ANALISIS RISIKO KEAMANAN INFORMASI DENGAN MENGGUNAKAN METODE OCTAVE DAN KONTROL ISO PADA DISHUBKOMINFO KABUPATEN TULUNGAGUNG

dokumen-dokumen yang mirip
BAB 2 TINJAUAN PUSTAKA

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)

Langkah langkah FRAP. Daftar Risiko. Risk

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

BAB 3 METODE PENELITIAN. Metode penelitian merupakan suatu cara untuk menjawab permasalahanpermasalahan penelitian yang dilakukan secara ilmiah.

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

Kata Kunci: Mitigasi Risio, Metode OCTAVE, Electronic Medical Record(EMR).

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 1 PENDAHULUAN Latar Belakang

BAB 2 TINJAUAN PUSTAKA

ANALISIS DAN PENGUKURAN TINGKAT EKSPOSUR RESIKO TEKNOLOGI INFORMASI DENGAN METODE FMEA PADAPT. BANK CENTRAL ASIA, TBK

BAB 3 METODE PENELITIAN

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

Standar Internasional ISO 27001

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

BAB I PENDAHULUAN 1.1. Latar Belakang

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

MODEL PENILAIAN RISIKO ASET TEKNOLOGI INFORMASI MENGGUNAKAN ISO DAN ISO/IEC STUDI KASUS : POLITEKNIK POS INDONESIA (POLTEKPOS)

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

BAB 3 GAMBARAN UMUM SISTEM INFORMASI YANG SEDANG BERJALAN. Keberadaan Departemen Komunikasi dan Informatika (DepKementrian

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

BAB I PENDAHULUAN 1.1. Latar Belakang

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

Penyusunan Perencanaan Keberlangsungan Bisnis PT PLN (Persero) APD Jateng dan DIY dengan ISO dan Metode OCTAVE

APPENDIX A. Sumber dan Tujuan. Data. Arus Data. Proses Transformasi. Penyimpanan Data

INFRASTRUCTURE SECURITY

BAB 4 ANALIS IS HAS IL PENGUKURAN RIS IKO TI

BAB 4 EVALUASI SISTEM INFORMASI PERSEDIAAN BARANG JADI. untuk meningkatkan efektifitas dan efisiensi kegiatan operasional perusahaan.

KUESIONER. Nama Responden. Bagian/Jabatan

BAB I PENDAHULUAN. PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik

SISTEM INFORMASI MANAJEMEN

PENILAIAN RISIKO KEAMANAN INFORMASI MENGGUNAKAN METODE FAILURE MODE AND EFFECTS ANALYSIS DI DIVISI TI PT. BANK XYZ SURABAYA

BAB III TUGAS DAN TANGGUNG JAWAB ADMIN SERVER

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

IJCCS, Vol.x, No.x, Julyxxxx, pp. 1~5 ISSN:

DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)

1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

Tulis yang Anda lewati, Lewati yang Anda tulis..

BAB 5 SIMPULAN DAN SARAN

JURNAL TEKNIK POMITS Vol. 3, No. 2, (2014) ISSN: ( Print) A-228

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

USULAN KERANGKA MANAJEMEN RESIKO IMPLEMENTASI TEKNOLOGI BARU DALAM MENDUKUNG AKTIVITAS BISNIS PERUSAHAAN TELEKOMUNIKASI

PERTEMUAN 13 STRATEGI PENGUJIAN PERANGKAT LUNAK

ANALISA RESIKO KEAMANAN INFORMASI (INFORMATION SECURITY). STUDI KASUS: POLIKLINIK XYZ

BAB 4 AUDIT SISTEM INFORMASI. audit dari wawancara dengan manajer yang terkait dan bagian bagian yang

Pengendalian Sistem Informasi Berdasarkan Komputer

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

ABSTRAK. Kata kunci : Manajemen, Risiko, COBIT 5, APO12

JURNAL TEKNIK ITS Vol. 6, No. 1, (2017) ISSN: ( Print) A-122

Database Security BY NUR HIDAYA BUKHARI PRODI TEKNIK INFORMATIKA DAN KOMPUTER UNIVERSITAS NEGERI MAKASSAR 2012

SISTEM PENGENDALI DAN PENGAWAS PENGGUNAAN LISTRIK PADA GEDUNG BERTINGKAT BERBASIS WEB

Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM

STANDARD OPERATING PROCEDURE

BAB IV IMPLEMENTASI DAN EVALUASI SISTEM

Manajemen Keamanan Informasi

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

Computer & Network Security : Information security. Indra Priyandono ST

ABSTRAK. vi Universitas Kristen Maranatha

ABSTRAK. Kata Kunci: analisis, kontrol keamanan data, kontrol keamanan jaringan. Universitas Kristen Maranatha

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

Aulia Febriyanti

JURNAL TEKNIK POMITS Vol. 1, No. 1, (2013) 1-5 1

2018, No telah diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Tr

Lampiran Check List Pengendalian Manajemen Operasional. No. Pertanyaan Y T Keterangan Standart

Sosialisasi Peraturan Gubernur DIY No. 2 Tahun 2018 tentang Tata Kelola Teknologi Informasi dan Komunikasi

Departemen Hukum dan HAM Republik Indonesia Agustus 2009

BAB I PENDAHULUAN. 1.1 Latar Belakang. Rumah Sakit Umum Daerah (RSUD) Bangil Kabupaten Pasuruan

Mitigasi Risiko Aset Dan Komponen Teknologi Informasi Berdasarkan Kerangka Kerja OCTAVE Dan FMEA Pada Universitas Dian Nuswantoro

MITIGASI RISIKO ASET DAN KOMPONEN TEKNOLOGI INFORMASI BERDASARKAN KERANGKA KERJA OCTAVE DAN FMEA PADA UNIVERSITAS DIAN NUSWANTORO

BAB 4 Pembahasan 4.1 Context

BAB I PENDAHULUAN. dan sekitarnya. PT Karya Karang Asem Indonesia khususnya pada daerah Sedati,

Gambar Menu Login User. Gambar Menu Login jika user belum mengisi User Name. Gambar Menu Login jika User Name salah menginput password

Lampiran 8 : Daftar Pertanyaan Wawancara. No Pertanyaan Jawaban

BAB III METODE PENELITIAN. perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapantahapan

PANDUAN AUDIT SISTEM INFORMASI

STRATEGI PENGUJIAN PERANGKAT LUNAK

ANALISIS MANAJEMEN RESIKO PADA PENGGUNAAN SISTEM INFORMASI SMART PMB DI STMIK AMIKOM YOGYAKARTA

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

STANDAR OPERASIONAL PROSEDUR

Bab I PENDAHULUAN 1.1 Latar Belakang Masalah

BAB 4 HASIL DAN PEMBAHASAN MANAJEMEN RISIKO TI. IT. Hasil wawancara tersebut dimasukkan ke dalam lampiran kuisioner berbasis

DESAIN JARINGAN KOMPUTER UNIVERSITAS AMIKOM YOGYAKARTA CHAPTER 8 JARINGAN KOMPUTER. Program Sarjana - Sistem Informasi

Sistem Informasi Geografis Sekolah Berbasis Android

Satu yang terkenal diantaranya adalah metode OCTAVE.

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

Risiko Kode Frequency Severity Penggunaan kapasitas tidak optimal A Often A (pengkodean digunakan untuk memudahkan pemetaan risiko)

BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS

KEAMANAN SISTEM INFORMASI KONSEP SISTEM INFORMASI AKUNTANSI

BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

BAB 3 METODE PENELITIAN

BAB I PENDAHULUAN. memungkinkan pemakaian secara bersama data, perangkat lunak dan

RISK ASSESSMENT. Yusup Jauhari Shandi. Sekolah Tinggi Manajemen Informatika dan Komputer LIKMI Jl. Ir. H. Juanda Bandung 40132

BAB 4 EVALUASI SISTEM INFORMASI FRONT OFFICE PADA HOTEL ISTANA NELAYAN

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

EVALUASI KEAMANAN INFORMASI MENGGUNAKAN ISO/IEC 27002: STUDI KASUS PADA STIMIK TUNAS BANGSA BANJARNEGARA

STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH

Transkripsi:

Seminar Nasional Sistem Informasi Indonesia, 1 November 2016 ANALISIS RISIKO KEAMANAN INFORMASI DENGAN MENGGUNAKAN METODE OCTAVE DAN KONTROL ISO 27001 PADA DISHUBKOMINFO KABUPATEN TULUNGAGUNG Balqis Lembah Mahersmi 1), Feby Artowini Muqtadiroh 2) Bekti Cahyo Hidayanto 3) Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember Jl. Raya ITS Sukolilo, Surabaya, 60111 Telp : (031) 599425, Fax : (031) 5923465 E-mail : balqis.lembah12@mhs.is.its.ac.id 1) Abstrak Dinas Perhubungan Komunikasi dan Informatika Kabupaten Tulungagung adalah unit pelayanan masyarakat bidang tranportasi dan teknologi informasi. Untuk mencapai tujuan dan melaksanakan tugas fungsi pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Tulungagung, diperlukan adanya suatu manajemen risiko untuk mengarahkan dan mengendalian organisasi dalam mengelola risiko yang mungkin terjadi. Tujuan dari penelitian ini adalah untuk mengidentifikasi, menilai dan memitigasi risiko yang berkaitan dengan teknologi informasi yang dikelola oleh Dinas Perhubungan Komunikasi dan Informatika Kabupaten Tulungagung berdasarkan metode OCTAVE. Hasil dari penelitian ini adalah melakukan identifikasi risko yang dapat terjadi pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Tulungagung terkait implementasi teknologi informasi dan memberikan masukan atau rekomendasi mitigasi IS0 27001 kepada pihak Dinas Perhubungan Komunikasi dan Informatika Kabupaten Tulungagung bagaimana langkah mitigasi risiko yang tepat sesuai dengan hasil identifikasi risiko yang akan muncul terkait implementasi teknologi informasi. Pada akhir penelitian ada 13 risiko yang muncul dengan 31 kejadian risiko. nilai RPN tertinggi sebesar 378 dan terendah sebesar 45. Mitigasi risiko menggunakan 12 kontrol pada ISO 27001. Kata Kunci: Analisis risiko, Keamanan Informasi, Octave, Teknologi Informasi Abstract Department of transportation Communication and Information district Tulungagung is a community service unit areas of transport and information technology. To succeed and perform tasks on the Department of Communication and Information Tulungagung, needed a risk management organization control to direct and manage the risks that may occur Purpose of this study is to identify, assess and mitigate risks based OCTAVE method. The results is to identify risking which can occur at the Department of Communication and Information Tulungagung related IT implementation and provide input or recommendations to the Department of Communication and Information Tulungagung how measures proper risk mitigation to the results of risk identification will appear related to the implementation of IT. At ending the study there is a risk that appeared 13 to 31 the risk event. The highest RPN value of 378 and a low of 45. Risk mitigation using 12 controls in ISO 27001. Keywords: Risk analysis, Octave, Information Technology 1. PENDAHULUAN Teknologi informasi merupakan bagian yang tidak terpisahkan dari suatu perusahaan karena dapat membantu meningkatkan efektifitas dan efisiensi proses bisnis perusahaan. Tetapi untuk mencapai hal tersebut, diperlukan adanya pengelolaan TI yang baik dan benar agar keberadaan TI mampu menunjang kesuksesan organisasi dalam pencapaian tujuannya. Tugas utama dari dinas perhubungan komunkasi dan informatika kabupaten Tulungagung adalah memberikan pelayanan jasa transportasi dan pelayanan informasi publik yang efektif, efisien, aman, nyaman dan tepat waktu. Selain itu terdapat bidang baru di dinas perhubungan komunkasi dan informatika Kabupaten Tulungagung yakni komunikasi dan informatika yang bertugas dalam melaksanakan

182 pengendalian dan pengawasan kegiatan usaha jasa Komunikasi dan jasa Informatika selain itu juga melakukan penyiapan pengembangan Teknologi Elektronik Informatika di kabupaten Tulungagung [1]. Analisis risiko digunakan organisasi untuk melakukan identifikasi risiko yang timbul akibat penggunaan teknologi informasi. Dengan melakukan analisis risko, dinas perhubungan komunkasi dan informatika kabupaten Tulungagaung dapat membuat langkah-langkah penanganan terhadap masing-masing risiko apa saja yang mungkin akan dihadapi di kemudian hari. OCTAVE merupakan sebuah kerangka kerja yang memungkinkan organisasi untuk memahami, menilai dan menangani risiko keamanan informasi mereka dari perspektif organisasi. Metode OCTAVE cocok digunakan untuk menganalisi risiko keamanan informasi karena menilai terjadinya risko dari berbagai perspektif organisasi [2]. Oleh karena itu, tujuan dari penelitian ini adalah untuk melakukan identifikasi risiko yang terdapat pada dinas perhubungan komunkasi dan informatika kabupaten Tulungagaung terkait dengan aset teknologi informasi yang digunakan dalam layanan teknologi informasi dan memberikan rekomendasi mitigasi risiko yang tepat sesuai dengan hasil identifikasi risiko serta sesuai harapan organisasi. Harapan dari penulis adalah mampu menghasilkan sebuah dokumen mitigasi risiko pada layanan teknologi informasi yang dikendalikan oleh dinas perhubungan komunkasi dan informatika kabupaten Tulungagaung. 2. Tinjauan Pustaka Berikut ini adalah tinajauan pustaka yang digunakan dalam penelitian ini. 2.1 Profil Organisasi Dalam konteks ini Dinas Perhubungan Komunikasi dan Informatika Kabupaten Tulungagung memiliki kompetensi sebagai perumus kebijakan dan pelaksana kebijakan di Bidang Perhubungan Komunikasi dan Informatika. Bidang Komunikasi dan Informatika mempunyai tugas sebagai berikut: - Melaksanakan perumusan kebijakan teknis telekomunikasi dan informatika di bidang perhubungan. - Melaksanakan pengendalian dan pengawasan kegiatan usaha jasa Telekomunikasi dan jasa Informatika. Untuk melaksanakan tugas sebagaimana dimaksud Bidang Komunikasi dan Informatika mempunyai fungsi: - Penyiapan perencanaan, pengaturan, pengawasan dan pengendalian usaha jasa informatika. - Perencanaan, pengaturan, pengawasan dan pengendalian usaha jasa informatika. 2.2 Keamanan Informasi Keamanan informasi adalah suatu upaya dalam mengamankan aset informasi dari berbagai sumber ancaman untuk memastikan keberlangsungan bisnis, meminimalisir dampak yan terjadi akibat adanya ancaman tersebut. Berikuti ini merupakan model CIA triad [3]. 2.3 Manajemen Risiko Gambar 1. CIA Triad Manajemen risiko adalah proses pengelolaan risiko yang mencakup identifikasi, evaluasi, dan pengendalian risiko yang dapat mengancam kelangsungan usaha atau aktivitas perusahaan. 2.3.1 Aset Informasi Aset informasi merupakan sekumpulan pengetahuan yang diatur dan dikelola sebagai satu kesatuan oleh organisasi sehingga dapat dipahami, dibagikan, dilindungi dan dapat dimanfaatkan dengan baik. Aset informasi terdiri dari: people, hardware, software, network, procedur, data.

183 2.3.2 OCTAVE OCTAVE merupakan sebuah kerangka kerja yang memungkinkan organisasi untuk memahami, menilai dan menangani risiko keamanan informasi mereka dari perspektif organisasi Gambar berikut merepresentasikan gambaran metode OCTAVE yang berisi fase, proses, dan output dari setiap fase yang ada: 2.3.3 FMEA Gambar 2. Octave method Failure Mode and Effect Analysis (FMEA) merupakan metode yang digunakan menganalisa potensi kesalahan atau kegagalan dalam sistem atau proses, dan potensi yang teridentifikasi akan diklasifikasikan menurut besarnya potensi kegagalan dan efeknya terhadap proses. Berikut merupakan diagram alur dari tahapan proses FMEA. 2.4 ISO 27001 Gambar 3. Alur FMEA Tujuan utama dari ISO 27001 adalah untuk membangun, mempertahankan, mengembangkan, dan terus meningkatkan sistem informasi manajemen yang efektif. ISO 27001 menjelaskan bagaimana mengelola keamanan informasi melalui sistem manajemen keamanan informasi. Fase-fase tersebut adalah sebagai berikut [4]:

HASIL DAN PEMBAHASAN HASIL DAN PEMBAHASAN IMPLEMENTASI IMPLEMENTASI PERANCANGAN 184 2. METODOLOGI PENELITIAN Gambar 4. ISO 27001 Permasalahan pada penelitian ini akan diselesaikan dengan metode penelitian yang tergambar pada diagram alir berikut. Metodologi pengerjaan SMKI INPUT PROCESS OUPUT MULAI Kajian dokumen, interview protocol Melakukan penentuan objek dan pengumpulan data Daftar wawancara Studi literatur Daftar pertanyaan wawancara Organizational view Ancaman keamanan informasi Wawancara Ancaman keamanan informasi Technological view Komponen utama aset kritis, Kerentann aset kritis Daftar kerentanan aset kritis dan ancaman Identifikasi risiko Penilaian risiko, Usulan mitigasi ISO 27001 Usulan mitigasi risiko Validasi mitigasi Usulan mitigasi risiko final SELESAI Gambar 5. Metodologi Penelitian

185 Pada tahap menggunakan fase pertama melakukan penentuan objek dan pengumpulan data yaitu melakukan analisis objek tujuan penelitian. Fase organizational view merupakan tahapan untuk membuat profil ancaman (threat profile) dengan cara menentukan aset yang penting bagi organisasi dan kebutuhan pengamanannya. Pada tahapan Technological View dilakukan identifikasi proses bisnis dan profil ancaman terhadap asset kritis yang didukung layanan teknologi informasi pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Tulungagung dan identifikasi kelemahan infrastruktur. Pada tahap identifikasi risiko melakukan identifiksi risiko yaitu melakukan penilaian risiko dan melakukan mitigasi risiko berdasarkan ISO 27001 serta diskusi bersama dengan pihak Dinas Perhubungan Komunikasi dan Informatika Kabupaten Tulungagung. Pada tahap ini validasi yang telah selesai dilakukan pengecekan kesesuaian dengan keadaan yang ada di dinas perhubungan komunikasi dan informatika kabupaten Tulungagung. 3. HASIL DAN PEMBAHASAN Berikut merupakan hasil dan pembahsan penelitian. 3.1 Identifikasi Potential Cause Potensial causes merupakan penyebab dari timbulnya risiko yang terjadi dan didapatkan dari identifikasi kerentanan dan ancaman dari aset informasi Dinas Perhubungan Komunikasi dan Informatika Kabupaten Tulungagung. Berikut ini merupakan tabel potential cause: Tabel 1. Potential cause Aset Kerentanan Ancaman Potential Cause Hardware Komputer Server CCTV skema pergantian perangkat keras secara berkala pemeliharaan/prosedur untuk pemeliharaan yang rumit Kerentanan terhadap kelembapan, debu, kotoran. Perusakan peralatan atau media Debu, korosi, pendingin, air Maintenance yang tidak teratur Kerusakan pada server fisik Kerentanan terhadap nilai informasi yang tersimpan pada PC Pencurian pengamanan organisasi Kerentanan terhadap voltase yang bervariasi Hubungan arus pendek pada panel listrik Supply listrik yang tidak stabil Beban kerja server yang tinggi Pertambahan memori yang cepat dalam pemrosesan data Hilangnya pasokan listrik Korsleting listrik Hilangnya pasokan listrik Pemadaman listrik AC diruangan server mati/rusak Server lemot Server overheat Kapasitas memori server yang sudah tidak memenuhi kebutuhan (memori full) Data: Data vendor LPSE Data terlalu sering diupdate Data tidak terupdate Redudansi data Data tidak lengkap Kesalahan dalam penginputan dan penghapusan data

186 Aset Data pengadaan barang setiap dinas Data informasi seputar kegiatan di Kabapuaten Tulungagung Layanan teknologi informasi: Website pemerintah Pemantauan kondisi lalu lintas Pengadaan barang LPSE. Kerentanan salinan back-up Jaringan internet kurang optimal Kesalahan penempatan hak akses Terlalu banyak data yang diinputkan dokumentasi user manual untuk aplikasi mekanisme identifikasi dan otentifikasi pengguna aplikasi Karyawan kurang memperhatikan pentingnya antivirus Kekurangan yang telah diketahui pada perangkat lunak Tidak ada atau tidak cukup pengujian perangkat lunak Karyawan kurang teliti dan competen Ancaman Data hilang Data tidak terbackup Potential Cause Organisasi tidak melakukan prosedur backup Data korup Speed koneksi internet yang lemah dan tidak stabil Pembobolan data Tidak ada penggunaan hak akses Database penuh Server down Kesalahan pengguna dokumentasi (user manual) untuk karyawan baru Aplikasi terserang hacker Password tidak pernah diganti Aplikasi terserang virus Penyalahgunaan wewenang pada hak akses yang dimiliki Aplikasi eror PC terserang virus Staf mengetahui kelemahan pada aplikasi Kesalahan coding pada fungsional software Perangkat (network) jaringan Jalur komunikasi yang tidak dilindungi Arsitektur jaringan yang tidak aman Penyadapan informasi penting melalui jaringan Celah masuknya hacker Remote Spying Lemahnya keamanan di sistem internal TI Manajemen jaringan yang tidak cukup (ketahanan routing) Sambungan kabel yang buruk Kualitas jaringan yang kurang baik Jaringan LAN lemot Konektifitas internet menurun mekanisme pemantauan terhadap jaringan Gangguan jaringan pada provider Bencana alam dan kerjadian yang tidak terduga Koneksi terputus Kerusakan pada infrastruktur jaringan SDM yang tidak kompeten Kesalahan pengalamatan IP Kesalahan dalam melakukan konfigurasi access point

187 Karyawan (People) Aset Kerentanan Peletakan kabel yang sembarangan Tidak ada pelindung kabel Karyawan yang tidak kompeten Ancaman Kabel LAN digigit tikus Kesalahan pengalamatan IP Potential Cause Kabel digigit oleh hewan Kesalahan dalam melakukan konfigurasi access point Ketidakhadiran karyawan Kekurangan tenaga kerja Adanya share login Pelatihan terkait teknologi informasi tidak cukup kesadaran akan keamanan mekanisme pemantauan Bekerja tanpa pengawasan senior management kebijakan untuk penggunaan yang benar atas media telekomunikasi Karyawang kurang teliti Pelatihan keamanan yang tidak cukup Karyawan bidang kominfo bisa mengakses Kesalahan penggunaan Kesalahan penggunaan Pengolahan data illegal Karyawan tidak memperhatikan prosedur yang ada Pencurian PC Penggunaan peralatan yang tidak sah Penyangkalan atas tindakan Kesalahan penginputan dan penghapusan data Penyalahgunaan wewenang pada hak akses yang dimiliki Password PC diketahui orang lain Pemalsuan hak Tidak ada batasan hak akses training prosedur penggunaan TI yang diberikan sosialisasi tentang regulasi dan sanksinya Pengolahan data illegal oleh karyawan mekanisme pemantauan Tidak peraturan keamanan informasi ada terkait Kesalahan penginputan dan penghapusan data Staf tidak logout ketika meninggalkan komputer Tidak ada pengaturan untuk manajemen hak akses user atau user privilege 3.2 Identifikasi Risko Sebelum tahapan penilaian risiko, terlebih dahulu akan diidentifikasi risiko-risiko yang dapat mengancam asset informasi Dinas Perhubungan Komunikasi dan Informatika Kabupaten Tulungagung. Risiko yang dimaksudkan adalah berupa kejadian yang memiliki probabilitas untuk terjadi bahkan sering terjadi baik disebabkan oleh faktor yang berasal dari kondisi eksternal maupun kondisi internal perusahaan yaitu bencana alam, gangguan fasilitas umum, social, dan operasional. Berikut merupakan tabel identifikasi risiko:

188 Tabel 2. Identifikasi risiko Aset Potential Cause Risiko Hardware Komputer Server Maintenance yang tidak teratur Server overheat Kerusakan fisik pada server Hardware failure CCTV pengamanan organisasi Pencurian media atau informasi penting Korsleting listrik Kebakaran Data: Data vendor LPSE Data pengadaan barang setiap dinas Data informasi seputar kegiatan di Kabapuaten Tulungagung Layanan teknologi informasi: Website pemerintah Pemantauan kondisi lalu lintas Pengadaan barang LPSE. Perangkat jaringan (network) Pemadaman listrik Kapasitas memori server yang sudah tidak memenuhi kebutuhan (memori full) Kesalahan dalam penginputan dan penghapusan data Organisasi tidak melakukan prosedur backup Server down Speed koneksi internet yang lemah dan tidak stabil Password disimpan pada desktop komputer dokumentasi (user manual) untuk karyawan baru PC terserang virus Kesalahan coding pada fungsional software Password tidak pernah diganti Staf mengetahui kelemahan pada aplikasi Lemahnya keamanan di sistem internal TI mekanisme pemantauan terhadap jaringan Gangguan jaringan pada provider Kerusakan pada infrastruktur jaringan Kesalahan dalam melakukan konfigurasi access point Kabel digigit oleh hewan Kesalahan dalam melakukan konfigurasi access point Power failure Memory penuh Human atau technician error Backup data failure Network failure Penyalahgunaan hak akses Human atau technician error Software failure Penyalahgunaan hak akses Modifikasi dan pencurian database Serangan hacker Network failure Karyawan (People) Adanya share login Tidak ada pengaturan untuk manajemen hak akses user atau user privilege training prosedur penggunaan TI yang diberikan Kesalahan penginputan dan penghapusan data Penyalahgunaan hak akses Human atau technician error

189 Aset Potential Cause Risiko Staf tidak logout ketika meninggalkan komputer sosialisasi tentang regulasi dan sanksinya Pelanggaran terhadap aturan atau regulasi yang berlaku Pengolahan data illegal oleh karyawan mekanisme pemantauan Tidak ada peraturan terkait keamanan informasi Modifikasi dan pencurian database Pencurian media atau informasi penting 3.3 Penilaian Risiko Pada tahap ini dilakukan penentuan tingkat severity, occutance, dan detection. Tahapan ini dilakukan dengan mendeskripsikan informasi secara lebih dalam terhadap risiko yang telah diidentifikasi. Hasil dari tahap ini adalah nilai severity, occurance dan detection pada setiap proses risiko yang nantinya akan digunakan untuk menghitung RPN (Risk Priority Number) parameter dari level severity, occurance, dan detection. Berikut meruapakan tabel penilaian risiko: Tabel 3. Penilaian risiko Risiko Potential Cause SEV OCC DEC RPN Hardware failure Software failure Maintenance yang tidak teratur 9 3 3 45 Server overheat 9 1 6 54 Kerusakan fisik pada hardware Kesalahan coding pada fungsional software Speed koneksi internet yang lemah dan tidak stabil mekanisme pemantauan terhadap jaringan 9 3 3 81 5 4 3 60 9 7 6 378 7 1 6 42 Gangguan jaringan pada provider 9 7 6 378 LEVEL Very high Very low Very high Network failure Kerusakan pada infrastruktur jaringan 7 3 6 125 Medium Kesalahan dalam melakukan konfigurasi access point 7 4 6 168 Kabel digigit oleh hewan 7 3 6 125 Power failure Pemadaman listrik 9 7 6 378 High Medium Very high

190 Risiko Potential Cause SEV OCC DEC RPN Backup data failure Organisasi tidak melakukan prosedur backup 6 4 4 96 LEVEL Human atau technician error Serangan hacker Penyalahgunaan hak akses Server down dokumentasi (user manual) untuk karyawan baru 9 7 6 378 5 4 4 80 PC terserang virus 5 4 3 60 Kesalahan dalam penginputan dan penghapusan data training prosedur penggunaan TI yang diberikan Staf tidak logout ketika meninggalkan komputer Lemahnya keamanan di sistem internal TI Tidak ada penggunaan hak akses Adanya share login Tidak ada pengaturan untuk manajemen hak akses user atau user privilege 6 4 4 96 5 3 4 60 6 5 4 120 6 4 5 120 6 4 5 120 6 4 5 120 6 3 5 72 Password tidak pernah diganti 6 4 5 120 Very high Medium Medium Medium Medium Medium Pencurian media atau informasi penting pengamanan organisasi mekanisme pemantauan Tidak ada peraturan terkait keamanan informasi 6 4 4 96 5 3 3 45 6 4 4 96 Kebakaran Korsleting listrik 9 1 6 54 Memory penuh Kapasitas memori server yang sudah tidak memenuhi kebutuhan (memori full) 9 7 6 378 Very low Very low High

191 Risiko Potential Cause SEV OCC DEC RPN Modifikasi dan pencurian database Pelanggaran terhadap aturan atau regulasi yang berlaku Staf mengetahui kelemahan pada aplikasi Pengolahan data illegal oleh karyawan sosialisasi tentang regulasi dan sanksinya 9 1 5 45 9 1 5 45 5 4 4 80 LEVEL Very low Very low 3.4 Mitigasi Risiko Setelah melaukan identifikasi aset kritis, identifikasi risko dan penilaian risiko selanjutnya adalah melakukan mitigasi terhadap risiko tersebut. Mitigasi dilakukan dengan menggunakan standar ISO 27001 dan diskusi langsung dengan pihak dinas perhubungan komunikasi dan informatika kabupaten tulungagung. Dari hasil identifikasi dan penilaian risiko maka berikut beberapa kontrol objektif dari standar ISO/IEC 27001 yang direkomendasikan untuk penanganan risiko-risiko yang telah diidentifikasi tersebut adalah : a. Performance evaluation b. Information security incident management c. System and aplication acess control d. Supllier service delivery management e. Equipment f. Backup g. Human resource security h. Control of operational software i. Assess control j. Information transfer k. Organization of information security l. Leadership Berikut ini merupakan penjelasan singkat mengenai mitigasi risiko pada dinas perhubungan komunikasi dan informatika kabupaten Tulungagung: Tabel 4. Mitigasi Risiko Penjelasan dari alasan dipilihnya 12 rekomendasi kontrol yang diberikan diatas sesuai dengan risikorisiko tersebut adalah sebagai berikut : 1. Identifikasi risiko modifikasi dan pencurian database Dengan penyebab data diakses oleh pihak yang tidak berwenang yang berdampak pada data diketahui dan dimanfaatkan oleh pihak yang tidak berwenang maka dilakukan tindakan pembatasan akses yaitu akses terhadap informasi dan aplikasi oleh user harus dibatasi sesuai dengan kebijakan keamanan yang

192 telah ditentukan. Selain itu dilakukan pemberhentian pegawai yaitu dengan penghapusan hak akses pegawai terhadap informasi dan fasilitas pemrosesan informasi sejak mereka dinyatakan berhenti. 2. Identifikasi risiko backup data failure Data tidak terback-up biasanya terjadi karena kapasitas media penyimpanan yang tidak mencukupi yang berdampal informasi yang ditampilkan tidak updaye maka perlu dilakukan tindakan backup secara berkala dan manajemen kapasitas yaitu kebutuhan kapasitas harus dimonitor dan ditinjau secara berkala. 3. Identifikasi risiko human/technician error Dengan penyebab kesalahan dalam pengoperasian system hardware maupun software yang berdampak kerusakan pada system hardware maupun software dalam kegiatan operasional terganggu maka perlau dilakukan tindakan pendidikan dan pelatihan keamanan informasi pada karyawan sehingga dapat memahami keamanan informasi yang ditetapkan perusahaan demi mengurangi terjadinya kesalahan kerja (human eror). 4. Identifikasi risiko memory full Dengan penyebab kapasitas media penyimpanan tidak mencukupi dan banyak sekali data yang harus diinputkan setiap harinya yang berdampak tidak mampu meyimpan data-data baru maka perlu dilakukan tindakan back-up secara berkala dan manajemen kapasitas yaitu kebutuhan kapasitas harus dimonitor secara berkala. 5. Identifikasi risiko Serangan hacker Dengan penyebab lemahnya keamanan di system internal TI yang berdampak data diketahui dan dimanfaatkan oleh pihak yang tidak berwenang yang menyebabkan terhambatnya proses bisnis dan merusak citra pelayanan publik maka perlu dilakukan tindakan control akses jaringan yaitu dengan prosedur monitoring dalam penggunaan system pengolahan informasi harus dilakukan secara berkala. 6. Identifikasi risiko Hardware failure Hardware failure disebabkan oleh beberapa hal yaitu diantaranya adanya virus yang menyerang computer, server terserang malware, maintenance yang tidak teratur, dan kesalahan melakukan konfigurasi yang berdampak kehilangan data, database korup, bahkan kerusakan pada aset dan teknologi tersebut maka diperlukan adanya pemeliharaan dan control secara berkala terhadap hardware untuk memastikan ketersediaan dan integritas hardware. 7. Identifikasi risiko software failure Dengan penyebab kesalahan coding pada fungsional software dan pc terserang virus yang dapat menyebabkan application crashed, kehilangan data, database korup maka diperlukan pembatasan akses ke source code program dan harus dikontrol dengan ketat untuk mencegah masuknya fungsionalitas yang tidak sah dan untuk menghindari perubahan yang tidak disengaja selain itu diperlukan adanya deteksi, pencegahan, dan pemulihan untuk melindungi software dari virus, trojan, dan malware sesuai dengan prosedur. 8. Identifikasi risiko power failure. Dengan penyebab korsleting listrik berdampak kerusakan pada aset teknologi seperti server dan pc yang tiba-tiba mati dan dapat menyebabkan kehilangan data yang berdampak tidak dapat mengoperasionalkan server dan pc sehingga kegiatan operasional terhenti maka dari itu dibutuhkan perlindungan fisik terhadap kerusakan dan perlu dilakukan back-up agar data tetap tersimpan walaupun terjadi power failure. 9. Identifikasi risiko network failure Dengan penyebab kerusakan pada komponen infrastruktur jaringan internal yang berdampak beberapa kegiatan operasioal organisasi yang terhubung dengan jaringan LAN dan internet terhenti, maka perlu dilakukan tindakan control jaringan dengan cara dimonitoring dan dipelihara keamanan sistemnya yang ditinjau secara berkala.

193 10. Identifikasi risiko kebakaran Dengan penyebab terjadinya korsleting listrik dan terbakarnya generator berdampak tidak dapat mengoperasionalkan server dan pc sehingga kegiatan operasional terhenti dan memunculkan waktu dan biaya tambahan untuk perbaikannya maka perlu dilakukan tindakan perlindungan keamanan pengkabelan dari kerusakan dan juga dilakukan monitoring yang ditinjau secara berkala. Selain itu untuk melindungi data yang ada pada server juga perlu dilakukan back-up. 11. Identifikasi risiko Pencurian media atau dokumen penting Dengan penyebab pencurian hardware yang berdampak benefit loss dan kekurangan hardware untuk menjalankan proses bisnis maka perlu dilakukan tindakan pengamanan pada setiap ruangan yaitu misalnya harus dilindungi dengan control akses masuk yang memadai untuk memastikan hanya orang yang berhak saja diizinkan masuk sehingga cara tersebut dapat mencegah terjadinya pencurian. 12. Identifikasi risiko penyalahgunaan hak akses Dengan penyebab semua karyawan memiliki hak akses yang sama dan adanya share login yang sering dilakukan antar karyawan maka perlu dilakukan pembatasan akses terhadap informasi dan aplikasi oleh pengguna dan personel pendukung sesuai dengan kebijakan pengendalian akses yang ditetapkan serta diperlukan adanya perjanjian dengan user bahwa password pribadi yang bersifat rahasia harus dijaga dan tidak boleh diberitahukan kepada orang lain untuk menghindari terjadinya risiko penyalahgunaan hak akses. 13. Pelanggaran terhadap aturan atau regulasi yang berlaku Dengan penyebab kurangnya sosialisasi tentang regulasi dan sanksinya yang berdampak terjadinya penurunan etika kerja karyawan terhadap keamanan system dan mengakibatkan pekerjaan yang tidak efektif maka diperlukan adanya pelatihan kesadaran yang tepat dalam kebijakan keamanan organisasi bagi semua karyawan di organisasi. 4. SIMPULAN DAN SARAN Berikut ini merupakan kesimpulan dan saran terkait dengan penelitian yang dilakukan. 4.1 Simpulan Berdasarkan hasil penelitian, berikut ini merupakan beberapa kesimpulan yang dapat diambil : 1. Dari proses identifikai risiko terhadap layanan teknologi informasi pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Tulungagung diperoleh 13 risko dan 31 kejadian risiko dengan demikian terdapat risiko yang memiliki kejadian risiko lebih dari satu dikarenakan perbedaan penyebab. 2. Hasil penilaian dikategorikan dalam empat level penilaian risiko yaitu very high, high, medium, low, dan very low. a. Level very high mempunyai 4 risiko dengan nilai RPN sebesar 378. b. Level high mempunyai 2 risiko dengan nilai RPN antara 151-200. c. Level medium mempunyai 7 risiko dengan nilai RPN antara 101-150. d. Level low mempunyai 13 risiko dengan nilai RPN antara 51-100. e. Level very low mempunyai 5 risiko dengan nilai RPN antara 0-50. 3. Dari hasil identifikasi risiko terdapat 12 kontrol dalam ISO 27001 yang dapat dijadikan acuan penentuan rekomendasi mitigasi risiko. 4.2 Saran Berdasarkan pelaksanaan penelitian penelitian ini, saran yang dapat diberikan agar bisa dijadikan rekomendasi untuk penelitian selanjutnya adalah menerapkan metode identify senior management knowledge. Karena keterbatasan akses peneliti melakukan pendekatan dengan menanyakan bagaimana senior management dipandang dukungannya terhadap keamanan informasi oleh pihak operasional dan staf. Maka untuk penelitian selanjutnya perlu dipertimbangkan untuk melakukan penggalian informasi terhadap senior management di organisasi.

194 5. DAFTAR RUJUKAN [1] P. K. Tulungagung, PERDA & Pembentukan Struktur Organisasi TUPOKSI, Tulungagung, 2013. [2] P. M. J, The OCTAVE methodology as a risk analysis tool for business resources. roceedings of the International Multiconference on Computer Science and Information Technology. [3] "What is security analys?," [Online]. Available: http://www.doc.ic.ac.uk/~ajs300/security/cia.htm. [Accessed 16 January 2016]. [4] "PDCA Security," [Online]. Available: http://www.pdca-security.com/. [5] Z. Z, Case Study As A Research Method, J. Kemanus, Bil9, 2007. [6] Widodo, "Perencanaan dan implementasi SMKI," Universitas Diponegoro, Semarang, 2008. [7] K. K. d. I. RI, Panduan Penerapan Tatakelola KIPPP, Jakarta, 2011. [8] Y. K. R, "Case Study Research Design and Methods Second Edition," International Educational and Professional Publisher, vol. 5. [9] Paryati, "Keamanan Informasi," UPN Veteran, Yogjakarta, 2008.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan