Kementerian Keuangan yang mengamanatkan agar tiap eselon I menerapkan dan mengembangkan Manajemen Risiko di lingkungan masingmasing. KMK No. 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan yang mengamanatkan agar tiap eselon I melakukan pengendalian terhadap keamanan informasi dan menerapkan serta mengembangkan manajemen risiko keamanan informasi; c. Metode manajemen risiko keamanan informasi ISO dikarenakan memberikan panduan perencanaan manajemen risiko yang secara khusus dan lebih komprehensif dalam melakukan assesment terkait keamanan informasi serta memiliki alur kerangka kerja (framework) yang sama dengan manajemen risiko yang tertuang dalam PMK No. 191/PMK.09/2008;

46 33 d. Kode penerapan manajemen keamanan informai ISO dikarenakan telah menjadi kerangka pemikiran pada KMK No. 479/KMK.01/2010 dan memiliki panduan yang lengkap terkait pengendalian keamanan informasi. e. NIST digunakan untuk melakukan penilaian matriks risiko dikarenakan terdapat identifikasi yang rinci (checklist, grafis dan rumus matematika) dalam penilaian risiko keamanan informasi dan mempunyai format matriks yang sama dengan penilaian risiko di PMK No. 191/PMK.09/2008.

47 34 BAB III METODOLOGI PENELITIAN Pada bab ini membahas mengenai tahapan penelitian yang harus dilakukan untuk melakukan perencanaan manajemen risiko keamanan informasi. 3.1 Alur Penelitian Merupakan urutan proses penelitian yang harus dilakukan dari awal sampai akhir yang dapat dilihat pada Gambar 3.1: Gambar 3.1 Metodologi Penelitian

48 35 Pada Gambar 3.1 diatas dapat dijelaskan mengenai alur penelitian yang terdiri dari beberapa tahap antara lain: a. Merumuskan masalah terhadap berbagai permasalahan yang telah ditemukan yang didapat dari kondisi organisasi saat ini. Pada tahap ini menghasilkan fishbone analysis yang menyebutkan permasalahan utama dan penyebab dari permasalahan tersebut; b. Melakukan studi literatur terhadap teori dan metode yang berhubungan dengan penelitian serta referensi dari penelitian sejenis sebelumnya bersarkan pertanyaan penelitian. Pada tahap ini menghasilkan kerangka pemikiran yang akan disusun dalam penelitian; c. Mengumpulkan data baik data primer maupun sekunder sehingga menghasilkan dokumentasi pendukung sebagai bahan penyusunan penelitian; d. Menetapkan kriteria dan ruang lingkup perencanaan manajemen risiko sehingga menghasilkan penetapan konteks manajemen risiko; e. Melakukan penilaian risiko berdasarkan dokumentasi data dan aset sehingga menghasilkan dokumen evaluasi risiko; f. Melakukan penanganan risiko berdasarkan prioritas risiko yang telah dipilih dan menghasilkan dokumen rencana penanganan risiko; g. Melakukan pengendalian dan penerimaan keamanan informasi sesuai dengan cost benefit analysis sehingga menghasilkan dokumen rencana pengendalian dan penerimaan keamanan informasi. 3.2 Metode Pengumpulan Data Pada penelitian ini menggunakan data primer dan sekunder yang mempunyai pengertian sebagai berikut: a. Data primer: merupakan data yang diperoleh dari sumber asli dengan menggunakan teknik tertentu, dengan cara melakukan wawancara dengan pihak yang terkait dengan penelitian, baik pimpinan unit TI di DJKN maupun pihak yang melakukan implementasi dan pengembangan TIK di DJKN. Observasi ke lapangan untuk melakukan pengamatan kondisi bisnis dan SI/TI yang terjadi dalam organisasi;

49 36 b. Data sekunder: merupakan data yang secara tidak langsung diperoleh melalui sumber asli. Data ini diperoleh dari dokumen yang berkaitan dengan penelitian. 3.3 Metode Analisis Data Setelah mendapatkan data yang dibutuhkan maka dilakukan analisis data yaitu antara lain: a. Analisis perencanaan manajemen risiko keamanan informasi menggunakan metode ISO 27005; b. Analisis pengendalian keamanan informasi menggunakan ISO

50 37 BAB IV PROFIL ORGANISASI Pada bab ini menjelaskan tentang sejarah singkat berdirinya DJKN sebagai unit eselon I Kementerian Keuangan, menjabarkan tentang visi, misi dan tugas pokok yang dimiliki DJKN, sasaran strategis yang dilakukan dalam mencapai tujuan yang diharapkan serta struktur organisasi yang ada dalam mendukung kinerja organisasi. 4.1 Sejarah Singkat DJKN Direktorat Jenderal Kekayaan Negara (DJKN) merupakan salah satu unit Eselon I pada Kementerian Keuangan. Direktorat Jenderal Kekayaan Negara dibentuk ketika terjadi penataan organisasi di lingkungan Departemen Keuangan pada tahun 2006 dimana fungsi Pengurusan Piutang Negara dan Pelayanan Lelang di Direktorat Jenderal Piutang dan Lelang Negara (DJPLN) digabung dengan fungsi Pengelolaan Kekayaan Negara Direktorat Pengelolaan Barang Milik/Kekayaan Negara (PBM/KN) di Direktorat Jenderal Perbendaharaan (DJPB), sehingga Direktorat Jenderal Piutang dan Lelang Negara (DJPLN) berubah menjadi Direktorat Jenderal Kekayaan Negara (DJKN) berdasarkan Peraturan Presiden Nomor 66 Tahun 2006 tentang Perubahan Keempat atas Peraturan Presiden Nomor 10 Tahun 2005 tentang Unit Organisasi dan Tugas Eselon I Kementerian Republik Indonesia. Hal ini merupakan salah satu hasil Reformasi Birokasi yaitu dalam hal penyatuan fungsi-fungsi yang sejenis ke dalam satu unit Eselon I. Direktorat Jenderal Kekayaan Negara beralamat di Gedung Syafruddin Prawiranegara II Jl. Lapangan Banteng Timur 2-4 Jakarta Pusat, Jumlah pegawai sekitar 3000 orang yang tersebar di kantor pusat, kantor wilayah dan kantor operasional di seluruh Indonesia.

51 Visi, Misi dan Tugas Organisasi Direktorat Jenderal Kekayaan Negara mempunyai tugas merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara, piutang negara, dan lelang. Dalam melaksanakan tugas yang dibebankan kepada Direktorat Jenderal Kekayaan Negara, maka ditetapkan visi DJKN, yaitu: Menjadi Pengelola Kekayaan Negara, Piutang Negara dan Lelang yang profesional dan bertanggung jawab untuk sebesar-besar kemakmuran rakyat. Profesional adalah bahwa tugas-tugas pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelayanan lelang dilaksanakan sesuai standar profesi dan standar keilmuan yang telah ditetapkan. Bertanggung jawab adalah bahwa pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelaksanaan lelang dilakukan secara transparan dan dapat dipertanggungjawabkan sesuai dengan ketentuan peraturan perundangundangan yang berlaku. Untuk sebesar-besar kemakmuran rakyat, merupakan cita-cita dan arah dari tujuan akhir pengelolaan kekayaan negara sesuai dengan jiwa Pasal 33 Undang-Undang Dasar Republik Indonesia tahun Untuk merealisasikan visi yang telah ditetapkan, maka Direktorat Jenderal Kekayaan Negara menetapkan misi antara lain: 1. Mewujudkan optimalisasi penerimaan, efisiensi pengeluaran dan efektivitas pengelolaan kekayaan negara; 2. Mengamankan kekayaan negara secara fisik, administrasi dan hukum; 3. Mewujudkan nilai kekayaan negara yang wajar dan dapat dijadikan acuan dalam berbagai keperluan; 4. Melaksanakan pengurusan piutang negara yang efektif, efisien, transparan dan akuntabel; 5. Mewujudkan lelang yang efektif, efisien, transparan, akuntabel, adil dan kompetitif sebagai instrumen jual beli yang mampu mengakomodasi kepentingan masyarakat.

52 39 Direktorat Jenderal Kekayaan Negara mempunyai tugas merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara, piutang negara, dan lelang. 4.3 Sasaran Strategis Organisasi Sasaran Strategis Direktorat Jenderal Kekayaan Negara yang terdapat dalam Rencana Strategis (Renstra) DJKN tahun antara lain: 1. Menyusun dan menyempurnakan peraturan perundang-undangan di bidang pengelolaan kekayaan negara, penilaian kekayaan negara, pengurusan piutang negara, dan lelang; 2. Menatausahakan kekayaan negara, piutang negara, dan lelang dengan akurat dan akuntabel; 3. Meningkatkan pengamanan kekayaan negara baik secara administrasi, fisik dan tertib hukum; 4. Mengintegrasikan perencanaan kebutuhan Barang Milik Negara (BMN) dengan penganggaran; 5. Meningkatkan kualitas pelayanan pengelolaan kekayaan negara, penilaian, pengurusan piutang negara, dan lelang; 6. Mengoptimalkan pengelolaan kekayaan negara termasuk aset idle dan pengurusan piutang negara; 7. Meningkatkan penerimaan kembali (recovery) yang berasal dari pengeluaran pembiayaan APBN dan Penerimaan Negara Bukan Pajak (PNBP); 8. Meningkatkan kesadaran (awareness) dan kemitraan dengan stakeholder dalam pengelolaan kekayaan negara, penilaian, pengurusan piutang negara, dan lelang; 9. Meningkatkan monitoring dan evaluasi kinerja pelaksanaan pengelolaan kekayaan negara, pengurusan piutang negara, dan lelang; 10.Meningkatkan kualitas sumber daya manusia (SDM), Organisasi, Teknologi Informasi dan Komunikasi (TIK), dan Pengelolaan Anggaran.

53 Struktur Organisasi Struktur organisasi di DJKN terdiri dari Kantor Pusat, Kantor Wilayah dan Kantor Pelayanan Kekayaan Negara dan Lelang (KPKNL) yang dapat dilihat pada Gambar 4.1: a. Kantor Pusat Gambar 4.1 Struktur organisasi kantor pusat Pada Gambar 4.1 dapat dilihat struktur organisasi yang dimiliki oleh DJKN yang dipimpin oleh Direktur Jenderal. Unit kerja Kantor Pusat DJKN terdiri dari 8 unit eselon II. Selain unit Kantor Pusat, DJKN juga mempunyai unit kerja vertikal yang tersebar di seluruh Indonesia, yang terdiri dari 17 Kantor Wilayah dan 70 KPKNL. b. Kantor Wilayah Gambar 4.2 Struktur organisasi kantor wilayah Pada Gambar 4.2 dapat dilihat struktur organisasi pada kantor wilayah dipimpin oleh Kepala Kanwil. Unit kerja kantor wilayah terdiri dari 6 unit eselon III, yaitu: Bagian Umum, Bidang Pengelolaan Kekayaan Negara,

54 41 Bidang Penilaian, Bidang Piutang Negara, Bidang Lelang dan Bidang Hukum dan Informasi. c. Kantor Pelayanan Kekayaan Negara dan Lelang (KPKNL) Gambar 4.3 Struktur organisasi KPKNL Pada Gambar 4.3 dapat dilihat struktur organisasi pada KPKNL yang dipimpin oleh Kepala Kantor. Unit kerja KPKNL terdiri dari 7 unit eselon IV, yaitu: Sub bagian Umum, Seksi Pengelolaan Kekayaan Negara, Seksi Pelayanan Penilaian, Seksi Piutang Negara, Seksi Pelayanan Lelang, Seksi Hukum dan Informasi serta Seksi Kepatuhan Internal. 4.5 Rincian tugas tiap Direktorat Berdasarkan PMK No.184/PMK.01/2010 tentang Organisasi dan Tata Kerja Kementerian Keuangan dan PMK No.170/PMK.01/2012 tentang Organisasi dan Tata Kerja Instansi Vertikal di Direktorat Jenderal Kekayaan Negara, maka dapat dijelaskan tugas untuk tiap unit kerja di DJKN pada Tabel 4.1:

55 42 Tabel 4.1 Rincian tugas tiap Direktorat No. Direktorat Tugas 1. Sekretariat Melaksanakan koordinasi pelaksanaan tugas serta pembinaan dan pemberian dukungan administrasi kepada semua unsur di lingkungan direktorat jenderal. 2. Barang Milik Negara Merumuskan serta melaksanakan kebijakan dan (BMN) 3. Kekayaan Negara Dipisahkan (KND) standardisasi teknis di bidang barang milik negara. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara dipisahkan. 4. Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI) Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang pengelolaan kekayaan negara dan sistem informasi. 5. Penilaian Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang penilaian. 6. Piutang Negara dan Kekayaan Negara Lain-lain (PNKNL) Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang piutang negara dan kekayaan negara lain-lain. 7. Lelang Merumuskan serta melaksanakan kebijakan dan 8. Hukum dan Hubungan Masyarakat standardisasi teknis di bidang lelang. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang hukum dan hubungan masyarakat. 9 Kantor Wilayah melaksanakan koordinasi, bimbingan teknis, pengendalian, evaluasi dan pelaksanaan tugas di bidang kekayaan negara, piutang negara dan lelang. 10 KPKNL melaksanakan pelayanan di bidang kekayaan negara, penilaian, piutang negara dan lelang. 4.6 Penerapan Manajemen Risiko di DJKN Berdasarkan PMK No.191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan bahwa Setiap unit Eselon I di lingkungan Kementerian Keuangan harus menerapkan dan mengembangkan Manajemen Risiko di lingkungan masing-masing dan diwajibkan menyusun laporan profil risiko, penanganan risiko dan monitoring risiko setiap enam bulan sekali. Laporan manajemen risiko DJKN dapat dilihat pada Tabel 4.2 dan Tabel 4.3:

56 43 Tabel 4.2 Laporan Profil Risiko DJKN semester 1 tahun 2014 No Sasaran Strategis Kategori Risiko Deskripsi Risiko Identifikasi Risiko Penyebab Deskripsi Konsekuensi Pengendalian Yang Ada Analisis Risiko Konsekuensi Kemungkinan Level (1) (2) (3) (4) (5) (6) (7) (8) (9) (10) 1 Utilisasi kekayaan negara yang optimal 2 Penerimaan pembiayaan dari aset recovery 3 Penyelesaian BMN Kemenkeu yang bermasalah 4 Pelaksanaan Pelayanan pengelolaan kekayaan negara yang efektif dan efisien Risiko Strategik Risiko Strategik Risiko Strategik Risiko operasional Tidak tercapainya target utilisasi kekayaan negara Tidak tercapainya target jumlah penerimaan kembali yang berasal dari pengeluaran APBN nya persentase penyelesaian BMN Kemenkeu yang bermasalah nya persentase ppermohonan pengelolaan kekayaan negara tepat waktu BMN pada K/L belum seluruhnya diusulkan permohonan pengelolaan BMN Adanya perubahan target HPA dalam APBN-P tidak terselesaikannya penyelesaian BMN Kemenkeu yang bermasalah Peraturan pengelolaan kekayaan negara belum memadai tidak tercapainya realisasi utilisasi kekayaan negara Tidak optimalnya pengurusan aset kredit dan aset properti Tingkat kepercayaan menurun Tingkat kepercayaan menurun Dokumen Utilisasi Peraturan, SOP Peraturan, SOP Peraturan, SOP Tinggi Tinggi Tinggi Tinggi Tinggi 5 Pengelolaan dan pengembangan TIK yang optimal Risiko Operasional tidak terealisasinya pembangunan sistem informasi yang mendukung proses bisnis Peraturan/kebutuhan pengguna belum terdefinisi dengan baik, perancangan sistem informasi belum siap, atau pengadaan sistem informasi terkendala. Tidak tercapainya dukungan sistem informasi terhadap proses bisnis 6 Kepuasan Pengguna Layanan yang tinggi 7 Pelaksanaan anggaran yang optimal 8 Penataan organisasi yang adaptif Risiko Operasional Risiko Operasional Risiko Operasional nya indeks kepuasan pengguna layanan Tidak tercapainya penyerapan DIPA secara optimal Tidak tercapainya penerapan manajemen risiko Banyaknya keluhan (komplain) dari stakeholder internal dan eksternal implementasi kegiatan mengalami perubahan Penerapan manajemen risiko belum optimal Tingkat kepercayaan stake holder menurun Tingkat kepercayaan stake holder menurun Tingkat kepercayaan stake holder menurun Kuesioner Peraturan, SOP Peraturan, SOP

57 44 Tabel 4.3 Laporan Penanganan Risiko DJKN semester 1 tahun 2014 No Risiko Rencana Penanganan Penanganan Risiko Risiko residual yang diharapkan Rincian Penanganan Jadwal Implementasi Penanggung Jawab Konsekuensi Kemungkinan Level (1) (2) (3) (4) (5) (6) (7) (8) (9) 1 Tidak tercapainya target utilisasi kekayaan negara 2 Tidak tercapainya target jumlah penerimaan kembali (recovery) yang berasal dari pengeluaran APBN Mengurangi risiko Menghindari risiko Peningkatan koordinasi dengan K/L yang kurang aktif Tahun 2014 Dirjen KN peningkatan koordinasi dengan kantor operasional dalam rangka pengurusan piutang, lelang aset PPA, BDL, dan BPPN dalam rangka memenuhi perubahan target HPA Tahun 2014 Dirjen KN 3 nya persentase penyelesaian BMN Kemenkeu yang bermasalah Mengurangi risiko koordinasi dengan Setjen Kemenkeu dan pelaksanaan revisi KMK 31/KM.06/2010 tentang pendelegasian wewenang atau rekonsiliasi data dengan Kanwil/KPKNL Tahun 2014 Dirjen KN 4 nya persentase ppermohonan pengelolaan kekayaan negara tepat waktu Mengurangi risiko melakukan evaluasi dan monitoring penyelesaian permohonan pengelolaan kekayaan negara serta pelaksanaan revisi KMK 31/KM.06/2010 tentang pendelegasian wewenang Tahun 2014 Dirjen KN 5 tidak terealisasinya pembangunan sistem informasi yang mendukung proses bisnis Menghindari risiko mendefinisikan peraturan/kebutuhan pengguna dengan baik. Dalam hal peraturan/kebutuhan sistem informasi yang memerlukan pengetahuan teknis yang tidak sederhana, pembangunan sistem informasi diserahkan kepada unit teknis terkait untuk menghindari kesalahan interpretasi. Tahun 2014 Dirjen KN 6 nya indeks kepuasan pengguna layanan 7 Tidak tercapainya penyerapan DIPA secara optimal 8 Tidak tercapainya penerapan manajemen risiko Menghindari risiko Menghindari risiko Menghindari risiko Penyelesaian permohonan pengelolaan kekayaan negara secara tepat waktu rapat koordinasi internal Direktorat terkait evaluasi penyerapan DIPA atau penyusunan disbursement plan rapat koordinasi internal Direktorat dan permintaan masukan atas MR yang telah dibuat Tahun 2014 Dirjen KN Tahun 2014 Dirjen KN rendah Tahun 2014 Dirjen KN

58 45 Pada Tabel 4.2 diatas merupakan laporan profil risiko di DJKN pada awal semeter tahun Laporan tersebut disusun berdasarkan sasaran strategis yang harus dicapai oleh DJKN dimana dibagi menjadi dua jenis risiko yaitu risiko stategis dan risiko operasional. Selanjutnya dilakukan identifikasi risiko yang mungkin terjadi terhadap pencapaian sasaran strategis dengan mengetahui deskripsi, penyebab dan konsekuensi risiko. Melakukan identifikasi terhadap penanganan yang sudah ada dan melakukan analisis risiko sehingga menghasilkan tingkat konsekuensi, tingkat kemungkinan dan level risiko. Pada Tabel 4.3 menjelaskan mengenai rencana dan diskripsi penanganan terhadap risiko yang timbul, menentukan jadwal implementasi, menentukan penanggung jawab penanganan risiko dan menentukan risiko residual yang diharapkan. Dalam hal ini DJKN hanya melaporkan profil risiko dan penanganan risiko dikarenakan DJKN baru menyusun laporan tersebut pada awal semester tahun 2014 sehingga belum terdapat laporan monitoring risiko.

59 46 BAB V ANALISIS DAN PEMBAHASAN Pada bab ini menjelaskan proses perencanaan manajemen risiko keamanan informasi yang dimulai dari penetapan konteks, penilaian risiko sehingga menghasilkan daftar risiko yang diprioritaskan, penanganan risiko dan penerimaan risiko pada Gambar 5.1: Gambar 5.1 Proses Perencanaan Manajemen Risiko Keamanan Informasi

60 47 Pada Gambar 5.1 diatas menggambarkan proses perencanaan manajemen risiko keamanan informasi yang dapat dijelaskan sebagai berikut: 5.1 Penetapan Konteks Sebelum melakukan proses analisis risiko maka harus menentukan dahulu kriteria dasar terkait dengan pengelolaan risiko, ruang lingkup proses perencanaan manajemen risiko keamanan informasi dan organisasi yang layak dalam menjalankan manajemen risiko keamanan informasi di DJKN Kriteria Dasar Pengelolaan Risiko Dalam hal ini terdapat kriteria dalam pengelolaan risiko yang terdiri dari kriteria evaluasi risiko, kriteria dampak dan kriteria penerimaan risiko. Adapun penjelasan setiap kriteria sebagai berikut: a. Kriteria Evaluasi Risiko Berdasarkan ISO bahwa terdapat beberapa macam kriteria evaluasi risiko yang dapat ditentukan dari beberapa faktor antara lain: Nilai strategis dari proses informasi bisnis; Kebutuhan untuk regulasi dan hukum; Tingkat aset informasi yang terlibat; Kepentingan operasional bisnis terkait confidentiality, integrity dan availability; Pengaruh terhadap kepentingan stakeholder; Konsekuensi terhadap reputasi organisasi. Dalam penelitian ini menggunakan faktor kriteria evaluasi risiko yaitu kepentingan operasional bisnis terkait confidentiality, integrity dan availability dan faktor pengaruh terhadap kepentingan stakeholder yang dapat mempengaruhi proses kinerja DJKN, hal ini sesuai dengan tingkat evaluasi risiko yang terdapat di PMK No.191/PMK.09/2008. b. Kriteria Dampak Dalam penelitian ini menggunakan kriteria dampak dan kriteria kecenderungan risiko berdasarkan PMK No.191/PMK.09/2008 tentang

61 48 Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan yaitu pada Tabel 5.1 dan Tabel 5.2: Tabel 5.1Kriteria Dampak Tingkat Dampak PMK No.191/PMK.09/2008 Penelitian Tinggi Pengaruh terhadap strategi dan aktivitas operasi tinggi Pengaruh terhadap kepentingan para stakeholder tinggi Pengaruh terhadap strategi dan aktivitas operasi sedang Pengaruh terhadap kepentingan para stakeholder sedang Pengaruh terhadap strategi dan aktivitas operasi rendah Pengaruh terhadap kepentingan para stakeholder rendah Proses bisnis terhenti dalam jangka waktu lebih dari 12 jam. Adanya informasi rahasia yang tersebar ke pihak yang tidak berwenang Adanya data yang rusak/hilang dan tidak terdapat backup Berdampak lebih dari 20 % jumlah kantor operasional (diatas 20 kantor operasional) Proses bisnis terhenti dalam jangka waktu 3 12 jam. Adanya data yang rusak/hilang namun terdapat backup Berdampak antara 5% - 20% jumlah kantor operasional (beberapa / antara 5-20 kantor operasional) Proses bisnis terhenti kurang dari 3 jam. Berdampak kurang dari 5 % jumlah kantor operasional (sebagian kecil / dibawah 5 kantor operasional) Tingkat Kecenderungan Tinggi Tabel 5.2 Tingkat kecenderungan risiko PMK No.191/PMK.09/2008 Kemungkinan terjadinya tinggi atau hampir pasti terjadi Penelitian Banyaknya permasalahan lebih dari 50 kali dalam setahun Kontrol tidak berjalan efektif Kemungkinan terjadinya sedang Tidak pernah atau jarang terjadi Banyaknya permasalahan antara 5 sampai 50 kali dalam setahun Kontrol dapat mengurangi ancaman Banyaknya permasalahan kurang dari 5 kali dalam setahun Kontrol dapat mengurangi atau mencegah ancaman

62 49 Pada Tabel 5.1 dijelaskan mengenai tingkat dampak yang dapat berpengaruh terdapat strategi dan aktivitas operasi maupun terhadap kepentingan para stakeholder dan Tabel 5.2 menerangkan tingkat kecenderungan terjadinya risiko berdasarkan PMK No.191/PMK.09/2008. Namun keterangan tersebut masih bersifat umum sehingga dalam penelitian ini perlu disusun kriteria yang lebih spesifik dan terukur sehingga memudahkan dalam proses penilaian risiko. Tingkat dampak penelitian bersumber pada hasil wawancara dengan berbagai narasumber yang terkait sedangkan tingkat kecenderungan penelitian bersumber pada Rekap helpdesk TIK dan NIST SP c. Kriteria Penerimaan Risiko Dalam penelitian ini menggunakan kriteria penerimaan risiko dan kriteria risiko yang harus ditransfer berdasarkan PMK No.191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan dapat dilihat pada Tabel 5.3 dan Tabel 5.4: Tabel 5.3 Kriteria penerimaan risiko PMK No.191/PMK.09/2008 Maksimal memiliki tingkat konsekuensi pada level yang telah ditetapkan untuk diretensi sesuai dengan toleransi dan selera risiko instansi yang telah ditetapkan. Terdapat perlindungan hukum yang memadai mencakup regulasi dan atau perjanjian/kontrak; Unit pengambil risiko dan pemilik risiko terkait dapat memastikan dengan tingkat keyakinan diatas 85 % bahwa tidak akan terjadi kegagalan pada orang, proses dan sistem yang ada. Penelitian Selera risiko maksimal memiliki tingkat risiko residual rendah yang terdiri dari tingkat konsekuensi sedang dan tingkat kecenderungan rendah. Terdapat perlindungan hukum yang memadai mencakup regulasi dan atau perjanjian/kontrak; Unit pengambil risiko dan pemilik risiko terkait dapat memastikan dengan tingkat keyakinan diatas 85 % bahwa tidak akan terjadi kegagalan pada orang, proses dan sistem yang ada.

63 50 Tabel 5.4 Kriteria risiko yang harus ditransfer PMK No.191/PMK.09/2008 Risiko-risiko residual dengan tingkat konsekuensi pada level yang tidak dapat diterima sesuai dengan toleransi dan risiko instansi yang dapat diterima. Instansi tidak memiliki sumber daya yang memadai untuk membiayai konsekuensi risiko yang diperkirakan. Penelitian Risiko residual dengan tingkat konsekuensi pada level yang tidak dapat diterima sesuai dengan selera risiko; DJKN tidak memiliki sumber daya yang memadai untuk melakukan pengurangan risiko tersebut. Adapun penentuan selera risiko pada penelitian ini bersumber pada laporan manajemen risiko DJKN semester I tahun 2014 yang dapat dilihat pada Tabel 5.5: Tabel 5.5 Matriks selera risiko Dampak (10) (50) Tinggi (100) Kecenderungan Tinggi (1.0) Mitigate Mitigate Mitigate (0.5) Accept Mitigate Mitigate (0.1) Accept Accept Mitigate Ruang Lingkup Perencanaaan Manajemen Risiko Keamanan Informasi Berdasarkan ISO bahwa organisasi harus menentukan ruang lingkup dan batasan manajemen risiko keamanan informasi. Ruang lingkup dari proses manajemen risiko keamanan informasi perlu ditetapkan untuk memastikan bahwa semua aset yang relevan diperhitungkan dalam penilaian risiko. Berdasarkan PMK No.120/PMK.06/2007 tentang Penatausahaan BMN dan PMK No.96/PMK.06/2007 tentang Tata Cara Pelaksanaan Penggunaan, Pemanfaatan, Penghapusan dan Pemindahtanganan BMN dapat diketahui bahwa proses bisnis utama di DJKN adalah melakukan pengelolaan barang milik negara yang secara

64 51 umum dibagi menjadi 3 tahapan yaitu tahap awalan, tahap utama, dan tahap ikutan dapat dilihat pada Gambar 5.2: Gambar 5.2 Proses bisnis pengelolaan BMN Pada Gambar 5.2 dapat dijelaskan bahwa siklus awalan adalah proses pertama dalam pengelolaan barang milik negara meliputi perecanaan, penganggaran dan pengadaan dimana sampai saat ini masih dikelola oleh Kementerian/Lembaga. Siklus reguler dalam tahap utama memiliki pengertian bahwa setiap barang milik negara yang telah diadakan pasti akan melalui siklus ini artinya setiap barang pasti akan digunakan, diawasi, ditatausahakan, dan sampai dengan tahap dihapuskan. Sebaliknya siklus insidentil ini memiliki makna bahwa hanya barang barang tertentu atau dalam hal hal tertentu saja barang milik negara tersebut akan dimanfaatkan, dipindahtangankan, dinilai, atau bahkan dimusnahkan. kan yang dimaksud dengan siklus ikutan ini adalah suatu tahapan dimana diadakan pelaksanaan lelang atau timbulnya piutang merupakan akibat dari pelaksanaan sebagian siklus utama tersebut. Siklus utama dan ikutan saat ini sudah dikelola oleh Direktorat Jenderal Kekayaan Negara (DJKN). Apabila ditarik dari segi aplikasi, maka pada proses utama menggunakan aplikasi Modul KN sedangkan proses ikutan menggunakan aplikasi Simple. Berdasarkan Blue Print (Cetak Biru) TIK DJKN, bahwa terdapat beberapa sistem aplikasi yang ada di DJKN dalam menunjang kinerja organisasi yaitu dapat dilihat pada Gambar 5.3:

65 52 Gambar 5.3 Pemetaan aplikasi di DJKN Sumber: Blue Print TIK DJKN: 2008 Pada Gambar 5.3 tersebut dapat diketahui bahwa terdapat beberapa aplikasi yang dipetakan sesuai dengan ApplicationsPortofolio (Ward & Peppard, 2002) yang dapat dijelaskan pada Gambar 5.4: Gambar 5.4 Applications Portofolio Sumber: Strategic Planning for Information Systems Third Edition: 2002 Sesuai dengan keterangan pada Gambar 5.4 terdapat aplikasi yang bersifat keyoperasional yaitu aplikasi yang sangat vital dimana apabila aplikasi tersebut mengalami gangguan maka proses bisnis tidak dapat berjalan dan memberikan kerugian yang besar bagi DJKN. Kedua aplikasi tersebut adalah Modul Kekayaan

66 53 Negara (Modul KN) dan Sistem Informasi Piutang dan Lelang (SIMPLE). Oleh karena itu penelitian ini difokuskan pada aplikasi Modul KN dikarenakan memiliki proses bisnis dan informasi utama dalam menunjang kinerja di lingkungan DJKN. Berdasarkan laporan manajemen risiko semester I tahun 2014 pada sub bab 4.6 dapat diketahui bahwa laporan tersebut menjelaskan tentang risiko bisnis yang dapat terjadi berdasarkan sasaran strategis. Dalam hal ini tidak terdapat laporan tentang risiko TI dan risiko keamanan informasi yang dapat menyebabkan risiko bisnis dikarenakan belum adanya framework pengelolaan risiko yang komprehensif. Untuk itu dalam penelitian ini dilakukan analisis terhadap sasaran strategis yang berhubungan antara risiko bisnis, risiko TI dan risiko keamanan informasi dimana terdapat pada sasaran strategis pengelolaan dan pengembangan TIK yang optimal. Adapun risiko yang dihadapi yaitu tidak terealisasinya pembangunan sistem informasi yang mendukung proses bisnis dimana mempunyai nilai risiko sedang, sedangkan nilai risiko residual yang diharapkan adalah bernilai rendah. Oleh karena itu perlu dilakukan analisis manajemen risiko terhadap aplikasi Modul KN sebagai sistem informasi utama khususnya dalam hal keamanan informasi sehingga dapat mendukung proses bisnis di DJKN dengan baik. Aplikasi Modul KN adalah aplikasi yang digunakan oleh DJKN yang mendapatkan data dari aplikasi Sistem Informasi Manajemen dan Akutansi Barang Milik Negara (SIMAK-BMN) Kementerian/Lembaga yang bertujuan untuk melakukan rekonsiliasi pengelolaan BMN dalam rangka penyusunan Laporan Keuangan Pemerintah Pusat (LKPP) yang dapat dilihat pada Gambar 5.5:

67 54 SATKER K/L KPKNL/KANWIL KANTOR PUSAT Mengirim data dari SIMAK BMN DJPB Mulai Tidak sesuai Sesuai Melakukan rekonsiliasi Pembuatan Laporan Selesai Sesuai Melakukan rekapitulasi Mengirim data dari SAKPA Tidak sesuai Gambar 5.5 Proses bisnis aplikasi Modul KN Pada Gambar 5.5 dapat dijelaskan bahwa proses bisnis aplikasi Modul KN dimulai setelah mendapatkan data SIMAK-BMN dari Kementerian/Lembaga dan data Sistem Akuntansi Pengguna Anggaran (SAKPA) dari Ditjen Perbendaharaan (DJPB). KPKNL/Kanwil melakukan rekonsiliasi pengelolaan BMN menggunakan aplikasi Modul KN, apabila telah sesuai maka akan dilakukan pembuatan laporan tapi apabila tidak sesuai makadikembalikan ke Kementerian/Lembaga untuk dilakukan perbaikan. KPKNL/Kanwil mengirimkan laporan ke kantor pusat untuk dilakukan rekapitulasi, apabila tidak sesuai maka akan dikembalikan ke KPKNL/Kanwil untuk dilakukan perbaikan. Adapun mengenai topologi jaringan yang digunakan oleh aplikasi Modul KN dapat dilihat pada Gambar 5.6: Access Switch Router Core Switch Switch Access Firewall PC KANWIL Database Server DATA CENTER Storage Server Access Switch Router ISP Distributor Switch Access Switch PC KPKNL Database Server KANTOR PUSAT PC Gambar 5.6 Arsitektur teknologi informasi aplikasi Modul KN

68 55 Pada Gambar 5.6 merupakan arsitektur teknologi informasi yang mendukung aplikasi Modul KN yang terdiri dari perangkat keras (hardware), perangkat lunak (software) maupun perangkat jaringan (network). Aplikasi modul KN merupakan aplikasi berbasis desktop sehingga harus diinstal di tiap PC baik di KPKNL, Kanwil maupun Kantor Pusat. Database aplikasi disimpan di masing-masing server database KPKNL/Kanwil kemudian ditarik oleh kantor pusat dan disimpan di server storage. Media jaringan menggunakan Virtual Private Network (VPN) melalui Telkom dan melalui jaringan Pusintek Organisasi Manajemen Risiko Keamanan Informasi Berdasarkan PMK No.191/PMK.09/2008 dijelaskan bahwa terdapat dua tingkatan dalam pengorganisasian manajemen risiko yaitu: a. Pengendalian tingkat kebijakan (tingkat kementerian) dimana membentuk komite manajemen risiko yang terdiri dari pejabat eselon I dan dua orang pejabat eselon II pada tiap eselon I sebagai anggota (salah satu pejabat eselon II ditunjuk sebagai ketua manajemen risiko); b. Pengendalian tingkat operasional (tingkat eselon I) yang terdiri dari satu orang pejabat eselon II yang ditunjuk sebagai ketua manajemen risiko, unit eselon II sebagai pemilik risiko, unit eselon III sebagai koordinator manajemen risiko dan pejabat eselon IV yang ditunjuk sebagai administrator manajemen risiko. Menurut hasil wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi Bpk. Agus Setyo Pambudi tanggal 27 Maret 2014 bahwa DJKN telah menunjuk sekretaris DJKN sebagai ketua manajemen risiko dan Direktur PKNSI sebagai anggota komite manajemen risiko. Berdasarkan Surat Edaran No.6/KN/2012 tentang struktur tim keamanan informasi bahwa DJKN telah menunjuk Direktur Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI) sebagai ketua tim keamanan informasi kantor pusat (CISO DJKN) dan Kasubdit Pengolahan Data dan Layanan Operasional (PDLO) sebagai koordinator keamanan informasi kantor pusat (IS Manager DJKN).

69 56 Oleh karena itu dapat ditunjuk Direktur Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI) sebagai ketua manajemen risiko khususnya terkait keamanan informasi dikarenakan telah menjadi CISO DJKN dan mengelola aplikasi Modul Kekayaan Negara yang menampung informasi utama yang dibutuhkan oleh unit eselon II lainnya dan kantor operasional sebagai pemilik risiko. Adapun posisi ketua manajemen risiko keamanan informasi berada dibawah ketua manajeme risiko yang mengelola semua risiko di DJKN. Struktur organisasi manajemen risiko keamanan informasi dapat dilihat pada Gambar 5.7: Gambar 5.7 Struktur organisasi manajemen risiko keamanan informasi di DJKN Pada Gambar 5.7 digambarkan struktur organisasi terkait dengan manajemen risiko keamanan informasi di DJKN yang terdiri Ketua Manajemen Risiko di DJKN adalah Sekretaris DJKN, Ketua Manajemen Risiko Keamanan Informasi adalah Direktur PKNSI dan Unit Pemilik Resiko adalah seluruh unit eselon II dan kantor operasional DJKN. Alur koordinasi antar tingkatan struktur ditunjukkan oleh tanda panah kebawah dan alur pelaporan antar tingkatan struktur ditunjukkan

70 57 oleh tanda panah putus-putus keatas. Adapun peran dan tanggung jawab struktur manajemen risiko keamanan informasi sebagai berikut: Ketua Manajemen Risiko berperan sebagai pimpinan tertinggi dalam pengelolaan risiko di DJKN. Bertanggung jawab untuk menyusun arah kebijakan, strategi penerapan, metodologi manajemen risiko dan mengembangkan kerangka kerja manajemen risiko secara terpadu dan menyeluruh. Ketua Manajemen Risiko Keamanan Informasi berperan sebagai pimpinan tertinggi dalam pengelolaan risiko keamanan informasi di DJKN. Bertanggung jawab untuk memelihara, mengendalikan, mengukur efektivitas dan konsistensi penerapan kebijakan, standar dan risiko keamanan informasi. Unit Pemilik Risiko berperan sebagai pihak yang memiliki risiko. Bertanggung jawab untuk menetapkan dan menyusun laporan tentang profil, penanganan dan monitoring risiko keamanan informasi. 5.2 Penilaian Risiko Pada sub bab ini dilakukan dua tahap yaitu tahap identifikasi risiko dan estimasi risiko. Identifikasi risiko dilakukan dengan mengidentifikasi aset, ancaman, kontrol dan kerawanan sedangkan estimasi risiko adalah menentukan dampak dan kecenderungan risiko yang diukur secara kualitatif maupun kuantitatif Identifikasi Risiko Dalam hal ini dilakukan identifikasi terhadap aset utama dan aset pendukung dalam aplikasi Modul KN kemudian langkah selanjutnya melakukan identifikasi terhadap ancaman yang terjadi pada setiap aset, mengidentifikasi pengendalian (control) yang sudah digunakan dalam melindungi aset serta mengidentifikasi kerawanan yang diakibatkan oleh kontrol yang tidak berjalan dengan baik atau belum terdapat kontrol dalam mencegah ancaman tersebut. Aset utama berupa proses bisnis yang ada dalam aplikasi Modul KN (rekonsiliasi, rekapitulasi, pembuatan laporan, backup data dan restore data) dan informasi

71 58 yang ada didalamnya (database kekayaan negara). Aset pendukung berupa elemen atau perangkat yang menjadi wadah terhadap proses bisnis dan informasi yang berjalan. Untuk lebih jelasnya dapat dilihat pada Tabel 5.6: Tabel 5.6 Rincian aset pada Modul KN No Jenis Aset Aset Nilai Aset Pemilik Aset Lokasi Aset 1 Aplikasi Modul KN 2 Database Kekayaan Negara Aset Pendukung Aset utama 3 Database server Aset Pendukung 4 Storage Server Aset Pendukung 5 Core switch Aset Pendukung 6 Distributor Switch Aset Pendukung 7 Access Switch Aset Pendukung Teknologi 8 Firewall Aset Pendukung 9 Kabel Jaringan Aset Pendukung Subdit Perancangan dan Pengembangan Aplikasi Subdit Pengolahan Data dan Layanan Operasional Subdit Pengolahan Data dan Layanan Operasional Subdit Pengolahan Data dan Layanan Operasional Subdit Pengolahan Data dan Layanan Operasional Subdit Pengolahan Data dan Layanan Operasional Subdit Pengolahan Data dan Layanan Operasional Subdit Pengolahan Data dan Layanan Operasional KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat Kantor Pusat Kantor Pusat KPKNL Kanwil Kantor Pusat Kantor Pusat KPKNL Kanwil Kantor Pusat 10 PC Aset Pendukung 11 Windows OS Aset Pendukung 12 Oracle 10G Aset Pendukung 13 Linux Redhat Aset Pendukung 14 Antivirus Aset Pendukung KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat Subdit Pengolahan Data dan Layanan Operasional Subdit Pengolahan Data dan Layanan Operasional KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat

72 59 Tabel 5.6 Rincian aset pada Modul KN (lanjutan) No Jenis Aset Aset Nilai Aset Pemilik Aset Lokasi Aset 15 Operator KPKNL Aset Pendukung KPKNL KPKNL 16 Operator Kanwil Aset Pendukung 17 Sumber Daya Manusia Operator Kantor Pusat Aset Pendukung 18 (SDM) Programmer Aset Pendukung 19 Teknisi Jaringan Aset Pendukung Kanwil Kantor Pusat Subdit Perancangan dan Pengembangan Aplikasi Subdit Pengolahan Data dan Layanan Operasional Kanwil Kantor Pusat Kantor Pusat Kantor Pusat 20 Database Administrator Aset Pendukung Subdit Pengolahan Data dan Layanan Operasional Kantor Pusat 21 Petugas Help Desk Aset Pendukung Subdit Pengolahan Data dan Layanan Operasional Kantor Pusat 22 Proses Rekonsiliasi Aset utama KPKNL Kanwil KPKNL Kanwil 23 Proses Rekapitulasi 24 Proses Bisnis Proses Pembuatan Laporan Aset utama Kantor Pusat Kantor Pusat Aset utama KPKNL Kanwil KPKNL Kanwil 25 Proses backup data 26 Proses restore data Aset utama Aset utama KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat Setelah dilakukan identifikasi aset utama dan pendukung terhadap aplikasi Modul KN selanjutnya dilakukan identifikasi ancaman pada setiap aset dan menentukan sumber dari ancaman tersebut. Untuk lebih jelasnya dapat dilihat pada Tabel 5.7:

73 60 Tabel 5.7 Identifikasi ancaman tiap aset No Aset Ancaman Sumber 1. Aplikasi Modul KN Terjadi permasalahan saat mengoperasikan aplikasi Proses troubleshooting aplikasi terhambat Penyalahgunaan hak Vendor Programmer Vendor Programmer Hacker 2 Database Kekayaan Negara Informasi rahasia mudah dibaca Hacker Orang yang tidak berhak 3 Database server Penyalahgunaan hak Hacker Orang yang tidak berhak Server tidak bisa diakses Database Administrator 4 Storage Server Penyalahgunaan hak Hacker Server tidak bisa diakses Database Administrator 5 Core switch Penyalahgunaan hak Hacker Koneksi terputus Hacker Listrik 6 Distributor Switch Penyalahgunaan hak Hacker Koneksi terputus Hacker Listrik 7 Access Switch Penyalahgunaan hak Hacker Koneksi terputus Hacker Listrik 8 Router Penyalahgunaan hak Hacker Koneksi terputus Hacker Listrik 9 Kabel Jaringan Koneksi ke perangkat mengalami gangguan Teknisi Jaringan Pengguna 10 PC Permasalahan penggunaan Virus Data hilang/rusak Virus 11 Windows OS Permasalahan saat Virus penggunaan 12 Oracle 10G Penyalahgunaan hak Hacker 13 Linux Redhat Penyalahgunaan hak Hacker 14 Antivirus Data hilang/rusak Virus

74 61 Tabel 5.7 Identifikasi ancaman tiap aset (lanjutan) No Aset Ancaman Sumber 15 Operator KPKNL Kerusakan perangkat Operator KPKNL Adanya permasalahan Operator KPKNL dalam pengoperasian 16 Operator Kanwil Kerusakan perangkat Operator Kanwil Adanya permasalahan Operator Kanwil dalam pengoperasian 17 Operator Kantor Pusat Kerusakan perangkat Operator Kantor Pusat 18 Programmer Update aplikasi kurang Programmer sempurna Kebocoran data Hacker 19 Teknisi Jaringan Kerusakan perangkat Teknisi Jaringan 20 Database Administrator Informasi hilang atau rusak Kebocoran data Teknisi Jaringan Database Administrator 21 Petugas Help Desk Proses kerja lebih lama Petugas Helpdesk 22 Proses Rekonsiliasi Adanya proses data yang ilegal 23 Proses Rekapitulasi Adanya proses data yang ilegal Operator KPKNL Operator Kantor Pusat 24 Proses Pembuatan Adanya proses data yang Operator Kantor Pusat Laporan ilegal Kesalahan pelaporan Operator Kantor Pusat 25 Proses backup data Database hilang/rusak Operator KPKNL Operator Kanwil Operator Kantor Pusat Database Administrator 26 Proses restore data Kesalahan data Operator KPKNL Operator Kanwil Operator Kantor Pusat Database Administrator Untuk menekan ancaman yang dapat merugikan kinerja DJKN khususnya terkait dengan aplikasi Modul KN maka telah dilakukan beberapa kontrol yaitu dapat dilihat pada Tabel 5.8:

75 62 Tabel 5.8 Identifikasi kontrol yang sudah ada No Aset Deskripsi kontrol yang sudah ada 1. Aplikasi Modul KN Prosedur penggunaan dan pengoperasian aplikasi Role Authorization Koordinasi internal dengan instansi terkait 2 Database Kekayaan Negara Ditampung dalam server database dan storage 3 Database server Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database 4 Storage Server Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database 5 Core switch Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus 6 Distributor Switch Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus 7 Access Switch Diletakkan pada ruang data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus 8 Router Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus 9 Kabel Jaringan Adanya prosedur instalasi jaringan

76 63 Tabel 5.8 Identifikasi kontrol yang sudah ada (lanjutan) No Aset Deskripsi kontrol yang sudah ada 10 PC Diletakkan di ruangan kantor yang terkunci Masuk dalam daftar inventarisasi aset 11 Windows OS Adanya lisensi namun terbatas Adanya inventarisasi lisensi 12 Oracle 10G Adanya lisensi namun terbatas Adanya inventarisasi lisensi 13 Linux Redhat Adanya lisensi namun terbatas Adanya inventarisasi lisensi 14 Antivirus Adanya lisensi namun terbatas 15 Operator KPKNL Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi 16 Operator Kanwil Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi 17 Operator Kantor Pusat Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi 18 Programmer Adanya prosedur pengelolaan aplikasi 19 Teknisi Jaringan Adanya prosedur penambahan instalasi jaringan 20 Database Administrator Adanya prosedur pengelolaan database Adanya prosedur backup dan restore database 21 Petugas Help Desk Adanya prosedur penanganan gangguan Adanya web help desk untuk mengelola gangguan Adanya dokumentasi gangguan yang sudah terjadi 22 Proses Rekonsiliasi Adanya prosedur dalam proses rekonsiliasi 23 Proses Rekapitulasi Adanya prosedur dalam proses rekapitulasi 24 Proses Pembuatan Laporan Adanya prosedur dalam proses pembuatan laporan 25 Proses backup data Adanya prosedur umum dalam proses backup data 26 Proses restore data Adanya prosedur umum dalam proses restore data Setelah melakukan identifikasi ancaman dan kontrol yang ada pada setiap aset, maka dilakukan identifikasi kerentanan (vulnerability) yang terjadi pada aset tersebut. Kerentanan dapat terjadi dikarenakan belum adanya kontrol atau kontrol yang sudah ada belum dapat mengelola atau mengurangi ancaman yang terjadi. Tabel 5.9 menjelaskan mengenai identifikasi kerawanan pada tiap aset.

77 64 Tabel 5.9 Identifikasi kerawanan tiap aset No Aset Ancaman Deskripsi kontrol yang sudah ada Kerawanan 1. Aplikasi Modul KN Terjadi permasalahan saat mengoperasikan aplikasi Proses troubleshooting aplikasi terhambat Prosedur penggunaan dan pengoperasian aplikasi Role Authorization Proses testing aplikasi tidak lengkap Dokumentasi terhadap source code aplikasi tidak lengkap 2 Database Kekayaan Negara Penyalahgunaan hak Informasi rahasia mudah dibaca Ditampung dalam server database dan storage Tidak ada logout otomatis saat meninggalkan workstation Data tidak dienkripsi 3 Database server Server tidak bisa diakses Penyalahgunaan hak Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database Tidak ada manajemen kapasitas Sharing password 4 Storage Server Penyalahgunaan hak Server tidak bisa diakses Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database Sharing password Tidak ada manajemen kapasitas

78 65 Tabel 5.9 Identifikasi kerawanan tiap aset (lanjutan) No Aset Ancaman Deskripsi kontrol yang sudah ada Kerawanan 5 Core switch Penyalahgunaan hak Koneksi terputus Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Sharing password Adanya port yang dibuka untuk komunikasi data 6 Distributor Switch Penyalahgunaan hak Koneksi terputus Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Sharing password Adanya port yang dibuka untuk komunikasi data 7 Access Switch Penyalahgunaan hak Koneksi terputus Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Sharing password Adanya port yang dibuka untuk komunikasi data 8 Router Penyalahgunaan hak Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Sharing password

79 66 Tabel 5.9 Identifikasi kerawanan tiap aset (lanjutan) No Aset Ancaman Deskripsi kontrol yang sudah ada Kerawanan 9 Kabel Jaringan Koneksi ke perangkat mengalami gangguan Adanya prosedur instalasi jaringan Instalasi kabel jaringan tidak rapi 10 PC Permasalahan saat penggunaan Data hilang/rusak Diletakkan di ruangan kantor yang terkunci OS bajakan Tidak ada antivirus 11 Windows OS 12 Oracle 10G 13 Linux Redhat Permasalahan saat penggunaan Penyalahgunaan hak Penyalahgunaan hak Adanya lisensi namun terbatas Adanya inventarisasi lisensi Adanya lisensi namun terbatas Adanya inventarisasi lisensi Adanya lisensi namun terbatas Adanya inventarisasi lisensi 14 Antivirus Data hilang/rusak Adanya lisensi namun terbatas OS bajakan Sharing password Sharing password Anti virus bajakan 15 Operator KPKNL 16 Operator Kanwil Kerusakan perangkat Adanya permasalahan dalam pengoperasian Kerusakan perangkat Adanya permasalahan dalam pengoperasian Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Proses perekrutan kurang memadai Penggunaan software dan hardware yang tidak benar Proses perekrutan kurang memadai Penggunaan software dan hardware yang tidak benar 17 Operator Kantor Pusat Kerusakan perangkat Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Penggunaan software dan hardware yang tidak benar 18 Programmer Update aplikasi kurang sempurna Kebocoran data Adanya prosedur pengelolaan aplikasi Perubahan proses bisnis yang cepat Tidak ada kebijakan clear desk dan clear screen

80 67 Tabel 5.9 Identifikasi kerawanan tiap aset (lanjutan) No Aset Ancaman Deskripsi kontrol yang sudah ada Kerawanan 19 Teknisi Jaringan Kerusakan perangkat Informasi hilang atau rusak Adanya prosedur penambahan instalasi jaringan Proses rekrutmen kurang memadai Tidak ada kebijakan clear desk dan clear screen 20 Database Administra tor 21 Petugas Help Desk 22 Proses Rekonsilia si Kebocoran data Proses kerja lebih lama Adanya proses data yang ilegal Adanya prosedur pengelolaan database Adanya prosedur backup dan restore database Adanya prosedur penanganan gangguan Adanya web help desk untuk mengelola gangguan Adanya dokumentasi gangguan yang sudah terjadi Adanya prosedur dalam proses rekonsiliasi Tidak ada kebijakan clear desk dan clear screen Proses rekrutmen kurang memadai Adanya proses yang tidak sesuai prosedur 23 Proses Rekapitulasi Adanya proses data yang ilegal Adanya prosedur dalam proses rekapitulasi Adanya proses yang tidak sesuai prosedur 24 Proses Pembuatan Laporan Adanya proses data yang ilegal Adanya prosedur dalam proses pembuatan laporan Adanya proses yang tidak sesuai prosedur 25 Proses backup data Database hilang/rusak Adanya prosedur umum dalam proses backup data Adanya proses yang tidak sesuai prosedur 26 Proses restore data Kesalahan data Adanya prosedur umum dalam proses restore data Kesalahan pemilihan data yang direstore Estimasi Risiko Tahap selanjutnya setelah dilakukan identifikasi risiko yaitu melakukan estimasi risiko dengan menentukan tingkat dampak yang ditimbulkan apabila ancaman pada setiap aset berhasil dieksploitasi dan menentukan tingkat kecenderungan yang dinilai berdasarkan wawancara dengan narasumber terkait dan pengalaman

81 68 kejadian sebelumnya yang bersumber dari rekap helpdesk TIK DJKN dapat dijabarkan pada Tabel 5.10: Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset No Aset Ancaman Dampak Level Kecenderungan Level 1. Aplikasi Modul KN (A1) 2 Database Kekayaan Negara (A2) Terjadi permasalahan saat mengoperasikan aplikasi (T1) Proses troubleshooting dan update aplikasi terhambat (T2) Penyalahgunaan hak (T3) Informasi rahasia mudah dibaca (T4) Aplikasi tidak bisa digunakan Seluruh kantor operasional tidak dapat menggunakan aplikasi Terdapat beberapa atau semua menu aplikasi bermasalah Berdampak pada seluruh kantor operasional Informasi rahasia tersebar ke orang yang tidak berhak Informasi rahasia tersebar ke orang yang tidak berhak Berdampak pada seluruh kantor operasional Tinggi Tinggi Tinggi Tinggi Rata-rata terjadi 9 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 9 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 9 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 3 Database server (A3) Penyalahgunaan hak (T3) Server tidak bisa diakses (T5) Data hilang/rusak Berdampak pada seluruh kantor operasional Proses bisnis terhenti antara 3-12 jam Berdampak pada beberapa kantor operasional Tinggi Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada

82 69 Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No Aset Ancaman Dampak Level Kecenderungan Level 4 Storage Server (A4) 5 Core switch (A5) 6 Distributor Switch (A6) 7 Access Switch (A7) Penyalahgunaan hak (T3) Server tidak bisa diakses (T5) Penyalahgunaan hak (T3) Koneksi lambat (T6) Penyalahgunaan hak (T3) Koneksi lambat (T6) Penyalahgunaan hak (T3) Koneksi lambat (T6) Data hilang/rusak (ada backup) Berdampak pada kantor pusat Proses bisnis terhenti antara 3-12 jam Berdampak pada kantor pusat Koneksi jaringan di kantor pusat terhenti 3-12 jam Koneksi jaringan di kantor pusat lambat 3-12 jam Koneksi jaringan di kantor pusat terhenti kurang dari 3 jam Koneksi jaringan di kantor pusat lambat kurang dari 3 jam Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam Koneksi jaringan di beberapa kantor operational lambat 3-12 jam Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan Rata-rata terjadi 16 kali permasalahan dalam setahun di KPKNL dan Kanwil dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 16 kali permasalahan dalam setahun di KPKNL dan Kanwil dan kontrol sudah dapat mengurangi kerawanan yang ada

83 70 Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No Aset Dampak Konsekuensi Level Kecenderungan Level 8 Router (A8) 9 Kabel Jaringan (A9) 10 PC (A10) 11 Windows OS (A11) 12 Oracle 10G (A12) 13 Linux Redhat (A13) 14 Antivirus (A14) Penyalahgunaan hak (T3) Koneksi ke perangkat mengalami gangguan (T7) Permasalahan saat penggunaan (T1) Data hilang/rusak (T8) Permasalahan saat penggunaan (T1) Penyalahgunaan hak (T3) Penyalahgunaan hak (T3) Data hilang/rusak (T8) Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam Koneksi jaringan kurang dari 20 kantor operasional terhenti kurang dari jam Aplikasi tidak bisa dijalankan di beberapa kantor operasional Data hilang/rusak di beberapa kantor operasional Aplikasi tidak bisa dijalankan di beberapa kantor operasional Data hilang/rusak pada beberapa kantor operasional Data hilang/rusak pada beberapa kantor operasional Data hilang/rusak pada beberapa kantor operasional Rata-rata terjadi 16 kali permasalahan dalam setahun di KPKNL dan Kanwil dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 16 kali permasalahan dalam setahun di KPKNL dan Kanwil dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 11 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 11 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan Rata-rata terjadi 16 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan

84 71 Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No Aset Ancaman Dampak Level Kecenderungan Level 15 Operator KPKNL (A15) Kurang menguasai penggunaan aplikasi (T9) Proses bisnis terhenti lebih dari 12 jam Berdampak lebih dari 20 kantor operasional Tinggi Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Adanya permasalahan dalam pengoperasian perangkat (T1) Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam Tinggi Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 16 Operator Kanwil (A16) Kurang menguasai penggunaan aplikasi (T9) Proses bisnis terhenti lebih dari 12 jam Berdampak lebih dari 20 kantor operasional Tinggi Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Adanya permasalahan dalam pengoperasian perangkat (T1) Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam Tinggi Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 17 Operator Kantor Pusat (A17) Adanya permasalahan dalam pengoperasian perangkat (T1) Kerusakan perangkat sehingga layanan terhenti 3-12 jam Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 18 Programmer (A18) Update aplikasi kurang sempurna (T10) Aplikasi mengelami masalah di semua kantor operasional Tinggi Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Kebocoran data (T11) Informasi rahasia tersebar Tinggi Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan

85 72 Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No Aset Ancaman Dampak Level Kecenderungan Level 19 Teknisi Jaringan (A19) Kurangnya pemeliharaan (T12) Kerusakan perangkat yang berdampak pada beberapa kantor operasional Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Akses ilegal (T13) Layanan lambat/terhenti 3-12 jam di beberapa kantor operasional Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 20 Database Admin (A20) Kebocoran data (T11) Informasi rahasia tersebar Tinggi Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 21 Petugas Help Desk (A21) Proses kerja lebih lama (T12) Pelayanan lambat/terhenti di beberapa kantor operasional Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 22 Proses Rekonsiliasi (A22) Adanya proses data yang ilegal (T13) Adanya kerusakan data di hampir semua kantor operasional Tinggi Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 23 Proses Rekapitulasi (A23) Adanya proses data yang ilegal (T13) Adanya kerusakan data di kantor pusat Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 24 Proses Pembuatan Laporan (A24) Adanya proses data yang ilegal (T13) Adanya kerusakan data di kantor pusat Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada

86 73 Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No Aset Ancaman Dampak Level Kecenderungan Level 19 Teknisi Jaringan (A19) Kurangnya pemeliharaan (T12) Kerusakan perangkat yang berdampak pada beberapa kantor operasional Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Akses ilegal (T13) Layanan lambat/terhenti 3-12 jam di beberapa kantor operasional Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 20 Database Admin (A20) Kebocoran data (T11) Informasi rahasia tersebar Tinggi Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 21 Petugas Help Desk (A21) Proses kerja lebih lama (T12) Pelayanan lambat/terhenti di beberapa kantor operasional Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 22 Proses Rekonsiliasi (A22) Adanya proses data yang ilegal (T13) Adanya kerusakan data di hampir semua kantor operasional Tinggi Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 23 Proses Rekapitulasi (A23) Adanya proses data yang ilegal (T13) Adanya kerusakan data di kantor pusat Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 24 Proses Pembuatan Laporan (A24) Adanya proses data yang ilegal (T13) Adanya kerusakan data di kantor pusat Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada

87 74 Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No Aset Ancaman Dampak Level Kecenderungan 25 Proses backup data (A25) Database hilang/rusak (T8) Data hilang/rusak di beberapa kantor operasional Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 26 Proses restore data (A26) Kesalahan data (T14) Layanan terhenti di sebagian kecil kantor operasional Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada 5.3 Evaluasi Risiko Pada tahap ini dilakukan evaluasi risiko berdasarkan dampak yang dapat terjadi oleh tiap ancaman pada masing-masing aset terhadap kecenderungan atau peluang terjadinya dampak tersebut. Berdasarkan ISO terdapat lima tingkatan dampak dan kecenderungan, dikarenakan tingkatan dampak dan kecenderungan yang dianalisis memiliki tiga tingkatan oleh karena itu proses evaluasi risiko menggunakan framework dari NIST Adapun evaluasi risiko berdasarkan matriks pada Tabel 5.11: Tabel 5.11 Matriks penentuan tingkatan evaluasi risiko Dampak (10) (50) Tinggi (100) Kecenderungan Tinggi (1.0) (0.5) (0.1) 10 x 1.0 = x 0.5 = 5 10 x 0.1 = 1 50 x 1.0 =50 50 x 0.5 = x 0.1 = 5 Tinggi 100 x 1.0 = x 0.5 = x 0.1 = 10 Tabel 5.11 menjelaskan terdapat tiga tingkatan evaluasi risiko yang merupakan hasil matrik dari tingkat dampak terhadap kecenderungan pada masing-masing aset dan ancaman yang menyertai. Cara mengetahui tingkatan risiko yaitu:

88 75 (1 sampai 10); (>10 sampai 50); Tinggi (>50 sampai 100). Berikut adalah rangkuman keseluruhan nilai evaluasi risiko pada tiap skenario risiko yang ditunjukkan pada Tabel 5.12: Tabel 5.12 Matrik nilai evaluasi risiko Berdasarkan hasil penghitungan nilai risiko pada Tabel 5.12 maka dapat dilakukan prioritas penanganan risiko dari nilai risiko tertinggi sampai dengan nilai risiko terendah pada Tabel 5.13:

89 76 Tabel 5.13 Prioritas risiko berdasarkan nilai risiko Prioritas Skenario Nilai Risiko 1 A1 dan T1 (50) 2 A1 dan T2 (50) 3 A1 dan T3 (50) 4 A2 dan T4 (50) 5 A3 dan T3 (50) 6 A13 dan T3 (50) 7 A14 dan T8 (50) 8 A3 dan T5 (25) 9 A7 dan T3 (25) 10 A7 dan T6 (25) 11 A8 dan T3 (25) 12 A10 dan T1 (25) 13 A10 dan T8 (25) 14 A11 dan T1 (25) 15 A12 dan T3 (25) 16 A15 dan T1 (10) 17 A15 dan T9 (10) 18 A16 dan T1 (10) 19 A16 dan T9 (10) 20 A18 dan T10 (10) 21 A18 dan T11 (10) 22 A20 dan T11 (10) 23 A22 dan T13 (10) 24 A4 dan T3 (5) 25 A4 dan T5 (5) 26 A5 dan T3 (5) 27 A5 dan T6 (5) 28 A6 dan T3 (5) 29 A6 dan T6 (5) 30 A9 dan T7 (5) 31 A17 dan T1 (5) 32 A19 dan T12 (5) 33 A19 dan T13 (5) 34 A21 dan T12 (5) 35 A23 dan T13 (5) 36 A24 dan T13 (5) 37 A25 dan T8 (5) 38 A26 dan T14 (1)

90 Penanganan Risiko Menurut ISO terdapat empat macam penanganan risiko yaitu kontrol untuk mengurangi (reduction), mempertahankan (retention), menghindari (avoidance) atau mentransfer (transfer). Kontrol harus dipilih dan kemudian mempersiapkan rencana penanganan risiko tersebut. Pemilihan kontrol harus disesuaikan dengan risiko residual yang diharapkan. Apabila sudah sesuai dengan risiko residual yang diharapkan maka sebaiknya tidak perlu dilakukan kontrol tambahan, apabila nilai risiko lebih tinggi dari risiko residual yang diharapkan maka harus dilakukan kontrol tambahan. Berdasarkan hasil wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi terkait Laporan Manajemen Risiko semester I tahun 2014 bahwa risiko residual yang diharapkan adalah risiko yang mempunyai: Maksimal mempunyai nilai dampak dengan tingkat sedang dan mempunyai nilai kecenderungan dengan tingkat rendah; Maksimal mempunyai nilai risiko dengan tingkat rendah atau bernilai 5. Adapun penjelasan mengenai pelaksanaan penanganan risiko di DJKN antara lain: Mengurangi risiko Merupakan tindakan yang dilakukan untuk mengurangi risiko melalui pemilihan kontrol sehingga risiko risidual dapat dinilai sebagai risiko yang dapat diterima. Secara umum kontrol dapat memberikan satu atau lebih dari jenis perlindungan misalnya berupa koreksi, eliminasi, pencegahan, minimalisasi dampak, penolakan, deteksi, pemulihan, pengawasan dan kesadaran. Adapun kondisi risiko yang dapat dikurangi dalam penelitian ini antara lain: DJKN memiliki sumber daya yang memadai untuk membiayai pelaksanaan kontrol yang digunakan; Pemilihan kontrol dilakukan dengan efektif, efisien dan tidak mengganggu proses bisnis yang berjalan; Manfaat yang diperoleh dari pemilihan kontrol harus lebih besar terhadap biaya yang akan dikeluarkan.

91 Mempertahankan risiko Menurut ISO bahwa mempertahankan risiko adalah tanpa melakukan tindakan lebih lanjut asalkan memenuhi kriteria penerimaan risiko. Seperti yang telah dijelaskan sebelumnya pada sub bab 5.1 tentang penetapan konteks penerimaan risiko, maka keadaan yang harus dipenuhi antara lain: Selera risiko maksimal memiliki tingkat risiko residual rendah yang terdiri dari tingkat konsekuensi sedang dan tingkat kecenderungan rendah; Terdapat perlindungan hukum yang memadai mencakup regulasi dan atau perjanjian/kontrak; Unit pengambil risiko dan pemilik risiko terkait dapat memastikan dengan tingkat keyakinan diatas 85 % bahwa tidak akan terjadi kegagalan pada orang, proses dan sistem yang ada Menghindari risiko Merupakan kegiatan menghindari risiko sepenuhnya dikarenakan risiko yang teridentifikasi dianggap terlalu tinggi atau biaya pelaksanaan pilihan penanganan risiko melebihi manfaatnya. Hal ini dapat dilakukan dengan membatalkan suatu kegiatan yang direncanakan atau yang sudah ada. Risiko yang disebabkan oleh alam, alternatif yang paling efektif adalah untuk memindahkan fasilitas pengolahan informasi secara fisik ke tempat dimana tidak ada risiko yang dapat menyebakan kerugian bagi DJKN Mentransfer risiko Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal yang mampu dan bertanggung jawab terhadap pengelolaan risiko. Adapun kriteria risiko yang harus ditransfer dalam penelitian ini antara lain: Risiko residual dengan tingkat konsekuensi pada level yang tidak dapat diterima sesuai dengan selera risiko; DJKN tidak memiliki sumber daya yang memadai untuk melakukan pengurangan risiko tersebut.

92 79 Berdasarkan penjelasan diatas maka dapat dilakukan analisis penanganan risiko terhadap tiap skenario yang telah diprioritaskan menurut nilai risiko yaitu dapat dijelaskan pada Tabel 5.14:

93 80 Tabel 5.14 Analisis Penanganan Risiko No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 1 Aplikasi Modul KN (A1) Terjadi permasalahan saat mengoperasikan aplikasi (T1) Proses testing tidak lengkap Vendor Programmer Aplikasi tidak bisa digunakan Seluruh kantor operasional tidak dapat menggunakan aplikasi (50) Prosedur penggunaan dan pengoperasian aplikasi Role Authorization Prosedur pengetesan aplikasi Evaluasi pembuatan aplikasi Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan 2 Aplikasi Modul KN (A1) 3 Aplikasi Modul KN (A1) Proses troubleshooting dan update aplikasi terhambat (T2) Penyalahgunaan hak (T3) Dokumentasi terhadap source code aplikasi tidak lengkap Tidak ada logout otomatis saat meninggalkan workstation Vendor Programmer Vendor Programmer Operator KPKNL Operator Kanwil Terdapat beberapa atau semua menu aplikasi bermasalah Berdampak pada seluruh kantor operasional Informasi rahasia tersebar ke orang yang tidak berhak (50) (50) Prosedur penggunaan dan pengoperasian aplikasi Role Authorization Prosedur penggunaan dan pengoperasian aplikasi Role Authorization Prosedur serah terima aplikasi Pembuatan logout otomatis aplikasi Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan

94 81 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi control Keterangan 4 Database Kekayaan Negara (A2) Informasi rahasia mudah dibaca (T4) Data rahasia tidak dienkripsi Database Admin Informasi rahasia tersebar ke orang yang tidak berhak Berdampak pada seluruh kantor operasional (50) Ditampung dalam server database dan storage Melakukan enkripsi terhadap elemen data yang bersifat rahasia Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan 5 Database server (A3) Penyalahgunaan hak (T3) Sharing password Database Admin Operator KPKNL Operator Kanwil Operator Kantor Pusat Data hilang/rusak Berdampak pada seluruh kantor operasional (50) Diletakkan pada ruang data center Terdapat access control yaitu finger print dan CCTV saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database Pembuatan role authorization Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan

95 82 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 6 Linux Redhat (A13) 7 Antivirus (A14) 8 Database server (A3) Penyalahgunaan hak (T3) Data hilang/rusak (T8) Server tidak bisa diakses (T5) Sharing Password Anti virus bajakan Tidak ada manajemen kapasitas Hacker Virus Database Admin Data hilang/rusak pada beberapa kantor operasional Data hilang/rusak pada beberapa kantor operasional Proses bisnis terhenti antara 3-12 jam Berdampak pada beberapa kantor operasional (50) (50) (25) Adanya lisensi namun terbatas Adanya inventarisasi lisensi Adanya lisensi namun terbatas Diletakkan pada ruang data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database Pembuatan role authorization Pengadaan software antivirus Pembuatan manajemen kapasitas menggunakan software monitoring Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan

96 83 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 9 Access Switch (A7) 10 Access Switch (A7) Penyalahgunaan hak (T3) Koneksi lambat (T6) Sharing password Adanya port yang dibuka untuk komunikasi data Hacker Hacker Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam Koneksi jaringan di beberapa kantor operational lambat 3-12 jam (25) (25) Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Pembuatan role authorization Manajemen port Pengadaan CCTV Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan

97 84 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 11 Router (A8) Penyalahgunaan hak (T3) 12 PC (A10) Permasalahan saat penggunaan (T1) 13 PC (A10) Data hilang/rusak (T8) 14 OS Windows (A11) Permasalahan saat penggunaan (T1) Sharing password Hacker Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam OS bajakan Virus Aplikasi tidak bisa dijalankan di beberapa kantor operasional Tidak ada antivirus Virus Data hilang/rusak di beberapa kantor operasional OS bajakan Virus Aplikasi tidak bisa dijalankan di beberapa kantor operasional (25) (25) (25) (25) Diletakkan pada ruang data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Masuk dalam daftar inventarisasi aset Diletakkan di ruangan kantor yang terkunci Masuk dalam daftar inventarisasi aset Diletakkan di ruangan kantor yang terkunci Adanya lisensi namun terbatas Adanya inventarisasi lisensi Pembuatan role authorization Pengadaan OS asli Pengadaan antivirus asli Pengadaan OS asli Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan

98 85 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 15 Oracle 10G (A12) 16 Operator KPKNL (A15) Penyalahgunaan hak (T3) Kurang menguasai penggunaan aplikasi (T21) Sharing password Proses perekrutan kurang memadai Hacker Operator KPKNL Data hilang/rusak pada beberapa kantor operasional Proses bisnis terhenti lebih dari 12 jam Berdampak lebih dari 20 kantor operasional (25) (10) Adanya lisensi namun terbatas Adanya inventarisasi lisensi Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Pembuatan role authorization Peningkatan kompetensi pegawai Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan 17 Operator KPKNL (A15) Adanya permasalahan dalam pengoperasian perangkat (T9) Penggunaan software dan hardware yang tidak benar Operator KPKNL Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam (10) Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Peningkatan kompetensi pegawai Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan

99 86 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 18 Operator Kanwil (A16) 19 Operator Kanwil (A16) Kurang menguasai penggunaan aplikasi (T1) Adanya permasalahan dalam pengoperasian perangkat (T9) Proses perekrutan kurang memadai Penggunaan software dan hardware yang tidak benar Operator Kanwil Operator Kanwil Proses bisnis terhenti lebih dari 12 jam Berdampak lebih dari 20 kantor operasional Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam (10) (10) Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Peningkatan kompetensi pegawai Peningkatan kompetensi pegawai Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan 20 Program mer (A18) Update aplikasi kurang sempurna (T10) Perubahan proses bisnis yang cepat Programmer Aplikasi mengelami masalah di semua kantor operasional (10) Adanya prosedur pengelolaan aplikasi Evaluasi dan monitoring pembuatan aplikasi Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan

100 87 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 21 Program mer (A18) Kecoran data (T11) Tidak ada kebijakan clear desk dan clear screen Programmer Informasi rahasia tersebar (10) Adanya prosedur pengelolaan aplikasi Awareness keamanan informasi Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan 22 Database Admin (A20) Kebocoran data (T11) Tidak ada kebijakan clear desk dan clear screen Database Admin Informasi rahasia tersebar (10) Adanya prosedur pengelolaan database Adanya prosedur backup dan restore database Awareness keamanan informasi Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan 23 Proses Rekon siliasi (A22) Adanya proses data yang ilegal (T13) Adanya proses yang tidak sesuai prosedur Operator KPKNL Operator Kanwil Adanya kerusakan data di hampir semua kantor operasional (10) Adanya prosedur dalam proses rekonsiliasi Menetapkan aturan dan sanksi terhadap proses ilegal Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan

101 88 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol 24 Storage server (A4) Penyalah-gunaan hak (T3) Sharing password Hacker Data hilang/rusak (ada backup) Berdampak pada kantor pusat (5) Diletakkan pada ruang data center Terdapat access control yaitu finger print dan CCTV saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database Pembuatan role authorization

102 89 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 25 Storage server (A4) 26 Core Switch (A5) Server tidak bisa diakses (T5) Penyalahgunaan hak (T3) Tidak ada manajemen kapasitas Sharing password Database Admin Hacker Proses bisnis terhenti antara 3-12 jam Berdampak pada kantor pusat Koneksi jaringan di kantor pusat terhenti 3-12 jam (5) (5) Diletakkan pada ruang data center Terdapat access control yaitu finger print dan CCTV saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database Diletakkan pada ruang data center Terdapat access control yaitu finger print dan CCTV saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Pembuatan manajemen kapasitas menggunakan software monitoring Pembuatan role authorization Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan

103 90 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 27 Core Switch (A5) 28 Distributor Switch (A6) Koneksi lambat (T6) Penyalahgunaan hak (T3) Adanya port yang dibuka untuk komunikasi data Sharing password Hacker Hacker Koneksi jaringan di kantor pusat lambat 3-12 jam Koneksi jaringan di kantor pusat terhenti kurang dari 3 jam (5) (5) Diletakkan pada ruang data center Terdapat access control yaitu finger print dan CCTV saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya manajemen dan monitoring port Pelabelan port Pembuatan role authorization Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan

104 91 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 29 Distributor Switch (A6) Koneksi lambat (T6) Adanya port yang dibuka untuk komunikasi data Hacker Koneksi jaringan di kantor pusat lambat kurang dari 3 jam (5) Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya manajemen dan monitoring port Pelabelan port Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan 30 Kabel Jaringan (A9) Koneksi ke perangkat mengalami gangguan (T7) Instalasi kabel jaringan tidak rapi Teknisi Jaringan Pegawai Koneksi jaringan kurang dari 20 kantor operasional terhenti kurang dari jam (5) Adanya prosedur instalasi jaringan Adanya monitoring dan audit instalasi jaringan Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan 31 Operator Kantor Pusat (A17) Adanya permasalahan dalam pengoperasian perangkat (T1) Penggunaan software dan hardware yang tidak benar Operator kantor pusat Kerusakan perangkat sehingga layanan terhenti 3-12 jam (5) Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Peningkatan kompetensi pegawai Awareness keamanan informasi Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan

105 92 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 32 Teknisi jaringan (A19) Kurangnya pemeliharaan (T12) Kurangnya personil Teknisi Jaringan Kerusakan perangkat yang berdampak pada beberapa kantor operasional (5) Adanya prosedur penambahan instalasi jaringan Peningkatan kompetensi PIC TIK di KPKNL dan Kanwil Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan 33 Teknisi jaringan (A19) 34 Petugas Help Desk (A21) Akses ilegal (T13) Proses kerja lebih lama (T12) Tidakada kebijakan clear desk dan clear screen Proses rekrutmen kurang memadai Teknisi Jaringan Hacker Petugas Helpdesk Layanan lambat/terhenti 3-12 jam di beberapa kantor operasional Pelayanan lambat/terhenti di beberapa kantor operasional (5) (5) Adanya prosedur penambahan instalasi jaringan Adanya prosedur penanganan gangguan Adanya web help desk untuk mengelola gangguan Adanya dokumentasi gangguan yang sudah terjadi Awareness keamanan informasi Meningkatkan kompetensi pegawai Meningkatkan layanan prima Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan

106 93 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 35 Proses Rekapitula si (A23) 36 Proses Pembuatan Laporan (A24) 37 Proses backup data (A25) Adanya proses data yang ilegal (T13) Adanya proses data yang ilegal (T13) Database hilang/rusak (T8) Adanya proses yang tidak sesuai prosedur Adanya proses yang tidak sesuai prosedur Adanya proses yang tidak sesuai prosedur Operator KantorPusat Operator Kantor Pusat Operator KPKNL Operator Kanwil Adanya kerusakan data di kantor pusat Adanya kerusakan data di kantor pusat Layanan terhenti di sebagian kecil kantor operasional (5) (5) (5) Adanya prosedur dalam proses rekapitulasi Adanya prosedur dalam proses rekapitulasi Adanya prosedur dalam proses restore data Menetapkan aturan dan sanksi terhadap proses ilegal Menetapkan aturan dan sanksi terhadap proses ilegal Awareness keamanan informasi Penambahan prosedur backup dan restore data Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan

107 94 Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Kontrol yang sudah ada Rekomendasi kontrol Keterangan 38 Proses restore data (A26) Kesalahan data (T14) Kesalahan pemilihan data yang direstore Operator KPKNL Operator Kanwil Layanan terhenti di sebagian kecil kantor operasional (1) Adanya prosedur umum dalam proses restore data Penambahan prosedur backup dan restore data Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan

108 95 Setelah dilakukan analisis penanganan risiko maka harus dilakukan pemilihan risiko mana saja yang harus dilakukan pengurangan risiko. Untuk risiko yang mempunyai nilai sama atau dibawah nilai risiko residual yang diharapkan maka risiko tersebut dipertahankan sedangkan untuk risiko yang mempunyai nilai diatas nilai risiko residual yang diharapkan maka harus dilakukan pengurangan risiko dengan menggunakan analisis biaya dan manfaat (cost benefit analisys) terhadap setiap kontrol yang akan ditambahkan. Hasil dari analisis tersebut dapat mengetahui seberapa besar biaya yang akan dikeluarkan terhadap manfaat yang akan didapatkan baik secara tangible maupun intangible. Selanjutnya ditunjuk pihak yang bertugas untuk melaksanakan tambahan kontrol tersebut berdasarkan tugas dan wewenang masing-masing. Berdasarkan analisis biaya dan manfaat tersebut dapat menentukan apakah rekomendasi kontrol tersebut dapat dijalankan atau tidak. Adapun kondisi yang ditentukan antara lain: Apabila biaya pengurangan risiko lebih kecil dari manfaat yang diperoleh dan terdapat sumber daya yang memadai untuk membiayai pelaksanaan kontrol maka harus dilakukan implementasi kontrol tambahan; Apabila biaya pengurangan risiko lebih besar dari manfaat yang diperoleh dan tidak terdapat sumber daya yang memadai untuk membiayai pelaksanaan kontrol maka risiko tersebut harus dihindari (avoidance) atau ditransfer. Berikut adalah analisis biaya dan manfaat (cost benefit analisys) terhadap rekomendasi kontrol yang digunakan yang dapat dijelaskan pada Tabel 5.15:

109 96 Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol No Rekomendasi Kontrol Kontrol 1 Melakukan enkripsi terhadap elemen data yang bersifat rahasia ISO Kriptograpi (Information system acquisition, development and maintenance) Skenario Biaya/Kegiatan Manfaat Stretegi A2-T4 Honor tim untuk mengelola, melakukan monitor dan perawatan elemen data pada aplikasi Modul Kekayaan Negara. Biaya: (10 orang x 12 bulan x Rp ,- sebesar Rp pertahun) Menghindari tersebarnya informasi rahasia Penghematan: Biaya iklan di koran nasional untuk klarifikas terkait informasi rahasia yang tersebar (10 koran nasional x 5 kali tayang x Rp ,- sebesar Rp ,-) Penanganan PIC Reduction Subdit Pengolahan Data dan Layanan Operasional 2 Menetapkan peraturan dan sanksi terhadap proses ilegal Identifikasi peraturan yang berlaku (Compliance) A22-T13 Honor tim untuk menetapkan peraturan dan sanksi terkait pelanggaran prosedur aplikasi Modul Kekayaan Negara. Biaya: (10 orang x 12 bulan x Rp ,- sebesar Rp pertahun) Terhindar dari data yang tidak akurat Penghematan: Biaya transport dan konsumsi terkait pemutakhiran data (100 satker x 3 hari x Rp ,- sebesar Rp ,-) Reduction Direktorat Hukum dan Humas

110 97 Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No Rekomendasi Kontrol Kontrol 3 Prosedur pengetesan aplikasi dan Evaluasi pembuatan aplikasi ISO Persyaratan keamanan sistem informasi (Information system acquisition, development and maintenance) Skenario Biaya/Kegiatan Manfaat Stretegi A1-T1 A18-T10 Honor tim untuk mengelola prosedur evaluasi dan serah terima aplikasi Modul Kekayaan Negara. Biaya: (10 orang x 12 bulan x Rp ,- sebesar Rp pertahun) Aplikasi Modul Kekayaan Negara dapat dioperasikan dengan baik dan jarang terjadi permasalahan Penghematan: Biaya perbaikan aplikasi oleh vendor di luar kontrak sebesar Rp ,- Penanganan Reduction PIC Subdit Perancangan dan Pengembangan Sistem Aplikasi 4 Prosedur serah terima aplikasi Akses kontrol ke dalam source code program (Information system acquisition, development and maintenance) A1-T2 Memudahkan dalam proses troubleshooting dan update aplikasi Modul Kekayaan Negara Penghematan: Biaya perbaikan aplikasi oleh vendor di luar kontrak sebesar Rp ,- Reduction Subdit Perancangan dan Pengembangan Sistem Aplikasi

111 98 Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No Rekomendasi Kontrol Kontrol 5 Pembuatan logout otomatis aplikasi ISO Sesi time-out (Access Control) Skenario Biaya/Kegiatan Manfaat Stretegi A1-T3 Honor tim untuk mengelola fitur logout otomatis aplikasi Modul Kekayaan Negara. Biaya: (10 orang x 12 bulan x Rp ,- sebesar Rp pertahun) Menghindari penyalahgunaan hak oleh orang yang tidak berwenang Penghematan: Biaya transport dan konsumsi terkait pemutakhiran data (100 satker x 3 hari x Rp ,- sebesar Rp ,-) Penanganan PIC Reduction Subdit Peancangan dan Pengembangan Sistem Aplikasi 6 Pembuatan role authorization Pengelolaan privilege (Access Control) A3-T5 A13-T3 A7-T3 A8-T3 A12-T3 Honor tim untuk mengelola fitur role authorization aplikasi Modul Kekayaan Negara. Biaya: (10 orang x 12 bulan x Rp ,- sebesar Rp pertahun) Menghindari penyalahgunaan hak akibat sharing password yang dapat mengakibatkan kerusakan data Penghematan: Biaya transport dan konsumsi terkait pemutakhiran data (100 satker x 3 hari x Rp ,- sebesar Rp ,-) Reduction Subdit Pengolahan Data dan Layanan Operasional

112 99 Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No Rekomendasi Kontrol Kontrol 7 Pengadaan software antivirus ISO Kontrol terhadap malicious code (Communication and Information Management) Skenario Biaya/Kegiatan Manfaat Stretegi A14-T8 A10-T8 Pengadaan antivirus untuk PC Biaya: Tiap kantor membeli 5 antivirus x Rp = Rp Menghindari kerusakan atau kehilangan data Penghematan: Biaya transport dan konsumsi terkait pemutakhiran data (100 satker x 3 hari x Rp ,- sebesar Rp ,-) Penanganan Reduction KPKNL Kanwil PIC 8 Pembuatan manajemen kapasitas menggunakan software monitoring 9 Manajemen dan pelabelan port Monitoring penggunaan sistem (Communication and Information Management) Kontrol Jaringan (Communication and Information Management) A3-T5 A4-T5 A7-T6 Honor tim untuk mengelola kapasitas dan port perangkat TI. Biaya: (10 orang x 12 bulan x Rp ,- sebesar Rp pertahun) Mencegah terhentinya layanan terkait permasalahan kapasitas server database (permasalahan hard disk) Penghematan: Biaya perjalanan dinas untuk perbaikan hard disk (rata-rata 10 kantor x 2 orang x Rp ,- sebesar Rp ,- Menghindari penyalahgunaan oleh orang yang tidak berhak Penghematan: Biaya perjalanan dinas untuk perbaikan perangkat jaringan (rata-rata 10 kantor x 2 orang x Rp ,- sebesar Rp ,- Reduction Subdit Pengolahan Data dan Layanan Operasional Reduction Subdit Pengolahan Data dan Layanan Operasional KPKNL Kanwil

113 100 Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No Rekomendasi Kontrol Kontrol ISO Pengadaan CCTV Monitoring penggunaan sistem (Communication and Information Management) Skenario Biaya/Kegiatan Manfaat Stretegi A7-T3 Pembelian perangkat CCTV Biaya: Tiap kantor membeli 1 paket CCTV seharga Rp Menghindari gangguan dari orang yang tidak berhak Penghematan: Biaya perbaikan kerusakan perangkat yang sudah habis masa garansi (rata-rata 20 perangkat x Rp ,- sebesar Rp ,- Penanganan Reduction KPKNL Kanwil PIC 11 Pengadaan OS Windows asli Kontrol terhadap malicious code (Communication and Information Management) A10-T1 A11-T1 Pembelian OS Windows asli Biaya: Tiap kantor membeli 5 OS x Rp = Rp Menghindari kerusakan atau kehilangan data Penghematan: Biaya transport dan konsumsi terkait pemutakhiran data (100 satker x 3 hari x Rp ,- sebesar Rp ,-) Reduction KPKNL Kanwil

114 101 Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No Rekomendasi Kontrol Kontrol 12 Meningkatkan kompetensi pegawai ISO Pelatihan, pendidikan kesadaran terhadap keamanan informasi (Human Resources Security) dan Skenario Biaya/Kegiatan Manfaat Stretegi A15-T9 A16-T9 A16-T1 Kegiatan pelatihan Operator KPKNL, Kanwil peningkatan kompetensi dan Kantor Pusat dapat pegawai dalam penggunaan menguasai penggunaan perangkat SI/TI aplikasi aplikasi, perangkat keras dan Modul Kekayaan Negara. lunak Tiap kantor terdapat 3 orang Terhindar dari kerusakan data operator dan perangkat TI Biaya dinas rata-rata Rp5 Penghematan: Biaya transport juta tiap orang dan konsumsi terkait Biaya hotel Rp tiap orang Jumlah = Rp pemutakhiran data (100 satker x 3 hari x Rp ,- sebesar Rp ,-) Penghematan: Biaya perbaikan kerusakan perangkat yang sudah habis masa garansi (rata-rata 20 perangkat x Rp ,- sebesar Rp ,- Penanganan Reduction PKNSI KPKNL Kanwil PIC

115 102 Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No Rekomendasi Kontrol Kontrol 13 Awareness keamanan informasi ISO Pelatihan, pendidikan kesadaran terhadap keamanan informasi (Human Resources Security) dan Skenario Biaya/Kegiatan Manfaat Stretegi A18-T11 A20-T11 Kegiatan sosialisasi dan pelatihan terkait awareness keamanan informasi dalam penggunaan perangkat SI/TI dan pengamanan informasi pada aplikasi Modul Kekayaan Negara. Tiap kantor terdapat 3 orang operator Biaya dinas rata-rata Rp5 juta tiap orang Biaya hotel Rp tiap orang Jumlah = Rp Operator KPKNL, Kanwil dan Kantor Pusat dapat mengetahui dan memiliki awareness keamanan informasi Terhindar dari kerusakan data dan perangkat TI Penghematan: Biaya transport dan konsumsi terkait pemutakhiran data (100 satker x 3 hari x Rp ,- sebesar Rp ,-) Penghematan: Biaya perbaikan kerusakan perangkat yang sudah habis masa garansi (rata-rata 20 perangkat x Rp ,- sebesar Rp ,- Penanganan Reduction PKNSI KPKNL Kanwil PIC

116 103 Berdasarkan hasil analisis biaya dan manfaat pada Tbel 5.15 dapat diketahui bahwa seluruh rekomendasi kontrol yang harus dilakukan mempunyai biaya pengurangan risiko lebih kecil dari manfaat yang diperoleh dan terdapat sumber daya yang memadai untuk membiayai pelaksanaan kontrol maka harus dilakukan implementasi kontrol tambahan. Dengan demikian tidak ada risiko yang akan ditransfer atau dihindari. 5.5 Penerimaan Risiko Berdasarkan ISO 27005, penerimaan risiko adalah keputusan untuk menerima risiko dan bertanggung jawab terhadap keputusan yang diambil dalam mengelola risiko tersebut. Dalam hal ini keputusan harus secara resmi dicatat dan dipatuhi oleh semua pihak. Oleh karena itu dalam penelitian ini disusun daftar risiko beserta keputusan dan pihak yang bertanggung jawab dalam penanganan risiko sehingga dapat memenuhi kriteria penerimaan risiko keamanan informasi yang dapat dilihat pada Tabel 5.16:

117 104 Tabel 5.16 Analisis Penerimaan Risiko No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Penanganan Risiko Rekomendasi kontrol Penanggung Jawab Rencana Kerja 1 Aplikasi Modul KN (A1) 2 Aplikasi Modul KN (A1) 3 Aplikasi Modul KN (A1) Terjadi permasalahan saat mengoperasikan aplikasi (T1) Proses troubleshooting dan update aplikasi terhambat (T2) Penyalahgunaan hak (T3) Proses testing tidak lengkap Dokumentasi terhadap source code aplikasi tidak lengkap Tidak ada logout otomatis saat meninggalkan workstation Vendor Programmer Vendor Programmer Vendor Programmer Operator KPKNL Operator Kanwil Operator Kantor Pusat Aplikasi tidak bisa digunakan Seluruh kantor operasional tidak dapat menggunakan aplikasi Terdapat beberapa atau semua menu aplikasi bermasalah Berdampak pada seluruh kantor operasional Informasi rahasia tersebar ke orang yang tidak berhak (50) (50) (50) Reduction Reduction Reduction Prosedur pengetesan aplikasi Evaluasi pembuatan aplikasi Prosedur serah terima aplikasi Pembuatan logout otomatis aplikasi Subdit Perencanaan dan Pengembangan Aplikasi Subdit Perencanaan dan Pengembangan Aplikasi Subdit Perencanaan dan Pengembangan Aplikasi Juli-Desember 2014 Juli-Desember 2014 Juli-Desember 2014

118 105 Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Penanganan Risiko Rekomendasi kontrol Penanggung Jawab Rencana Kerja 4 Database Kekayaan Negara (A2) Informasi rahasia mudah dibaca (T4) Data rahasia tidak dienkripsi Database Admin Informasi rahasia tersebar ke orang yang tidak berhak Berdampak pada seluruh kantor operasional (50) Reduction Melakukan enkripsi terhadap elemen data yang bersifat rahasia Subdit Pengolahan Data dan Layanan Operasional Juli-Desember Database server (A3) 6 Linux Redhat (A13) Penyalahgunaan hak (T3) Penyalahgunaan hak (T3) Sharing password Sharing Password Database Admin Operator KPKNL Operator Kanwil Operator Kantor Pusat Hacker Data hilang/rusak Berdampak pada seluruh kantor operasional Data hilang/rusak pada beberapa kantor operasional (50) (50) Reduction Reduction Pembuatan role authorization Pembuatan role authorization Subdit Pengolahan Data dan Layanan Operasional Subdit Pengolahan Data dan Layanan Operasional Juli-Desember 2014 Juli-Desember 2014

119 106 Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Penanganan Risiko Rekomendasi kontrol Penanggung Jawab Rencana Kerja 7 Antivirus (A14) 8 Database server (A3) 9 Access Switch (A7) 10 Access Switch (A7) Data hilang/rusak (T8) Server tidak bisa diakses (T5) Penyalahgunaan hak (T3) Koneksi lambat (T6) Anti virus bajakan Tidak ada manajemen kapasitas Sharing password Adanya port yang dibuka untuk komunikasi data Virus Database Admin Hacker Hacker Data hilang/rusak pada beberapa kantor operasional Proses bisnis terhenti antara 3-12 jam Berdampak pada beberapa kantor operasional Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam Koneksi jaringan di beberapa kantor operational lambat 3-12 jam (50) (25) (25) (25) Reduction Reduction Reduction Pengadaan software antivirus Pembuatan manajemen kapasitas menggunakan software monitoring Pembuatan role authorization KPKNL Kanwil Subdit Pengolahan Data dan Layanan Operasional Subdit Pengolahan Data dan Layanan Operaional Reduction Manajemen port Subdit Pengolahan Data dan Layanan Operaional Juli-Desember 2014 Juli-Desember 2014 Juli-Desember 2014 Juli-Desember 2014

120 107 Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Penanganan Risiko Rekomendasi kontrol Penanggung Jawab Rencana Kerja 11 Router (A8) Penyalahgunaan hak (T3) 12 PC (A10) Permasalahan saat penggunaan (T1) 13 PC (A10) Data hilang/rusak (T8) Sharing password Hacker Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam OS bajakan Virus Aplikasi tidak bisa dijalankan di beberapa kantor operasional Tidak ada antivirus Virus Data hilang/rusak di beberapa kantor operasional (25) (25) (25) Reduction Pembuatan role authorization Subdit Pengolahan Data dan Layanan Operaional Reduction Pengadaan OS asli KPKNL Kanwil Reduction Pengadaan antivirus asli KPKNL Kanwil Juli-Desember 2014 Juli-Desember 2014 Juli-Desember OS Windows (A11) Permasalahan saat penggunaan (T1) OS bajakan Virus Aplikasi tidak bisa dijalankan di beberapa kantor operasional (25) Reduction Pengadaan OS asli KPKNL Kanwil Juli-Desember 2014

121 108 Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Penanganan Risiko Rekomendasi kontrol Penanggung Jawab Rencana Kerja 15 Oracle 10G (A12) 16 Operator KPKNL (A15) 17 Operator KPKNL (A15) Penyalahgunaan hak (T3) Kurang menguasai penggunaan aplikasi (T21) Adanya permasalahan dalam pengoperasian perangkat (T9) Sharing password Proses perekrutan kurang memadai Penggunaan software dan hardware yang tidak benar Hacker Operator KPKNL Operator KPKNL Data hilang/rusak pada beberapa kantor Proses bisnis terhenti lebih dari 12 jam Berdampak lebih dari 20 kantor operasional Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam (25) (10) (10) Reduction Reduction Reduction Pembuatan role authorization Peningkatan kompetensi pegawai Peningkatan kompetensi pegawai Subdit Pengolahan Data dan Layanan Operasional PKNSI KPKNL Kanwil PKNSI KPKNL Kanwil Juli-Desember 2014 Juli-Desember 2014 Juli-Desember Operator Kanwil (A16) Kurang menguasai penggunaan aplikasi (T1) Proses perekrutan kurang memadai Operator Kanwil Proses bisnis terhenti lebih dari 12 jam Berdampak lebih dari 20 kantor operasional (10) Reduction Peningkatan kompetensi pegawai PKNSI KPKNL Kanwil Juli-Desember 2014

122 109 Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Penanganan Risiko Rekomendasi kontrol Penanggung Jawab Rencana Kerja 19 Operator Kanwil (A16) Adanya permasalahan dalam pengoperasian perangkat (T9) Penggunaan software dan hardware yang tidak benar Operator Kanwil Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam (10) Reduction Peningkatan kompetensi pegawai PKNSI KPKNL Kanwil Juli-Desember Program mer (A18) Update aplikasi kurang sempurna (T10) Perubahan proses bisnis yang cepat Program mer Aplikasi mengelami masalah di semua kantor operasional (10) Reduction Evaluasi dan monitoring pembuatan aplikasi Subdit Perencanaan dan Pengembangan Aplikasi Juli-Desember Program mer (A18) Kecoran data (T11) Tidak ada kebijakan clear desk dan clear screen Program mer Informasi rahasia tersebar (10) Reduction Awareness keamanan informasi Subdit Perencanaan dan Pengembangan Aplikasi Juli-Desember Database Admin (A20) Kebocoran data (T11) Tidak ada kebijakan clear desk dan clear screen Database Admin Informasi rahasia tersebar (10) Reduction Awareness keamanan informasi Subdit Pengolahan Data dan Layanan Operaional Juli-Desember 2014

123 110 Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Penanganan Risiko Rekomendasi kontrol Penanggung Jawab Rencana Kerja 23 Proses Rekon siliasi (A22) Adanya proses data yang ilegal (T13) Adanya proses yang tidak sesuai prosedur Operator KPKNL Operator Kanwil Kerusakan data di semua kantor operasional (10) Reduction Menetapkan aturan dan sanksi terhadap proses ilegal Direktorat Hukumdan Humas Juli-Desember Storage server (A4) Penyalahgunaan hak (T3) Sharing password Hacker Data hilang/rusak (ada backup) (5) Accept Storage server (A4) Server tidak bisa diakses (T5) Tidak ada manajemen kapasitas Database Admin Proses bisnis terhenti antara 3-12 jam (5) Accept Core Switch (A5) Penyalahgunaan hak (T3) Sharing password Hacker Jaringan di kantor pusat terhenti 3-12 jam (5) Accept Core Switch (A5) Koneksi lambat (T6) Adanya port yang dibuka untuk komunikasi data Hacker Jaringan di kantor pusat lambat 3-12 jam (5) Accept - - -

124 111 Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Penanganan Risiko Rekomendasi kontrol Penanggung Jawab Rencana Kerja 28 Distributor Switch (A6) 29 Distributor Switch (A6) 30 Kabel Jaringan (A9) Penyalahgunaan hak (T3) Koneksi lambat (T6) Koneksi ke perangkat mengalami gangguan (T7) Sharing password Adanya port yang dibuka untuk komunikasi data Instalasi kabel jaringan tidak rapi Hacker Hacker Teknisi Jaringan Pegawai Jaringan di kantor pusat terhenti kurang dari 3 jam Jaringan di kantor pusat lambat kurang dari 3 jam Jaringan kurang dari 20 kantor operasional terhenti kurang dari 3 jam (5) (5) (5) Accept Accept Accept Operator Kantor Pusat (A17) Adanya permasalahan dalam pengoperasian perangkat (T1) Penggunaan software dan hardware yang tidak benar Operator kantor pusat Kerusakan perangkat layanan terhenti 3-12 jam (5) Accept - - -

125 112 Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Penanganan Risiko Rekomendasi kontrol Penanggung Jawab Rencana Kerja 32 Teknisi jaringan (A19) Kurangnya pemeliharaan (T12) Kurangnya personil Teknisi Jaringan Kerusakan perangkat yang berdampak pada beberapa kantor operasional (5) Accept Teknisi jaringan (A19) Akses ilegal (T13) Tidakada kebijakan clear desk dan clear screen Teknisi Jaringan Hacker Layanan lambat/terhenti 3-12 jam di beberapa kantor operasional (5) Accept Petugas Help Desk (A21) Proses kerja lebih lama (T12) Proses rekrutmen kurang memadai Petugas Helpdesk Pelayanan lambat/terhenti di beberapa kantor operasional (5) Accept Proses Rekapitula si (A23) Adanya proses data yang ilegal (T13) Adanya proses yang tidak sesuai prosedur Operator KantorPusat Adanya kerusakan data di kantor pusat (5) Accept - - -

126 113 Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Risiko Penanganan Risiko Rekomendasi kontrol Penanggung Jawab Rencana Kerja 36 Proses Pembuatan Laporan (A24) Adanya proses data yang ilegal (T13) Adanya proses yang tidak sesuai prosedur Operator Kantor Pusat Adanya kerusakan data di kantor pusat (5) Accept Proses backup data (A25) Database hilang/rusak (T8) Adanya proses yang tidak sesuai prosedur Operator KPKNL Operator Kanwil Layanan terhenti di sebagian kecil kantor operasional (5) Accept Proses restore data (A26) Kesalahan data (T14) Kesalahan pemilihan data yang direstore Operator KPKNL Operator Kanwil Layanan terhenti di sebagian kecil kantor operasional (1) Accept - - -

127 114 Pada Tabel 5.16 diatas dapat dijelaskan bahwa pada setiap skenario risiko disusun keputusan penanganan risiko, penanggung jawab risiko dan rencana kerja untuk melakukan rekomendasi kontrol yang telah ditetapkan. Dalam hal ini terdapat 23 skenario risiko yang dilakukan pengurangan risiko (reduction) dan 15 skenario risiko yang dilakukan penerimaan risiko (accept). Penanggung jawab merupakan pihak yang mempunyai kewajiban untuk melakukan penanganan risiko tersebut. Rencana kerja ditetapkan pada bulan Juli Desember Direktorat Jenderal Kekayaan Negara (DJKN) harus melakukan evaluasi, monitoring dan koordinasi yang baik terhadap proses penanganan risiko yang telah ditetapkan terutama dalam implementasi penyusunan rekomendasi kontrol yang bertujuan untuk mengurangi risiko keamanan informasi, dalam hal ini harus dicatat dalam laporan monitoring risiko dan melakukan tindakan korektif apabila terdapat penanganan risiko yang tidak sesuai dengan yang diharapkan.

128 115 BAB VI PENUTUP Bab ini berisi kesimpulan dan saran dari hasil penelitian yang telah dilakukan. Kesimpulan merupakan rangkuman dari penelitian perencanaan manajemen risiko keamanan informasi di DJKN khususnya tentang aplikasi Modul KN. Saran merupakan masukan terhadap proses analisis dan penanganan risiko yang dilakukan oleh DJKN dalam menjalankan proses bisnis untuk mencapai tujuan organisasi. 6.1 Kesimpulan Berdasarkan penelitian yang telah dilakukan, maka perencanaan manajemen risiko keamanan informasi yang tepat bagi DJKN khususnya terhadap aplikasi yang mendukung proses bisnis utama (Modul Kekayaan Negara) adalah mencakup beberapa hal antara lain: a. Penetapan konteks bersumber dari PMKNo.191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan yaitu terkait kriteria evaluasi risiko, kriteria dampak, kriteria penerimaan risiko dan organisasi manajemen risiko keamanan informasi; b. Identifikasi risiko dilakukan dengan melakukan identifikasi aset yang mendukung sistem informasi utama (Modul KN), identifikasi ancaman yang dapat merugikan, identifikasi pengendalian yang ada dan identifikasi kerawanan yang dapat menimbulkan kerugian bagi DJKN; c. Estimasi risiko dengan cara melakukan identifikasi tingkat konsekuensi dan identifikasi tingkat kecenderungan terjadinya risiko. Dalam hal ini dibagi menjadi tiga tingkatan yaitu rendah, sedang dan tinggi; d. Evalusi risiko dengan cara menghitung nilai risiko sesuai matriks evaluasi risiko dan melakukan prioritas penanganan risiko berdasarkan nilai risiko dari yang tertinggi sampai terendah;

129 116 e. Penanganan risiko berisi tentang rencana penanganan risiko yang terdiri dari empat opsi yaitu accept, reduction, avoid dan transfer. Untuk mengurangi risiko dengan cara menyusun rekomendasi kontrol sesuai dengan pedoman ISO Dalam hal ini terdapat 23 skenario risiko yang dilakukan pengurangan risiko (reduction) dan 15 skenario risiko yang dilakukan penerimaan risiko (accept). f. Penerimaan risiko berisi tentang keputusan penanganan risiko, penanggung jawab penanganan risiko dan jadwal implementasi rekomendasi kontrol. 6.2 Saran Adapun saran yang dapat dikemukakan sebagai berikut: a. Direktorat Jenderal Kekayaan Negara (DJKN) harus melakukan evaluasi, monitoring dan koordinasi terhadap proses penanganan risiko yang telah ditetapkan, dalam hal ini harus dicatat dalam laporan monitoring risiko dan melakukan tindakan korektif apabila terdapat penanganan risiko yang tidak sesuai dengan yang diharapkan; b. Prosedur dan kebijakan yang disusun oleh DJKN dalam upaya untuk mengurangi risiko keamanan informasi harus disusun sesuai dengan hasil analisis risiko keamanan informasi dan rekomendasi kontrol yang telah ditetapkan sehingga dapat meminimalisir risiko bisnis; c. Direktur Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI) sebagai ketua tim keamanan informasi unit eselon I (CISO eselon I) harus berkoordinasi dan melakukan kesepakatan (Memorandum of Understanding/MOU) dengan ketua tim keamanan informasi kementerian keuangan (CISO Kementerian Keuangan) dalam pengembangan dan penerapan manajemen risiko keamanan informasi. d. DJKN perlu menyusun framework risiko yang lebih komprehensif dengan mengumpulkan dan menganalisis berbagai macam risiko yang dapat terjadi pada unit eselon dibawahnya (pemilik risiko) sehingga dapat mengetahui profil risiko secara lengkap.

130 117 DAFTAR PUSTAKA Andress, J. (2011). The Basic of Information Security : Understanding the Fundamental of Infosec in Theory and Practice. Syngress: USA. Committee for Oversight and Assesment (COA) (2005). The Owner s Role in Project Risk Management. The National Academies Press: USA. Direktorat Jenderal Kekayaan Negara (2010). KEP-38/KN/2010 tentang Rencana Strategis Direktorat Jenderal Kekayaan Negara Tahun Jakarta, Indonesia: DJKN. Direktorat Jenderal Kekayaan Negara (2008). Blue Print TIK DJKN. Jakarta, Indonesia: DJKN. Direktorat Pengelolaan Kekayaan Negara dan Sistem Informasi (2012). Matriks Tindak lanjut Temuan Pemeriksaan Inspektorat Jenderal atas Kegiatan Pengelolaan BMN Tahun 2011 dan Jakarta, Indonesia : DJKN. Hintzbergen, K. & Smulders, A. (2010). Foundations of Information Security: Based on ISO27001 and ISO Van Haren Publishing: USA. Inspektorat Jenderal (2011). Laporan Hasil Audit Pembangunan Modul Kekayaan Negara pada Direktorat Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI). Jakarta, Indonesia: Inspektorat Jenderal. International Standard Organization (2008). ISO/IEC 27005: Information Technology Security Techniques Information Security Risk Management. Switzerland. International Standard Organization (2005). lso/iec 27002:2005 (Information Technology-Security Techniques-Code of Practice for Information Security Management). Switzerland. International Standard Organization (2005). lso/iec 27002:2005 (Information Technology-Information Security Management System- Requirement). Switzerland. International Standard Organization (2009). lso/iec 31000:2009 (Risk Management-Guidelines on Principles and Implementation of Risk Management). Switzerland. Information System Audit and Control Association (ISACA) (2013). CISM: Review Manual Rolling Meadows: USA.

131 118 Kementerian Keuangan (2008). PMK No.191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan. Jakarta, Indonesia. Kementerian Keuangan (2007). PMK No.120/PMK.06/2007 tentang Penatausahaan Barang Milik Negara. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Keuangan (2007). PMK No.96/PMK.06/2007 tentang Tata Cara Pelaksanaan Penggunaan, Pemanfaatan, Penghapusan dan Pemindahtanganan Barang Milik Negara. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Keuangan (2010). PMK No.184/PMK.01/2010 tentang Organisasi dan Tata Kerja Kementerian Keuangan. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Keuangan (2012). PMK No.170/PMK.01/2012 tentang Organisasi dan Tata Kerja Instansi Vertikal di Direktorat Jenderal Kekayaan Negara. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Keuangan (2010). KMK No.479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan. Jakarta, Indonesia. Kementerian Keuangan (2010). KMK-40/KMK.01/2010 tentang Rencana Strategis Kementerian Keuangan tahun Jakarta, Indonesia: Kementerian Keuangan. Kementerian Komunikasi dan Informatika (2007). Permenkominfo Nomor 41/PERMEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional.Jakarta: Indonesia. Lestari, E. (2011). Karya Akhir. Evaluasi Manajemen Risiko Keamanan Informasi Sistem Provisionong Gateway Telkom Flexy. Jakarta:. McIlwraith, A. (2012). Information Security and Employee Behaviour : How to Reduce Risk Through Employee Education, Training and Awareness. Gower Publishing Limited:USA. Natonal Institute of Standard and Technology (NIST) (2002). Risk Management Guide for Information Technology System.USA. Pemerintah Republik Indonesia. (2008). Undang-undang Nomor 60 tahun 2008 tentang Sistem Pengendalian Internal Pemerintah.Jakarta: Indonesia Oktrada, A.L.A. (2012). Karya Akhir. Perancangan Manajemen Resiko Sistem Informasi di Instansi Pemerintah: Studi Kasus Direktorat Jenderal Perkeretaapian. Jakarta :.

132 119 Prasastie, F. (2013). Karya Akhir. Manajemen Resiko Sistem Informasi : Studi Kasus Pusat Komunikasi Kementerian Luar Negeri. Jakarta: Universitas Indonesia. Smith, R.E. (2011). Elementary Information Security. Jones & Bartlett Learning.USA Software Engineering Instistute (2011). Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Catalog of Practise. USA. The European Union Agency for Network and Informastion Security (ENISA). Diakses pada tanggal 4 Maret Ward, J, & Peppard, J. (2002). Strategic Planning for Information Systems Third Edition. England: John Wiley & Sons, LTD. Whitman, M. & Mattord H. (2013). Principles of Information Security Fourth Edition. Cangage Learning: USA

133 120 LAMPIRAN A.TRANSKRIP WAWANCARA Transkrip Wawancara dengan Kasubdit Pengelolaan Data dan Layanan Operasional DJKN Narasumber : I Ketut Puja Unit Kerja : Subdit Pengelolaan Data dan Layanan Operasional DJKN Jabatan : Kasubdit Tanggal/Jam : 4 Februari 2014 SP : Sigit Prasetyo IK : I Ketut Puja SP : IK : SP : IK : SP : IK : SP : IK : SP : IK : Selamat Pagi Pak, apa kabar? Mohon waktu sebentar pak untuk wawancara terkait penyusunan tesis. Kabar baik mas sigit. Rencana mau ngambil topik apa? Rencananya mengambil topik manajemen risiko TI pak Wah bagus itu. Kira-kira bentuknya seperti apa? Begini pak, pertama melakukan analisis risiko berdasarkan aset informasi terhadap proses bisnis utama di DJKN kemudian melakukan penanganan risikonya. Kalau mau yang dianalisis proses bisnis utama aja yaitu pengelolaan barang milik negara. Itu juga udah banyak prosesnya. Dari poses pengadaan sampai penghapusan BMN Permasalahan yang dihadapi apa saja pak? Diantaranya kurangnya SDM TI dan kompetensinya. Apakah sudah ada perancangan manajemen risiko TI di DJKN? Sepertinya belum ada. Coba cek di Blue Print TIK DJKN sepertinya ada penjelasan mengenai risiko.

134 121 SP : IK : Oh gitu pak. Baik nanti saya cek di Blueprint. Baik Pak, saya rasa sudah cukup. Nanti kalau saya membutuhkan informasi bisa bertanya bapak lagi. Terima kasih Pak. Sama-sama.

135 122 Transkrip Wawancara dengan Kasi Pengolahan Data dan Layanan Informasi Narasumber : Salman Paris Muda Unit Kerja : Subdit Pengelolaan Data dan Layanan Operasional DJKN Jabatan : Kasi Tanggal/Jam : 4 dan 27 Maret 2014 SP : Sigit Prasetyo SM : Salman Paris Muda SP : Selamat pagi pak, saya ingin berdiskusi tentang pengelolaan data dan informasi di DJKN terkait dengan tesis yang saat ini saya kerjakan. Bagaimana keadaan saat ini? SM : Untuk saat ini pengelolaan data di DJKN masih terpisah-pisah dikarenakan aplikasi yang ada saat ini seperti seperti Sistem Informasi Manajemen Kepegawaian (SIMPEG), Sistem Informasi Piutang Lelang (SIMPLe), Modul Kekayaan Negara (Modul KN), aplikasi tata persuratan, modul rekonsiliasi BMN dan yang lain belum terintegrasi. SP : Apakah ada permasalahan terkait hal tersebut? SM : Seringkali pertukaran data antar aplikasi dilakukan dengan melakukan input ulang sehingga menyebabkan tingkat efektifitasnya menjadi rendah. Dengan data dan informasi yang terpisah-pisah tersebut menjadikan proses pembuatan laporan juga menjadi sulit dan harus dilakukan secara terpisah. SP : Penyebabnya apa saja pak? SM : DJKN melakukan pembelian perangkat keras dan pengembangan perangkat lunak pada waktu yang berbeda dan dari vendor yang berbeda. Perbedaan pengembang dan tahun pembuatan jelas berdampak pada kepemilikan sejumlah sistem dengan platform yang berbeda-beda, mulai dari perbedaan teknologi perangkat keras, bahasa pemrograman, sistem pengelola basis data, sistem operasi sampai dengan sistem aplikasi penunjang lainnya. DJKN sebagai satu kesatuan memerlukan integritas

136 123 data dan informasi dari seluruh fungsi baik fungsi utama maupun fungsifungsi pendukung. Namun integritas data dan informasi ini tidak dapat diperoleh melalui sistem yang dimiliki DJKN saat ini karena adanya perbedaan platform. Perbedaan platform menyebabkan terjadinya pulaupulau informasi karena setiap sistem tidak dapat berkomunikasi untuk saling berbagi pakai data dan informasi. SP : Terkait dengan aplikasi kira-kita aplikasi mana yang paling penting di DJKN? SM : Saya kira aplikasi Modul Kekaan Negara yang paling penting karena berisi tentang pengelolaan BMN yang ada di seluruh Kementerian/Lembaga dan menjadi proses bisnis utama di DJKN SP : Mengenai database Modul KN seperti apa dan bagaimana permasalahannya? SM : Modul KN adalah aplikasi berbasis desktop jadi database tersimpan di laptop tapi kita usahakan agar database tersebut kita arahkan ke server database di masing-masing kantor agar aman dan tidak hilang. Permasalahannya adalah operator KPKNL/Kanwil biasanya masih menggunakan sharing password di servernya padahal sudah kita buatkan user admin dan lainnya. Dampaknya database menjadi terhapus/rusak. SP : Apakah sudah ada kontrol terkait hal tersebut? SM : Sepertinya belum ada, saat ini masih berupa himbauan dan teguran. SP : Baik pak. Sepertinya sudah cukup. Terima kasih. SM : Sama-sama SP : Siang Pak. Maaf mengganggu. Saya mau wawancara lagi terkait dengan tingkat dampak terkait manajemen risiko keamanan informasi. Apakah sudah ada standar tentang tingkatan dampak apabila database mengalami permasalahan? SM : Sampai saat ini belum ada. SP : Kira-kira yang mempunyai dampak paling tinggi terhadap data itu seperti apa? Apakah tingkat ketersediaan data, keutuhan data atau kerahasiaan data?

137 124 SM : Kalau untuk ketersediaan data kan kita bicara tentang jaringan yang menghubungkan antara data dan pengguna, biasanya kita golongkan rendah karena tidak merusak data, untuk yang sedang itu apabila ada kerusakan/kehilangan data tapi kita masih menyimpan backupnya. kan yang tinggi itu apabila tidak ada backupnya dan data rahasia tersebar. SP : Apakah saat ini pernah terjadi untuk dampak tinggi tersebut? SM : Pernah, data rusak tapi tidak ada backupnya, padahal kita sudah backup otomatis tiap hari nya tapi hasil backupnya error. SP : Untuk data rahasia tersebar bagaimana? SM : Belum pernah ada laporan seperti itu. Ya semoga jangan. SP : Baik Pak. Terima kasih.

138 125 Transkrip Wawancara dengan Administrator Modul KN Narasumber : Aris Suhada Mian Unit Kerja : Subdit Perancangan dan Pengembangan Aplikasi Jabatan : Pelaksana Tanggal/Jam : 4 Maret 2014 SP : Sigit Prasetyo AM : Aris Suhada Mian SP : Selamat pagi mas, saya mau bertanya tentang aplikasi Modul KN. Sebenarnya Modul KN itu aplikasi apa dan apa yang menjadi latar belakangnya? AM : Latar belakang pembuatan Modul KN terkait dengan PMK 120 /PMK.06/2007 tentang Penatausahaan BMN dan PMK 102/PMK.05/2009 tentang Tatacara Rekonsiliasi BMN dalam rangka penyusunan LKPP. Modul KN merupakan aplikasi yang digunakan untuk rekonsiliasi data pengelolaan BMN di SIMAK-BMN dengan data penggunaan anggaran di SAKPA sehingga menghasilkan neraca yang seimbang. SP : Apa saja permasalahan yang dihadapi? AM : Update aplikasi Modul KN sering dilakukan dikarenakan tiap tahun selalu ada perubahan proses bisnis misalnya tahun kemarin adanya pergantian kode barang terkait dengan Perubahan PMK Nomor: 97/PMK.06/1997 menjadi PMK Nomor: 29/PMK.06/2010 tentang Penggolongan dan Kodefikasi BMN SP : Dampaknya apa mas? AM : Kita harus cepat membuat update aplikasi Modul KN, namun karena terbatasnya waktu dan sumberdaya masih terdapat error di aplikasi tersebut sehingga menyulitkan operator di KPKNL/Kanwil. SP : Permasalahan apalagi yang ditemui?

139 126 AM : Kebetulan saya punya lembar hasil audit terkait pembangunan Modul KN yang dilakukan oleh Inspektorat Jenderal, disitu banyak sekali permasalahan Modul KN. SP : Baik pak nanti saya minta salinannya, terkait dengan penggunaan Modul KN di KPKNL/Kanwil apakah ada permasalahan? AM : Ada yang mengoperasikan Modul KN tidak sesuai prosedur misalnya menggunakan user orang lain sehingga menyebabkan data menjadi tidak sesuai SP : Apakah sudah ada kontrol? AM : Kita berikan sanksi nantinya sesuai di Perdirjen 07 tapi saat ini masih belum ditetapkan. SP : Dampaknya seperti apa? AM : Keterlambatan pelaporan sehingga menyebabkan satker harus bolak balik ke kantor terkait dengan data dan sehingga memperlambat pelayanan dan proses kerja lebih lama. SP : Apakah dampak secara finansial? AM : Sampai saat ini belum ada. SP : Apakah sudah ada prosedur pengoperasian Modul KN? AM : Sudah ada. Kita berikan manual instalasi dan cara pengoperasian Modul KN. Bahkan kita sering memberikan pelatihan pengoperasian Modul KN ke tiap daerah. SP : Apakah ada keluhan dari user terkait aplikasi Modul KN? AM : Terkait dengan aplikasi yang masih berbabasis desktop sehingga harus instalasi sistemnya di laptop/pc. Kadang ada yang berhasil ada yang tidak. Sehingga menyulitkan kinerja mereka. SP : Baik mas. Itu saja barangkali yang saya tanyakan. Terima kasih AM : Sama-sama.

140 127 Transkrip Wawancara dengan Pranata Komputer DJKN Narasumber : Arizal Fauzi Unit Kerja : Subdit Pengolahan Data dan Layanan Operasional Jabatan : Pelaksana Tanggal/Jam : 4 Maret 2014 SP : Sigit Prasetyo AF : Arizal Fauzi SP : Siang mas. Saya ingin menanyakan tentang infrastruktur terkait dengan aplikasi Modul KN. Bagaimana tentang kondisi jaringannya? AF : Sekarang ini untuk jaringan menggunakan VPN Pusintek Sekjen melalui operator Telkom. SP : Apakah ada permasalahan? AF : Biasanya respon time yang tinggi dikarenakan banyaknya bandwith yang digunakan dan adanya kondisi daerah yang jauh terutama di daerah timur dikarenakan masih menggunakan satelit. SP : Dampaknya seperti apa? AF : Proses pengiriman data menjadi lambat dan kadang gagal. Makanya kita berikan server database di tiap kantor untuk menyimpan data dan dari kantor pusat dapat mengambil data tersebut sewaktu-waktu apabila dibutuhkan. SP : Terkait dengan database di server apakah ada permasalahan? AF : Kalau database di server pusat jarang sekali terjadi permasalahan sedangkan di kantor daerah sering terjadi, misalnya database yang tiba-tiba drop sehingga menyebabkan data hilang/rusak. SP : Penyebabnya apa? AF : Kadang user menggunakan password root sehingga dapat merubah data padahal sudah kita anjurkan untuk menggunakan user masing-masing. SP : Dari sisi hardware bagaimana?

141 128 AF : SP : AF : SP : AF : User tidak memantau kapasitas hard disk di server sehingga kaspasitas penuh dan tidak bisa diakses. Untuk daerah timur biasanya ada masalah listrik sehingga dapat merusak server. Apakah sering terjadi? Sering terjadi, makanya kita akan gunakan monitoring jaringan dan kapasitas server untuk memantau keadaan di daerah. Kalau mau lebih jelasnya bisa di cek di web layanan helpdesk tik djkn. Disana banyak mencatat permasalahan baik aplikasi, jaringan, hardware maupun software yang berkaitan dengan Modul KN. Baik mas. Nanti saya coba untuk meminta datanya. Terima kasih. Sama-sama.

142 129 Transkrip Wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi Narasumber : Agus Setyo Pambudi Unit Kerja : Subdit Pengolahan Data dan Layanan Operasional Jabatan : Kasi Tanggal/Jam : 27 Maret dan 16 April 2014 SP : Sigit Prasetyo AP : Agus Setyo Pambudi SP : Selamat siang Pak. Mohon kesediaan waktunya untuk wawancara terkait manajemen risiko di DJKN. Setelah saya membaca PMK 191 tahun 2008, siapa yang ditunjuk sebagai ketua manajemen risiko? AP : DJKN telah menunjuk sekretaris DJKN sebagai ketua manajemen risiko dan Direktur PKNSI sebagai anggota komite manajemen risiko. SP : Menurut PMK 191 tahun 2008 bahwa setiap unit eselon I wajib membuat laporan manajemen risiko setiap 6 bulan. Apakah DJKN sudah melakukan hal itu? AP : DJKN pada semester I tahun ini sudah membuat laporan manajemen risiko yang dibuat di tiap unit eselon II. Isinya berupa analis risiko berdasarkan sasaran kerja tiap unit, kemudian ditentukan risiko apa yang sudah atau mungkin terjadi selanjutnya menentukan penyebab timbulnya risiko tersebut. SP : Proses terakhir sampai tahap apa pak? AP : Sebenarnya sampai tahap monitoring dan koreksi namun karena kita baru membuat pada semester ini jadi hanya sampai tahap penanganan risiko. SP : Apakah ada analisi tentang penanganan risiko? AP : Nah sebelum proses itu harus ditentukan dulu seberapa besar dampak yang terjadi dan sejauh mana kecenderungannya. Kalau mau lihat saya ada contoh laporannya.

143 130 SP : Prosesnya mirip dengan analisis yang saya kerjakan di penelitian saya pak. Bagaimana menentukan tingkat dampak dan kecenderungannya? AP : Kita melakukan rapat di lingkungan unit eselon II untuk menentukan tingkat dampak tersebut. SP : Di PMK sebenarnya ada definisi tingkat dampak dan kecenderungan pak tapi saya rasa terlalu umum masih kurang jelas. AP : Makanya kita tentukan tingkat tersebut dengan melalui rapat tadi dengan diskusi penentuan tingkatannya. SP : Begini pak, saya sebenernya juga ingin membuat tingkat dampak dan kecenderungan tapi belum punya gambaran terkait tesis saya tentang manajemen risiko keamanan informasi di Modul KN. Kira-kira tingkat dampak untuk Modul KN itu seperti apa? Kita kan punya sekitar 95 kantor operasional apakah bisa ditentukan? AP : Sebenarnya bisa kita tentukan sendiri berdasarkan pengalaman kejadian masa lalu, terkait aplikasi Modul KN kalau ada permasalahan kurang dari 5 kantor operasional biasanya masih rendah, bila sampai sekitar kantor kita golongkan sedang tapi kalo lebih dari itu tinggi. SP : Apakah sudah ada standar semacam itu pak? AP : Untuk saat ini belum ada. SP : Kalau terkait dengan availability seperti apa pak? Misalnya tingkat availability dari layanan pendukung aplikasi Modul KN? AP : Itu juga belum ada standarnya. Biasanya kalau rendah itu misalnya gangguan di pagi hari maksimal siang sebelum istirahat sudah selesai, kalau sedang itu selesai satu hari kerja, tinggi biasanya lebih dari 1 hari jam. SP : Untuk saat ini standar apa saja yang sudah ditetapkan? AP : Standar pemasangan jaringan, penamaan komputer, pembangunan data center di kantor operasional. Istilahnya masih banyak di bidang hardware. SP : Terkait dengan pengurangan risiko dimana harus terdapat kontrol tambahan, kira-kira seperti apa kriteria kontrol tersebut? AP : Harus terdapat dukungan dana dan unit yang bertanggung jawab, efektif dan efisien, tidak mengganggu proses bisnis dan terdapat manfaat.

144 131 SP : Oh iya pak. terkait dengan implementasi kontrol tambahan, apakah di kantor pusat dan kantor operasional terdapat dana untuk membiayai hal tersebut? AP : Pasti ada. Kalau tidak salah saya dapat informasi di pusat itu di PKNSI anggaran untuk perawatan TI sekitar Rp 15 milyar untuk tahun ini. Untuk sosialisasi kurang lebih Rp 500 juta. Untuk di kantor operasional kira-kira Rp 100 juta untuk perawatan TI SP : Begini Pak, terkait dengan laporan manajemen risiko semester I DJKN tahun 2014 apakah ada sasaran strategis yang menyinggung tentang keamanan informasi? AP : Sasaran strategis itu mempunyai risiko yang bersifat strategis maupun operasional. Kalau risiko strategis biasanya berhubungan dengan stakeholder di Kementerian/Lembaga. kan risiko operasional biasanya berhubungan dengan proses bisnis yang ada di DJKN. SP : Kalau saya lihat ada di sasaran strategis yaitu pengelolaan dan pengembangan TIK yang optimal pak. AP : Nah itu bisa terjadi keterkaitan. SP : Tapi di kriteria evaluasi risiko yang digunakan itu bersifat kuantitatif pak yaitu jumlah pembangunan sistem informasi yang tidak terlaksana. Saya rasa kriterianya kurang pas pak. Memangnya kalau sudah membangun sistem informasi secara otomatis mendukung proses bisnis pak? AP : Memang kurang pas sih. Harusnya ada kriteria secara kualitatif mas. Bukannya mas sudah membuat kriteria evaluasi risiko tentang Modul KN? SP : Sudah Pak. AP : Itu saja dipakai dulu. Nanti semester depan kan kita buat laporan manajemen risiko lagi dan sebaiknya ditambahkan di kriteria secara kualitatif. SP : Terkait dengan risiko residual yang diharapkan seperti apa pak? Saya lihat di laporan nilai risikonya rendah yang terdiri dari nilai dampak sedang dan nilai kecenderungan rendah.

145 132 AP : Hasil keputusan nilai residual yang diharapkan rendah kan hasil dari Forum Group Discussion (FGD) dari perwakilan unit eselon II di DJKN mas. Saya kira pakai patokan itu saja. SP : Baik pak. Saya rasa sudah cukup. Terima Kasih pak.

146 133 B. REKAP HELPDESK TIK DJKN Rekap Helpdesk tahun 2010

147 134 Rekap Helpdesk tahun 2011

148 135 Rekap Helpdesk tahun 2012

149 136 Rekap Helpdesk tahun 2013