BAB IV ANALISIS RESIKO TEKNOLOGI INFORMASI

dokumen-dokumen yang mirip
BAB V STRATEGI MITIGASI RESIKO

BAB V STRATEGI MITIGASI RESIKO

ANALISA RESIKO KEAMANAN INFORMASI SEBAGAI STRATEGI MITIGASI RESIKO PADA TOKO ONLINE X

[16] Universal Postal Union (2003). The Postal Industry at October Universal Postal Union (UPU), Berne.

BAB I PENDAHULUAN. I.1 Latar Belakang

ANALISA RESIKO KEAMANAN INFORMASI (INFORMATION SECURITY). STUDI KASUS: POLIKLINIK XYZ

MITIGASI RISIKO KEAMANAN SISTEM INFORMASI

ERWIEN TJIPTA WIJAYA, ST,. M.KOM

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

Computer & Network Security : Information security. Indra Priyandono ST

PENDAHULUAN Keamanan Komputer Mengapa dibutuhkan?

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

USULAN KERANGKA MANAJEMEN RESIKO IMPLEMENTASI TEKNOLOGI BARU DALAM MENDUKUNG AKTIVITAS BISNIS PERUSAHAAN TELEKOMUNIKASI

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

Masalah Keamanan Pada Sistem Mobile

BAB 4 AUDIT SISTEM INFORMASI. Pada bab ini akan membahas mengenai proses pelaksanaan Audit Sistem

PERANCANGAN INSTRUMENT PENGUKURAN RISK ASSESSMENT SEBAGAI REKOMENDASI STRATEGI MITIGASI RESIKO DI SBUPE BANDUNG TESIS

BAB II TINJAUAN PUSTAKA

BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS

Keamanan Jaringan Internet dan Intranet terhadap Lalu Lintas Data dan Informasi

Langkah langkah FRAP. Daftar Risiko. Risk

PENERAPAN SISTEM KEAMANAN TEKNOLOGI INFORMASI. Zaenal Arifin

Ancaman & Keamanan Jaringan Komputer. Rijal Fadilah, S.Si

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

SistemKeamanan Komputer

BAB 4 EVALUASI SISTEM INFORMASI PERSEDIAAN BARANG JADI. untuk meningkatkan efektifitas dan efisiensi kegiatan operasional perusahaan.

Oleh :Tim Dosen MK Pengantar Audit SI

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom., M.Kom

LAMPIRAN. Hasil kuesioner yang dilakukan dengan Manager PT. Timur Jaya, Bapak Jimmy Bostan

ANALISIS DAN REKOMENDASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI PADA PEMERINTAH DAERAH

Tugas III II5166 (Keamanan Informasi Lanjut)

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

Andi Dwi Riyanto, M.Kom

BAB I PENDAHULUAN. Bab I Pendahuluan. Teknologi Informasi (TI) maka ancaman terhadap informasi tidak saja

Daftar Pertanyaan Wawancara Berdasarkan Pengendalian Manajemen Keamanan. tinggi? PC? PC? pada ruang PC? antivirus? berkala?

Manajemen Resiko Proyek Sistem Informasi Pangkalan Data Sekolah dan Siswa (PDSS)

Pertemuan ke 2 Hendra Di Kesuma, S.Kom., M.Cs. Sistem Informasi STMIK BINA NUSANTARA JAYA

BAB IV IMPLEMENTASI DAN EVALUASI. Sistem yang dibangun pengembang adalah berbasis web. Untuk dapat

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG PADA PT. TIRATANA ELECTRIC

RISK ASSESSMENT. Yusup Jauhari Shandi. Sekolah Tinggi Manajemen Informatika dan Komputer LIKMI Jl. Ir. H. Juanda Bandung 40132

BAB I Gambaran Pemeriksaan SI (Overview of Information System Auditing)

BAB I PENDAHULUAN 1.1. Latar Belakang

KESIMPULAN DAN SARAN

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

Pengantar Keamanan Sistem Informasi. Hasdiana, S.Kom, M.Kom

Harpananda Eka Sarwadhamana/

Prosedure Keamanan Jaringan dan Data

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

ANALISIS MANAJEMEN RESIKO PADA PENGGUNAAN SISTEM INFORMASI SMART PMB DI STMIK AMIKOM YOGYAKARTA

KEAMANAN JARINGAN KOMPUTER ` MODUL 1 DASAR DASAR KEAMANAN KOMPUTER. DISUSUN OLEH Kundang K.Juman,Ir, MMSI

Pengantar Open Source dan Aplikasi Aspek Keamanan Open Source. Rusmanto at gmail.com Rusmanto at nurulfikri.ac.id

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

BAB 1 PENDAHULUAN Latar Belakang

Keamanan Komputer & Sistem Informasi. Komang Anom Budi Utama, SKom

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

APPENDIX A. Sumber dan Tujuan. Data. Arus Data. Proses Transformasi. Penyimpanan Data

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

BAB 4 EVALUASI SISTEM INFORMASI SURETY BOND PADA PT. ASURANSI JASA RAHARJA PUTERA

Basis Data 2. Database Client / Server. Arif Basofi, S.Kom. MT. Teknik Informatika, PENS

1. Pendahuluan. 1.1 Latar Belakang Masalah

PROJECT RISK MANAGEMENT (MANAJEMEN RESIKO PROYEK) (MATA KULIAH MANAJEMEN PROYEK PERANGKAT LUNAK)

Aulia Febriyanti

Dasar Keamanan Jaringan Komputer

BAB III TUGAS DAN TANGGUNG JAWAB ADMIN SERVER

Database Security BY NUR HIDAYA BUKHARI PRODI TEKNIK INFORMATIKA DAN KOMPUTER UNIVERSITAS NEGERI MAKASSAR 2012

KUESIONER. Nama Responden. Bagian/Jabatan

Pengenalan Keamanan Jaringan

BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

Lampiran Check List Pengendalian Manajemen Operasional. No. Pertanyaan Y T Keterangan Standart

MODUL PERKULIAHAN. Basis Data. Keamanan Basis Data. Fakultas Program Studi Tatap Muka Kode MK Diterjemahkan dan disusun oleh

Laboratorium Universitas Widyatama

: ADRIAN YUDHA PRIATNA NIM : Bab 9

Universitas Trunojoyo Madura Program Studi : Sistem Informasi Dosen : Wahyudi Setiawan,S.Kom,M.Kom CYBER CRIME ETIKA TEKNOLOGI INFORMASI.

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

BAB I PENDAHULUAN 1.2. Latar Belakang Masalah

BAB IV IMPLEMENTASI DAN PENGUJIAN

1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?

KEAMANAN INFORMASI. Keamanan informasi ditujukan untuk mencapai tiga tujuan utama, yaitu :

INTEGRITAS DAN KEAMANAN DATA. Gentisya Tri Mardiani, S.Kom., M.Kom

ANALISIS KEAMANAN WEBSITE DI UNIVERSITAS MUHAMMADIYAH SURAKARTA

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)

ABSTRAK. Kata kunci : Manajemen, Risiko, COBIT 5, APO12

Keamanan Jaringan.

BAB 4 PELAKSANAAN AUDIT SISTEM INFORMASI. Pada bab ini akan dijelaskan mengenai pelaksanaan Audit Sistem Informasi Penjualan

BAB 4 IMPLEMENTASI DAN EVALUASI

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

KEAMANAN SISTEM INFORMASI KONSEP SISTEM INFORMASI AKUNTANSI

Menu ini digunakan untuk user untuk login ke sistem QAD. User harus memasukkan username dan password.

PENGUJIAN PERANGKAT LUNAK

BAB 4 AUDIT SISTEM INFORMASI. audit dari wawancara dengan manajer yang terkait dan bagian bagian yang

PENIPUAN DAN PENGAMANAN KOMPUTER

BAB 4 HASIL DAN PEMBAHASAN MANAJEMEN RISIKO TI. IT. Hasil wawancara tersebut dimasukkan ke dalam lampiran kuisioner berbasis

Keamanan Jaringan TIM PENGAJAR PTIK

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA CABANG CV. PESONA DIGITAL DI MALL TAMAN ANGGREK

BAB IV KONFIGURASI INSTALASI UPS. daya serta kerusakan sistem dan hardware. UPS akan menjadi sistem yang sangat

Pendahuluan. Keamanan Komputer mencakup:

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

Transkripsi:

BAB IV ANALISIS RESIKO TEKNOLOGI INFORMASI IV.1 Penerapan Alur Metode Analisis Resiko Kombinasi antara studi literatur dengan studi lapangan yang telah dilakukan, dapat menghasilkan suatu cara di dalam melakukan analisis resiko pada penelitian ini, yaitu dengan mengadopsi beberapa langkah-langkah yang terdapat pada manajemen resiko, dengan melakukan penyesuaian kondisi yang terdapat pada organisasi SBUPE. IV.1.1 Penerapan Metode Kualitatif di SBUPE Berikut ini, disajikan suatu alur yang dilakukan pada organisasi SBUPE untuk mengetahui tingkatan resiko secara kualitatif. Penjelasan mengenai alur tersebut, terdapat dalam sub Bab IV.2. Profile SBUPE, proses bisnis, Identifikasi asset secara umum Pengelompokan Asset Information-Gathering Techniques Identifikasi Asset dan Valuasi Asset Threat pada track and trace system Vulnerability pada track and trace Pengukuran Resiko Likelihood, Level Of Impact, Exposure Rating, Vulnerability Level Tingkat Resiko Gambar IV.1 Alur Penerapan Metode Kualitatif 61

IV.1.2 Penerapan Metode Kuantitatif di SBUPE Berikut ini, disajikan suatu alur yang dilakukan pada organisasi SBUPE untuk mengetahui tingkatan resiko secara kuantitatif. Penjelasan mengenai alur tersebut, terdapat pada sub Bab IV.3 Profile SBUPE, proses bisnis, Identifikasi asset secara umum Account Officer Pengelompokan Asset Identifikasi dan Valuasi Asset Langkah pada kualitatif ARO Threat dan Vulnerability pada track and trace system Information-Gathering Techniques EF SLE ALE Cost/benefit Analysis T Hasil Cost/ benefit < 1?? Y Kandidat safeguard diimplementasi Gambar IV.2 Alur Penerapan Metode Kuantitatif 62

IV.2 Pengelompokkan Asset Di dalam memperkirakan penilaian resiko untuk suatu sistem IT, langkah yang pertama adalah menggambarkan lingkup usahanya (scope of the effort). Pada langkah ini, batasanbatasan dari IT mulai diidentifikasi, bersama dengan sumber daya dan informasi yang menjadi dasar sistemnya. Karakter suatu sistem IT dikenali, untuk menetapkan ruang lingkup usaha penilaian resiko, menggambarkan batasan-batasan otorisasi operasional, dan menyediakan informasi yang penting untuk menjelaskan resiko, contohnya: hardware, software, konektifitas sistem, dan divisi yang bertanggung jawab atau dukungan personilnya. [3] Dari hasil analisis sistem seperti yang ditulis pada bab sebelumnya, didapatkan suatu tabulasi mengenai asset yang terdapat pada SBUPE secara umum. Pembuatan tabel ini, bertujuan untuk memudahkan pengelompokkan asset berdasarkan suatu kriteria (lihat tinjauan pustaka). Untuk pengelompokkan asset pada track and trace system terdiri dari: - Information Asset, terdiri dari juklak, juknis, data keuangan perusahaan, data konsumen, dan data personil perusahaan, - Paper Document, terdiri dari surat izin usaha, kontrak kerja, resi pengiriman APE, dan PKS, - Software Asset, terdiri dari website, database, aplikasi perkantoran, sistem operasi, dan APE, - Physical Asset, terdiri dari gedung, PC Desktop, dan barcode reader/gun reader. - People, terdiri dari karyawan PT. Pos dan karyawan outsourching, - Service terdiri dari komunikasi track and trace system, listrik, jaringan komputer, telepon dan produk. Nama-nama asset untuk klasifikasi tersebut di atas, dapat dilihat dalam Tabel IV.1 mengenai pengelompokkan asset yang terdapat pada SBUPE. 63

Tabel IV.1 Pengelompokkan Asset SBUPE NO KLASIFIKASI ASSET NAMA ASSET ** KETERANGAN 1 Information Asset Juklak Petunjuk pelaksanaan Juknis Data keuangan perusahaan Data konsumen Data personil perusahaan Petunjuk teknis 2 Paper Document Surat izin usaha Kontrak kerja Resi pengirimam APE PKS 3 Software Asset Website Database Aplikasi perkantoran Sistem Operasi APE 4 Physical Asset Gedung PC desktop Barcode reader / Gun reader Printer Aplikasi pos express Perjanjian kerja sama Aplikasi pos express Personal Computer 5 People Karyawan PT.Pos Karyawan Outsourcing 6 Service Komunikasi T&T Track and trace Listrik Jaringan Komputer Telepon Produk ** Sumber: [21]. IV.3 Analisis Resiko Secara Kualitatif Dari sekian banyak cara yang dapat digunakan untuk menganalisis resiko, terdapat dua metode dasar yang dapat digunakan yaitu penilaian secara kualitatif dan kuantitatif. Penilaian secara kualitatif dilakukan berdasarkan intuisi, sehingga pendekatan analisis resiko yang dilakukan relative sangat subyektif. Metode ini tidak menghasilkan pengukuran yang dapat menghitung spesifikasi besaran dari dampaknya, oleh karena itu pembuatan analisis cost-benefit mengenai rekomendasi pengendalian sulit diterapkan. Walaupun demikian metode dasar ini sangat diperlukan, untuk langkah awal analisis resiko secara kuantitatif. 64

IV.3.1 Identifikasi dan Valuasi Asset Dari hasil pengelompokan asset secara umum yang terdapat di SBUPE (Tabel IV.1), selanjutnya dilakukan identifikasi pada asset yang berinteraksi secara langsung dengan track and trace system. Di dalam tahap ini, dilakukan beberapa Information-Gathering Techniques (lihat tinjauan pustaka), dengan tujuan untuk mengumpulkan informasi yang relevant pada sistem IT dalam batasan operasional, sehingga dapat dilakukan pemberian range value pada asset-nya. Secara operasional, asset yang berinteraksi langsung dengan batasan track and trace system SBUPE dapat dilihat dalam Table IV.2. Tabel IV.2 Identifikasi Asset dan Valuasi NO. ASSET RANGE VALUE DESCRIPTION 1 PC Desktop: client HIGH Hardware 2 PC Desktop: server HIGH Hardware 3 Barcode Reader HIGH Hardware 4 Printer MEDIUM Hardware 5 HUB Link HIGH Hardware 6 Operating System MEDIUM Software 7 Aplikasi Pos Express HIGH Software 8 Website HIGH Software 9 Database HIGH Software 10 Aplikasi Perkantoran LOW Software 11 Karyawan PT. Pos HIGH People 12 Karyawan Outsourching HIGH People 13 Data Elektronik MEDIUM Information 14 Resi Pengiriman HIGH Information 15 Juklak dan Juknis LOW Information IV.3.2 Threat Pada Track and Trace System Ancaman merupakan potensi untuk suatu threat-source tertentu terjadi pada suatu vulnerability, sebagai trigger eksploitasi kelemahan yang disengaja ataupun tidak disengaja. Threat-source tidak akan menghasilkan resiko jika tidak ada vulnerability yang digunakan. Tujuan dari langkah ini adalah untuk mengidentifikasi potensi dari threatsources dan penyusunan suatu daftar yang memaparkan ancaman potensi threat-sources sehingga dapat diterapkan pada sistem IT yang dievaluasi. Suatu threat-source digambarkan sebagai keadaan atau peristiwa dengan potensi yang menyebabkan 65

kerusakan pada suatu sistem IT. Pada umumnya, threat-sources berasal dari alam, manusia, atau lingkungan. Prosedur yang dilakukan di SBUPE, pada saat mengidentifikasi threat untuk track and trace system adalah sebagai berikut: a. Berdasarkan asset yang telah diidentifikasi dan valuasinya, dilakukan pembuatan list/daftar kemungkinan threat yang terjadi, b. Dari list/daftar tersebut, didapatkan suatu kemungkinan beberapa threat, yang kemudian dilakukan pencarian keterkaitan atau kecocokan, antara semua kemungkinan vulnerability dan threat tersebut, c. Jika threat tersebut memiliki keterkaitan/kecocokan dengan suatu vulnerability yang dapat menghasilkan resiko, maka threat tersebut ditetapkan sebagai sumber threat pada list/daftar threat, d. Jika threat tersebut tidak memiliki keterkaitan/kecocokan dengan suatu vulnerability untuk menghasilkan resiko, maka lakukan penghapusan threat dari daftar/list tersebut, e. Lakukan pengulangan prosedur b, c, dan d untuk semua threat yang terdapat pada list/daftar threat, f. Berdasarkan prosedur yang telah dilakukan, akan dihasilkan suatu daftar resiko, g. Lakukan pengukuran resiko tersebut. Di dalam menentukan Likelihood Of Occurrence, selain didapatkan dari data survey organisasi yang memantau statistik kejadian suatu insiden atau berdasarkan pengalaman suatu organisasi, sumber yang dapat dijadikan referensi dalam pemberian nilai adalah hasil melalui Information-Gathering Techniques.Terdapat dua teknik yang dapat dipergunakan di SBUPE dalam melakukan analisis resiko di-track and trace system, yaitu On-site Interviews dan Document Review (lihat karakteristik sistem pada tinjauan pustaka). Likelihood Of Occurrence adalah kemungkinan banyaknya suatu threat yang terjadi dalam suatu kurun waktu, dimana dalam proses penentuannya sangat subyektif. Metode untuk menentukan value-nya dapat dilakukan dengan memberikan suatu rating secara kualitatif, sebagai berikut: [8] 66

High (3) = 71% - 100% Medium (2) = 31% - 70% Low (1) = 1% - 30% Terdapat tiga aspek keamanan yang ditinjau terkait sistem SBUPE berdasarkan C.I.A triangle model, sebagai berikut: Confidentiality, harus dapat menjamin, bahwa hanya karyawan tertentu saja yang memiliki hak untuk dapat mengakses informasi tertentu. Integrity, harus menjamin kelengkapan informasi dan menjaga dari korupsi, kerusakan, atau ancaman lain yang menyebabkannya perubahan dari aslinya. Availability: adalah aspek keamanan informasi yang menjamin pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini adalah manusia atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi. Human dan Non-Human merupakan pelaku yang mempunyai potensi threat pada track and trace system dengan value berikut ini. Untuk hasil threat assesment yang terdapat pada sistemnya dapat dilihat dalam Tabel IV.3. Tabel IV.3 Threat Assesment No Actor Klasifikasi Threat Likelihood of occurrence Source C I A 1 Human Deliberate Administration failure High 2 Human Deliberate Assault on an employee Low 3 Human Deliberate Blackmail Medium 4 Human Deliberate Bomb/Terrorism Low Browsing of proprietary Medium 5 Human Deliberate information Non Accidental Client/server failure High 6 Human 7 Human Deliberate Computer abuse High Human Computer crime (cyber Low 8 Deliberate stalking) 9 Human Deliberate Credit card fraud Low 10 Human Deliberate Disgruntled employees High Non Nature Earthquake Medium 11 Human 12 Human Deliberate Economic exploitation Low Information-Gathering Techniques 67

Tabel IV.3 (Lanjutan) Threat Assesment No Actor Klasifikasi Threat Likelihood of occurrence Source C I A 13 Human Deliberate Fraud and theft Medium 14 Human Deliberate Fraudulent act (replay, Medium impersonation, interception) 15 Human Deliberate Hacking Medium 16 Human Deliberate Information bribery Medium 17 Human Deliberate Information theft Medium 18 Human Deliberate Information warfare Medium 19 Human Low Input of falsified, Medium corrupted data 20 Human Deliberate Interception Low 21 Human Low Intrusion on personal Medium privacy 22 Human Deliberate Malicious code (virus, High logic bomb, Trojan horse) 23 Human Deliberate Negligent persons Medium Non Accidental Power failure Medium 24 Human 25 Human Deliberate Sabotage of data Medium Human Deliberate Sale of personal Medium 26 information 27 Human Deliberate Social engineering Low 28 Human Deliberate Spoofing Low 29 Human Deliberate System attack (distributed Medium denial of service) 30 Human Deliberate System bugs Medium 31 Human Deliberate System intrusion Medium 32 Human Deliberate System penetration Medium 33 Human Deliberate System sabotage Low 34 Human Deliberate System tampering Low 35 Human Deliberate Telecom fraud Low 36 Human Deliberate Terminated employees Low 37 Human Deliberate Theft of laptop/pc Medium 38 Human Deliberate Theft of proprietary data Medium 39 Human Deliberate Unauthorized access Medium 40 Human Deliberate Unauthorized system Medium access (access to classified, proprietary, and/or technology-related information) 41 Human Deliberate Web browser privacy Low Information-Gathering Techniques 68

IV.3.3 Vulnerability Pada Track & Trace System Vulnerability merupakan kelemahan yang ada pada asset dalam suatu organisasi. Vulnerability tidak menyebabkan rusaknya suatu asset, melainkan menciptakan suatu kondisi yang dapat mengakibatkan threat terjadi. Analisis suatu ancaman pada suatu sistem IT harus meliputi suatu analisis hubungan vulnerability dengan sistem lingkungannya. Tujuan dari langkah ini untuk mengembangkan daftar rincian vulnerability (kekurangan atau kelemahan) yang dapat dieksploitasi atau dimanfaatkan oleh potensi threat. Prosedur yang dilakukan di SBUPE, pada saat mengidentifikasi vulnerability untuk track and trace system adalah sebagai berikut. a. Berdasarkan asset yang telah diidentifikasi dan valuasinya, dilakukan pembuatan list/daftar kemungkinan vulnerability terjadi. b. Dari list/daftar tersebut, didapatkan suatu kemungkinan beberapa vulnerability, yang kemudian dilakukan pencarian keterkaitan atau kecocokan, antara semua kemungkinan threat dan vulnerability tersebut. c. Jika vulnerability tersebut memiliki keterkaitan/kecocokan dengan suatu threat yang dapat menghasilkan resiko, maka vulnerability tersebut termasuk di dalam list/daftar untuk vulnerability. d. Jika vulnerability tersebut tidak memiliki keterkaitan/kecocokan dengan suatu threat untuk menghasilkan resiko, maka lakukan penghapusan vulnerability dari daftar/list tersebut. e. Lakukan pengulangan prosedur b, c, dan d untuk semua vulnerability yang terdapat pada list/daftar vulnerability. f. Berdasarkan prosedur e yang telah dilakukan, akan dihasilkan suatu daftar resiko. g. Lakukan pengukuran resiko tersebut 69

Untuk hasil identifikasi vulnerability pada organisasi ini, dapat dilihat dalam Tabel IV.4. Tabel IV.4 Daftar Vulnerability pada Asset Organisasi No. Vulnerability Asset 1 Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. 2 Pengubahan User Id atau password tidak dilakukan oleh unit processing 3 Tidak adanya user interface dari aplikasi, untuk fasilitasitas pengubahan User Ide atau password 4 Pemberian privileges untuk APE tidak dapat langsung dilakukan oleh supervisor, hanya dapat dilakukan oleh pihak pembuat aplikasi (divisi Teksisfo) 5 6 7 8 9 10 11 12 13 14 15 16 Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Masih terjadi scanning barcode pada resi tidak dapat dibaca oleh Gun/Barcode Reader Tidak adanya pengawasan penggunaan barcode yang rusak/sobek Standard operating procedure dari juklak tidak dilaksanakan Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Tidak adanya keberlanjutan revisi untuk juklak beserta dokumentasinya Standard operating procedure dari juknis tidak dilaksanakan Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi APE dengan proses akuntansi Hak akses pada unit processing tidak terbatas dalam mengubah data konsumen pada database APE Data konsumen tidak tidak dirahasiakan, melainkan di-publish pada LAN. Aplikasi Pos Ekspres Resi pengirimam APE Juklak Juknis Data keuangan perusahaan Data konsumen 70

Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi No. Vulnerability Asset 17 Data personil melalui LAN dapat diakses dan tidak dilakukan batasan dalam pengungkapan informasi 18 Hasil penilaian kecakapan personil tidak ditutupi, melainkan dipublish pada area LAN. 19 Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini. 20 21 22 23 24 25 Anggaran untuk melakukan pelatihan komputer (software/hardware) tidak ada dalam rencana kerja anggaran pada saat tahun berlangsung Tidak adanya pengawasan fisik terhadap web server secara langsung oleh unit ini, ditempatkan pada ruang server gedung pos bandung Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung Anggaran untuk melakukan pelatihan komputer (software/hardware) tidak ada dalam rencana kerja anggaran pada saat tahun berlangsung Tidak adanya pengawasan fisik terhadap server database secara langsung oleh unit ini, ditempatkan pada ruang server gedung pos bandung Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung 26 Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini. 27 28 29 30 31 32 Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui versi untuk database antivirus yang ada. Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan. Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui versi untuk database antivirus yang ada. Unit ini tidak mempunyai personil khusus yang menangani kerusakan hardware/sotware. Data personil perusahaan Surat izin usaha Website Database Surat Kontrak kerja Aplikasi perkantoran Sistem Operasi Gedung PC desktop 71

Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi No. Vulnerability Asset 33 Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Barcode 34 Barcode pada paket/barang kiriman tidak dapat dibaca oleh reader/ Gun Gun/barcode Reader reader 35 Sensitive ketika scanning kertas barcode tidak stabil 36 Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Printer 37 Tidak adanya cadangan pita printer 38 Tidak adanya pembinaan rohani yang dilakukan secara berkala. Pelatihan hardware/software untuk mendukung operasional tidak 39 dilakukan pada semua personil Karyawan Sosialisasi/presentasi awal terhadap produk baru yang dihasilkan 40 PT.Pos oleh organisasi tidak dilakukan. 41 Pengembangan wawasan baru mengenai jasa kurir tidak dilakukan pada semua personil 42 Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini. PKS 43 Tidak adanya pembinaan rohani yang dilakukan secara berkala. Pelatihan hardware/software untuk mendukung operasional tidak 44 dilakukan pada semua personil Karyawan Sosialisasi/presentasi awal terhadap produk baru yang dihasilkan 45 Outsourcing oleh organisasi tidak dilakukan. 46 Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil 47 Tidak adanya kebijakan yang mengatur hak akses data/informasi jika terjadi pengungkapan informasi. Komunikasi 48 Jika terjadi down pada server, maka komunikasi track and trace T&T system dilakukan melalui pesawat telephone. 49 UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Listrik 50 Tidak adanya pengawasan penggunaan listrik Di dalam menggunakan suatu sumber daya pada unit ini, tidak ada 51 prosedur khusus yang membuat pengawasan penggunaan semua Jaringan sumber daya. Komputer Untuk arsitektur jaringan komputer unit ini tidak terpisah, masih 52 digabungkan dengan unit kerja yang ada di gedung pos bandung. 72

Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi No. Vulnerability Asset 53 Sambungan telephone yang terdapat pada unit ini, tidak menggunakan kode password atau lock 54 Tidak ada pengawasan dalam penggunaan telepon Telephone 55 Tidak ada penempatan khusus untuk posisi pesawat telepon, ada pada ruangan umum unit processing. 56 Di dalam menggunakan suatu sumber daya produk pada unit ini, tidak ada prosedur khusus yang membuat pengawasan penggunaan semua sumber daya. 57 Jika tidak terdapat suatu kasus pada saat operasional, maka Produk pengembangan produk tidak dilakukan 58 Untuk pengembangan produknya, tidak melibatkan unit Pos Ekspress. IV.3.4 Resiko Pada Track & Trace System Dari hasil identifikasi threat dan vulnerability, akan didapatkan suatu resiko dengan melakukan keterkaitan dan kecocokan setiap threat dan vulnerability yang terjadi. Berikut ini disajikan suatu tabulasi (Tabel IV.5) hasil dari threat dan vulnerability yang menghasilkan suatu resiko pada organisasi atau unit ini. Ukuran dari suatu resiko berasal dari kombinasi antara exposure rating, level vulnerability, dan tingkat efektifitas safeguard. Secara sederhana, pengukuran resiko secara kualitatif dilakukan dengan memberikan skala high, medium, dan low. Pengukuran resiko dengan skala tersebut memiliki kekurangan, yaitu untuk resiko dengan exposure, vulnerability, dan safeguard yang bernilai high, akan memiliki hasil yang sama dengan resiko untuk exposure, vulnerability, dan safeguard yang bernilai low. Oleh karena itu, untuk tingkatan pengukuran resiko diberikan lima skala, yaitu: [8] High = 5 Moderately high = 4 Medium = 3 Low = 2 Very low = 1 Pada Tabel II.8, penentuan resiko dilakukan secara conservative dengan vulnerability level lebih berperan terhadap perubahan tingkat resiko, jika dibandingkan dengan safeguard effectiveness. 73

Tabel IV.5 Daftar Resiko di SBUPE THREAT VULNERABILITY RESIKO TINGKAT/ NILAI ** Pengubahan data Administration failure Client/server failure Computer abuse Earthquake Fraud and theft Fraudulent act (replay, impersonation, interception) Malicious code (virus, logic bomb, Trojan horse) Power failure Theft of laptop/pc ** Hasil perhitungan pada Tabel IV.6 Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui untuk versi database antivirus yang ada. UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan. Kerusakan data elektronik Pencurian Asset Informasi Kerusakan akibat api atau air Pencurian Pengungkapan informasi secara tidak tepat Terinfeksi virus Kegagalan hardware/software Pencurian Moderately high(4) High(5) High(5) Medium(3) High(5) Medium(3) High(5) Moderately high(4) Very low(1) 74

Tabel IV.5 (Lanjutan) Daftar Resiko di SBUPE THREAT VULNERABILITY RESIKO TINGKAT/ NILAI ** Unauthorized access Unauthorized system access (access to classified, proprietary, and/or technologyrelated information) Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung ** Hasil perhitungan pada Tabel IV.6 IV.3.5 Pengukuran Resiko Penyalahgunaan data Hak akses illegal Medium(3) Very low(1) Di dalam proses pengukuran resiko secara kualitatif, nilai likelihood didapatkan dari Information-Gathering Techniques berdasarkan tabel IV.3. Sedangkan untuk menentukan nilai skala high = 3, medium = 2, dan low = 1, dapat dilihat dari Tabel II.4. Untuk menentukan nilai Level of impact, estimasinya berdasarkan threat pada Tabel IV.5. Kemudian, untuk skala high, medium, dan low, dapat lihat Tabel pada II.5. Berdasarkan nilai likelihood dan impact, kemudian dilakukan penentuan exposure rating dengan referensi Tabel II.10. Vulnerability berdasarkan estimasi dengan berpedoman pada threat (action) yang dihasilkannya. Risk level matrik dalam Tabel II.7 dapat dijadikan referensi untuk memberikan penilaian resiko. Untuk pemberian nilai resiko pada laporan ini, menggunakan pengembangan dari Tabel II.8, dimana nilai resikonya berdasarkan pada exposure rating, vulnerability level, dan safeguard effectiveness. 75

Tabel IV.6 Pengukuran Resiko Threat Administration failure Client/server failure Computer abuse Earthquake Fraud and theft Fraudulent act (replay, impersonation, interception) Malicious code (virus, logic bomb, Trojan horse) Power failure Theft of laptop/pc Unauthorized access Unauthorized system access (access to classified, proprietary, and/or technologyrelated information) Vulnerability Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui untuk versi database antivirus yang ada. UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan. Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung Likelihood Level Of Impact Exposure Rating Vulberability Level Risk 3 2 8 1 4 3 3 9 3 5 3 2 8 3 5 2 2 6 2 3 2 1 3 3 5 2 2 6 2 3 3 3 9 3 5 2 2 6 3 4 2 1 3 1 1 2 2 6 2 3 2 1 3 1 1 76

IV.4 Analisis Resiko Secara Kuantitatif Untuk melakukan suatu analisis resiko secara kuantitatif, perlu menentukan hubungan suatu nilai dari kerugian-kerugian potensial dengan proses yang tertunda, kerusakan properti, atau data. Kemudian perlu juga dilakukan perkiraan kemungkinan kejadian dari kegagalan resiko, sehingga akhirnya dapat diperhitungkan perkiraan kerugian pertahunnya. [10]. IV.4.1 Identifikasi dan Valuasi Asset Studi mengenai identifikasi, valuasi asset (secara subyektif), threat, dan vulnerability assessment telah dilakukan pada prosedur analisis resiko secara kualitatif. Selanjutnya, pada prosedur kuantitatif dilakukan perhitungan yang mengarah pada analisis cost-benefit dengan menggunakan value berupa suatu besaran satuan mata uang (rupiah). Berdasarkan data-data dari hasil analisis sistem yang sedang terjadi di SBUPE dan formula perhitungan analisis resiko secara kuantitatif, didapatkan hasil seperti dalam Tabel IV.7, dengan hasil perhitungan asset dari unit Account Officer yang sudah bernilai tangible. ** Sumber: Peraturan Dinas No. 6 (Akuntansi) Tabel IV.7 Identifikasi dan Valuasi Aset No. NAMA ASET JUMLAH NILAI NILAI SATUAN TOTAL (Rp.) ** (Rp.)** 1 PC Desktop: client IBM PC 300 GL 8 unit 6,800,000.00 54,400,000.00 2 PC Desktop: server IBM System X3250 1 unit 13,850,000.00 13,850,000.00 3 Barcode Reader NEC 9 unit 950,000.00 8,550,000.00 4 Printer Epson LQ1170 3 unit 875,000.00 2,625,000.00 5 Hub/ Switch ATi 16 port 10/ 100 2 unit 600,000.00 1,200,000.00 6 Operating System Microsoft E85-02667 8 paket 2,800,000.00 22,400,000.00 7 Aplikasi Pos Express 1 paket 5,000,000.00 5,000,000.00 8 Website 1 paket 4,000,000.00 4,000,000.00 9 Database 1 paket - - 10 Aplikasi Perkantoran 1 paket 2,000,000.00 2,000,000.00 11 Karyawan Pos 16 orang 2,500,000.00 40,000,000.00 12 Karyawan Outsourching 18 orang 900,000.00 16,200,000.00 77

** Sumber: Peraturan Dinas No. 6 (Akuntansi) Tabel IV.7 (Lanjutan) Identifikasi dan Valuasi Aset No. NAMA ASET JUMLAH NILAI NILAI SATUAN TOTAL (Rp.) ** (Rp.)** 13 Data Elektronik 1 unit 20,000,000.00 20,000,000.00 14 Resi Pengiriman 1 Paket (500 lembar) 1,000,000.00 1,000,000.00 15 Juklak dan Juknis 1 bundel 20,000,000.00 20,000,000.00 IV.4.2 Threat dan Vulnerability Assessment Pada kuantitatif, nilai ARO (Annualized Rate Of Occurrence) dipergunakan untuk perkiraan atau estimasi frekuensi sebuah resiko yang dapat terjadi dalam statu periode tertentu, seperti yang diperlihatkan Dalam Tabel IV.8. Misalnya sebagai berikut. Jika suatu threat terjadi sebanyak 1 kali dalam 8 tahun, maka ARO yang terjadi adalah 1/8 = 0.13. Jika pencurian terjadi sebanyak 1 kali dalam 12 tahun, maka ARO yang terjadi adalah 1/12 = 0.08. Jika pencurian terjadi sebanyak 1 kali dalam 4 tahun, maka ARO yang terjadi adalah 1/4 = 0.25. Tabel IV.8 Kemungkinan terjadi threat berdasarkan ARO Actor Klasifikasi Threat ARO Source C I A Deliberate Unauthorized access 1 Malicious code (virus, logic 1 Deliberate bomb, Trojan horse) Unauthorized system access 6 (access to classified, proprietary, and/or technologyrelated information) Human Deliberate Accidental Administration failure 1 Deliberate Fraud and theft 0.13 Deliberate Computer abuse 0.13 Deliberate Theft of laptop/pc 0.08 Fraudulent act (replay, 0.25 Deliberate impersonation, interception) Non-human Nature Earthquake 0.25 Accidental Client/server failure 6 Accidental Power failure 0.25 Information-Gathering Techniques 78

Exposure rating (EF) yang dimiliki setiap asset nilainya berbeda terhadap suatu threat, sehingga terdapat asset yang invulnerable terhadap threat dan terdapat pula asset yang sangat vulnerable terhadap threat. Persentase penilaian suatu asset loss yang disebabkan oleh identifikasi threat, pemberian estimasi ranges-nya diantara 0% sampai 100%, lihat Tabel II.11 mengenai estimasi nilai EF. Dalam menentukan value estimasinya, Information-Gathering Techniques yang dilakukan pada SBUPE dapat dijadikan referensi suatu estimasi presentase untuk exposure rating. Berikut ini, diperlihatkan suatu tabulasi mengenai pemetaan nilai asset terhadap ARO serta exposure rating-nya. (Tabel IV.9) 79

Tabel IV.9 Exposure Rating THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technologyrelated information) Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure ARO 1 1 Power failure ASET VALUE PC Desktop: client IBM PC 300 GL 54,400,000 40% 60% 40% 20% 40% 20% 80% 80% 80% 60% 20% PC Desktop: server IBM System X3250 13,850,000 20% 40% 40% 20% 40% 20% 80% 80% 80% 60% 20% Barcode Reader NEC 8,550,000 0% 0% 0% 0% 0% 20% 80% 0% 80% 60% 0% Printer Epson LQ1170 2,625,000 0% 0% 0% 0% 0% 0% 80% 0% 80% 60% 0% Hub/ Switch ATi 16 port 10/ 100 1,200,000 0% 0% 0% 0% 0% 0% 80% 0% 80% 60% 20% Operating System Microsoft E85-02667 22,400,000 20% 80% 40% 60% 0% 0% 80% 0% 80% 40% 20% Aplikasi Pos Express 5,000,000 20% 60% 20% 60% 0% 20% 40% 80% 80% 40% 20% Website 4,000,000 20% 40% 0% 0% 0% 0% 80% 0% 80% 40% 20% Database - 0% 0% 20% 0% 0% 0% 80% 40% 80% 40% 20% Aplikasi Perkantoran 2,000,000 0% 40% 0% 40% 0% 0% 60% 0% 80% 40% 20% Karyawan Pos 40,000,000 0% 0% 20% 0% 60% 40% 60% 0% 80% 0% 0% Karyawan Outsourching 16,200,000 0% 0% 20% 0% 60% 40% 60% 0% 80% 0% 0% Data Elektronik 20,000,000 40% 20% 0% 60% 40% 20% 40% 80% 80% 80% 20% Resi Pengiriman 1,000,000 20% 0% 20% 20% 0% 0% 0% 0% 80% 0% 0% Juklak dan Juknis 20,000,000 0% 0% 0% 0% 0% 0% 0% 0% 80% 0% 0% 6 1 0.13 0.13 0.08 0.25 0.25 6 0.25 80

Single Loss Expectancy (SLE) adalah nilai kerugian terhadap asset bila sebuah resiko yang teridentifikasi terjadi. Formula untuk menghitung SLE adalah Asset Value x Exposure factor, sehingga data-data SLE yang terdapat pada Tabel IV.10 berasal dari nilai total (rupiah) suatu asset dengan nilai EF pada tabel exposure rating. Contoh perhitungan untuk SLE pada SBUPE dijelaskan di bawah ini. Diketahui: Asset dengan nama PC Desktop client IBM PC 300 GL, Nilai total dari asset sebesar Rp.54.400.000.00, EF untuk asset tersebut berdasarkan tabel exposure rating adalah 40%. Dengan formula perhitungan SLE maka didapatkan hasil sebesar Rp.21.760.000.00. Untuk hasil perhitungan lengkap semua nilai SLE, dapat dilihat pada tabel IV.9 mengenai Single Loss Expectancy. 81

Tabel IV.10 Single Loss Expectancy THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technology-related information) Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure ASET VALUE ARO 1 1 6 1 0.13 0.13 0.08 0.25 0.25 6 0.25 PC Desktop: client IBM PC 300 GL 54,400,000 21,760,000 32,640,000 21,760,000 10,880,000 21,760,000 10,880,000 43,520,000 43,520,000 43,520,000 32,640,000 10,880,000 PC Desktop: server IBM System X3250 13,850,000 2,770,000 5,540,000 5,540,000 2,770,000 5,540,000 2,770,000 11,080,000 11,080,000 11,080,000 8,310,000 2,770,000 Barcode Reader NEC 8,550,000 - - - - - 1,710,000 6,840,000-6,840,000 5,130,000 - Printer Epson LQ1170 2,625,000 - - - - - - 2,100,000-2,100,000 1,575,000 - Hub/ Switch ATi 16 port 10/ 100 1,200,000 - - - - - - 960,000-960,000 720,000 240,000 Operating System Microsoft E85-02667 22,400,000 4,480,000 17,920,000 8,960,000 13,440,000 - - 17,920,000-17,920,000 8,960,000 4,480,000 Aplikasi Pos Express 5,000,000 1,000,000 3,000,000 1,000,000 3,000,000-1,000,000 2,000,000 4,000,000 4,000,000 2,000,000 1,000,000 Website 4,000,000 800,000 1,600,000 - - - - 3,200,000-3,200,000 1,600,000 800,000 Database 0 - - - - - - - - - - - Aplikasi Perkantoran 2,000,000-800,000-800,000 - - 1,200,000-1,600,000 800,000 400,000 Karyawan Pos 40,000,000 - - 8,000,000-24,000,000 16,000,000 24,000,000-32,000,000 - - Karyawan Outsourching 16,200,000 - - 3,240,000-9,720,000 6,480,000 9,720,000-12,960,000 - - Data Elektronik 20,000,000 8,000,000 4,000,000-12,000,000 8,000,000 4,000,000 8,000,000 16,000,000 16,000,000 16,000,000 4,000,000 Resi Pengiriman 1,000,000 200,000-200,000 200,000 - - - - 800,000 - - Juklak dan Juknis 20,000,000 - - - - - - - - 16,000,000 - - 82

Annualized Loss Expectancy (ALE) adalah nilai estimasi kerugian pertahun terhadap asset, jika sebuah resiko yang teridentifikasi terjadi. Formula untuk menghitung ALE adalah Single Loss Expectancy x Annualized Rate of Occurrence, sehingga data-data ALE yang terdapat Tabel IV.11 berasal dari SLE dalam Tabel IV.10 dengan nilai ARO suatu threat yang terjadi. Contoh perhitungan untuk ARO pada SBUPE dijelaskan di bawah ini. Diketahui: Asset dengan nama PC Desktop client IBM PC 300 GL, Nilai total dari asset sebesar Rp.54.400.000.00, EF untuk asset tersebut berdasarkan tabel exposure rating adalah 40%, Mempunyai nilai SLE sebesar Rp.21.760.000.00, Dari tabel IV.7 didapatkan nilai ARO-nya adalah 1. Dengan menggunakan formula perhitungan ARO, maka didapatkan hasil sebesar Rp.21.760.000,00 Untuk hasil perhitungan lengkap semua nilai ARO, dapat dilihat pada Tabel IV.11 mengenai Annualized Loss Expectancy. 83

Tabel IV.11. Annualized Loss Expectancy ARO 1 THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technology-related information) Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure 1 6 1 ASET VALUE PC Desktop: client IBM PC 300 GL 54,400,000 21,760,000 32,640,000 130,560,000 10,880,000 2,828,800 1,414,400 3,481,600 10,880,000 10,880,000 195,840,000 2,720,000 PC Desktop: server IBM System X3250 13,850,000 2,770,000 5,540,000 33,240,000 2,770,000 720,200 360,100 886,400 2,770,000 2,770,000 49,860,000 692,500 Barcode Reader NEC 0.13 8,550,000 - - - - - 222,300 547,200-1,710,000 30,780,000 - Printer Epson LQ1170 2,625,000 - - - - - - 168,000-525,000 9,450,000 - Hub/ Switch ATi 16 port 10/ 100 1,200,000 - - - - - - 76,800-240,000 4,320,000 60,000 Operating System Microsoft E85-02667 22,400,000 4,480,000 17,920,000 53,760,000 13,440,000 - - 1,433,600-4,480,000 53,760,000 1,120,000 Aplikasi Pos Express Website Database Aplikasi Perkantoran Karyawan Pos Karyawan Outsourching Data Elektronik Resi Pengiriman Juklak dan Juknis 5,000,000 1,000,000 3,000,000 6,000,000 3,000,000-130,000 160,000 1,000,000 1,000,000 12,000,000 250,000 4,000,000 800,000 1,600,000 - - - - 256,000-800,000 9,600,000 200,000 - - - - - - - - - - - - 2,000,000-800,000-800,000 - - 96,000-400,000 4,800,000 100,000 40,000,000 - - 48,000,000-3,120,000 2,080,000 1,920,000-8,000,000 - - 16,200,000 - - 19,440,000-1,263,600 842,400 777,600-3,240,000 - - 20,000,000 8,000,000 4,000,000-12,000,000 1,040,000 520,000 640,000 4,000,000 4,000,000 96,000,000 1,000,000 1,000,000 200,000-1,200,000 200,000 - - - - 200,000 - - 20,000,000 - - - - - - - - 4,000,000 - - Total 39,010,000 65,500,000 292,200,000 43,090,000 8,972,600 5,569,200 10,443,200 18,650,000 42,245,000 466,410,000 6,142,500 0.13 0.08 0.25 0.25 6 0.25 84

IV.4.3 Analisis Cost dan benefit Safeguard cost/benefit analysis adalah analisis cost/benefit terhadap langkah-langkah penanganan resiko yang telah dimiliki, bagi setiap resiko yang teridentifikasi. Nilai safeguard suatu perusahaan/organisasi = (ALE sebelum implemantasi safeguard) (ALE setelah implementasi safeguard) (biaya tahunan safeguard). Nilai tersebut, kemudian dibandingkan dengan cost dalam mengimplementasikan safeguard. Dari perbandingan nilainya, akan dapat di analisis bahwa kandidat safeguard yang dapat diimplementasikan adalah safeguard dengan perbandingan cost dan benefitnya lebih kecil dari 1. [8]. Nilai ALE pada Tabel IV.11 merupakan nilai prediksi, jika resiko-resiko yang diidentifikasikan terjadi pada SBUPE. Kemudian, untuk langkah selanjutnya dalam mengantisipasi resiko-resiko tersebut, dapat dilakukan dengan beberapa cara, yaitu: Menurunkan Mengurangi tingkat resiko menuju arah yang acceptable level, Menghindari tingkat resiko yang ada pada sistem, Menerima resiko yang ada, Men-transfer resiko ke pihak lain. Secara teknisnya, hal-hal tersebut di atas dapat dilakukan dengan cara, sebagai berikut:[8] 1. Mengimplementasikan produk-produk keamanan yang mampu menurunkan tingkat resiko dengan dengan mempertimbangkan perbandingan cost dan benefit-nya, 2. Mengimplementasikan prosedur-prosedur atau policy, baik itu dalam monitoring, mencegah, mengurangi, ataupun me-respond resiko yang telah terjadi, 3. Melimpahkan resiko yang ada kepada pihak lain, seperti asuransi, 4. Mengabaikan resiko-resiko yang terjadi. Berikut ini, disajikan tabulasi mengenai estimasi dari safeguard effectiveness, dengan cara membuat safeguard untuk suatu vulnerability yang ada pada Tabel IV.4. Prosedur untuk mengisikan hasil dari semua tabulasi di bawah ini, sama dengan yang dilakukan pada prosedur untuk tabel menghitung EF, SLE, dan ALE sebelum implementasi safeguard. Pada tabulasi ini akan menghasilkan ALE setelah implementasi safeguard, sehingga akan didapatkan nilai Safeguard cost/benefit analysis yang terjadi pada SBUPE. (Tabel IV.15) 85

Tabel IV.12 safeguard effectiveness SAFEGUARD ANNUAL COST THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technology-related information) Pembinaan SDM (berkala) 150,000,000 75% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% Antivirus 30,000,000 0% 85% 0% 0% 0% 0% 0% 0% 0% 0% 0% Membuat SOP 40,000,000 85% 85% 85% 85% 85% 85% 85% 85% 85% 85% 85% Pelatihan komputer 50,000,000 0% 80% 80% 85% 0% 0% 0% 0% 0% 75% 0% Rekonsiliasi keuangan 70,000,000 0% 0% 0% 0% 85% 0% 85% 0% 0% 0% 0% Prosedur penggunaan 10,000,000 0% 0% 0% 0% 0% 60% 0% 0% 0% 0% 0% CCTV 22,000,000 0% 0% 0% 0% 0% 0% 80% 0% 0% 0% 0% Membuat kebijakan hak akses data/informasi 70,000,000 0% 0% 0% 0% 0% 0% 0% 60% 0% 0% 0% Asuransi 110,000,000 0% 0% 0% 0% 0% 0% 0% 0% 80% 0% 0% Pengadaan barang 81,275,000 0% 0% 0% 0% 0% 0% 0% 0% 0% 80% 0% Pemeliharaan UPS 15,000,000 0% 0% 0% 0% 0% 0% 0% 0% 0% 80% 90% Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure 86

Tabel IV.13 SLE dari implementasi THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technology-related information) Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure ANNUAL SAFEGUARD COST Pembinaan SDM (berkala) 150,000,000 112,500,000 - - - - - - - - - - Antivirus 30,000,000-25,500,000 - - - - - - - - - Membuat SOP 40,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 34,000,000 Pelatihan komputer 50,000,000-40,000,000 40,000,000 42,500,000 - - - - - 37,500,000 - Rekonsiliasi keuangan 70,000,000 - - - - 59,500,000-59,500,000 - - - - Prosedur penggunaan 10,000,000 - - - - - 6,000,000 - - - - - CCTV 22,000,000 - - - - - - 17,600,000 - - - - Membuat kebijakan hak akses data/informasi 70,000,000 - - - - - - - 42,000,000 - - - Asuransi 110,000,000 - - - - - - - - 88,000,000 - - Pengadaan barang 81,275,000 - - - - - - - - - 65,020,000 - Pemeliharaan UPS 15,000,000 - - - - - - - - - 12,000,000 13,500,000 87

Tabel IV.14 ALE dari implementasi THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technology-related information) Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure ASET ANNUAL COST ARO 1 1 6 1 0.13 0.13 0.08 0.25 0.25 6 0.25 Pembinaan SDM (berkala) 150,000,000 112,500,000 - - - - - - - - - - Antivirus 30,000,000-25,500,000 - - - - - - - - - Membuat SOP 40,000,000 34,000,000 34,000,000 204,000,000 34,000,000 4,420,000 4,420,000 2,720,000 8,500,000 8,500,000 204,000,000 8,500,000 Pelatihan komputer 50,000,000-40,000,000 240,000,000 42,500,000 - - - - - 225,000,000 - Rekonsiliasi keuangan 70,000,000 - - - - 7,735,000-4,760,000 - - - - Prosedur penggunaan 10,000,000 - - - - - 780,000 - - - - - CCTV 22,000,000 - - - - - - 1,408,000 - - - - Membuat kebijakan hak akses data/informasi 70,000,000 - - - - - - - 10,500,000 - - - Asuransi 110,000,000 - - - - - - - - 22,000,000 - - Pengadaan barang 81,275,000 - - - - - - - - - 390,120,000 - Pemeliharaan UPS 15,000,000 - - - - - - - - - 72,000,000 3,375,000 total 648,275,000 146,500,000 99,500,000 444,000,000 76,500,000 12,155,000 5,200,000 8,888,000 19,000,000 30,500,000 891,120,000 11,875,000 88

Tabel IV.15 Cost/benefit analysis THREAT Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technology-related information) Administration failure Fraud and theft Computer abuse Theft of laptop/pc Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure SAFEGUARD Pembinaan SDM (berkala) -1.6-0.8-0.1-0.9-1.0-1.0-1.0-0.9-0.9 0.3-1.0 Antivirus -0.9-1.7 0.1-0.9-1.0-1.0-1.0-0.9-0.9 0.7-1.0 Membuat SOP -1.9-1.9-6.1-1.9-1.1-1.1-1.1-1.2-1.2-5.3-1.2 Pelatihan computer -1.0-1.8-5.8-1.9-1.0-1.0-1.0-1.0-1.0-5.3-1.0 Rekonsiliasi keuangan -1.0-1.0-1.0-1.0-1.1-1.0-1.1-1.0-1.0-0.9-1.0 Prosedur penggunaan -0.6 0.8 4.4 0.3-1.0-1.1-0.9-1.0-0.6 4.4-0.9 CCTV -1.0-0.9-0.7-0.9-1.0-1.0-1.1-1.0-1.0-0.5-1.0 Membuat kebijakan hak akses data/informasi -1.0-1.0-1.0-1.0-1.0-1.0-1.0-1.2-1.0-0.9-1.0 Asuransi -1.0-1.0-1.0-1.0-1.0-1.0-1.0-1.0-1.2-1.0-1.0 Pengadaan barang -1.0-1.0-1.0-1.0-1.0-1.0-1.0-1.0-1.0-5.7-1.0 Pemeliharaan UPS -1.0-1.0 2.2-1.0-0.8-0.9-0.9-1.0-0.5-5.8-1.2 89

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan