L-1 Allegro Worksheet 1 RISK MEASUREMENT CRITERIA REPUTATION AND CUSTOMER CONFIDENCE Impact Area Low Moderate High Reputation Reputation is minimally affected; little or no effort or expense is required to recover. Reputation is damaged, and some effort and expense is required to recover. Reputation is irrevocably destroyed or damaged. Customer Loss Less than % reduction in customers due to loss of confidence to % reduction in customers due to loss of confidence More than % reduction in customers due to loss of confidence Other:
L-2 Allegro Worksheet 2 RISK MEASUREMENT CRITERIA FINANCIAL Impact Area Low Moderate High Operating Costs Increase of less than % in yearly operating costs Yearly operating costs increase by to %. Yearly operating costs increase by more than %. Revenue Loss Less than % yearly revenue loss to % yearly revenue loss Greater than % yearly revenue loss One-Time Financial Loss One-time financial cost of less than $ One-time financial cost of $ to $ One-time financial cost greater than $ Other:
L-3 Allegro Worksheet 3 RISK MEASUREMENT CRITERIA PRODUCTIVITY Impact Area Low Moderate High Staff Hours Staff work hours are increased by less than % for to day(s). Staff work hours are increased between % and % for to day(s). Staff work hours are increased by greater than % for to day(s). Other: Other: Other:
L-4 Allegro Worksheet 4 RISK MEASUREMENT CRITERIA SAFETY AND HEALTH Impact Area Low Moderate High Life No loss or significant threat to customers or staff members lives Customers or staff members lives are threatened, but they will recover after receiving medical treatment. Loss of customers or staff members lives Health Minimal, immediately treatable degradation in customers or staff members health with recovery within four days Temporary or recoverable impairment of customers or staff members health Permanent impairment of significant aspects of customers or staff members health Safety Safety questioned Safety affected Safety violated Other:
L-5 Allegro Worksheet 5 RISK MEASUREMENT CRITERIA FINES AND LEGAL PENALTIES Impact Area Low Moderate High Fines Fines less than $ are levied. Fines between $ and $ are levied. Fines greater than $ are levied. Lawsuits Non-frivolous lawsuit or lawsuits less than $ are filed against the organization, or frivolous lawsuit(s) are filed against the organization. Non-frivolous lawsuit or lawsuits between $ and $ are filed against the organization. Non-frivolous lawsuit or lawsuits greater than $ are filed against the organization. Investigations No queries from government or other investigative organizations Government or other investigative organization requests information or records (low profile). Government or other investigative organization initiates a high-profile, in-depth investigation into organizational practices. Other:
L-6 Allegro Worksheet 6 RISK MEASUREMENT CRITERIA USER DEFINED Impact Area Low Moderate High
L-7 Allegro Worksheet 7 IMPACT AREA PRIORITIZATION WORKSHEET PRIORITY IMPACT AREAS Reputation and Customer Confidence Financial Productivity Safety and Health Fines and Legal Penalties User Defined
L-8 Allegro Worksheet 8 CRITICAL INFORMATION ASSET PROFILE (1) Critical Asset What is the critical information asset? (2) Rationale for Selection Why is this information asset important to the organization? (3) Description What is the agreed-upon description of this information asset? (4) Owner(s) Who owns this information asset? (5) Security Requirements What are the security requirements for this information asset? Confidentiality Only authorized personnel can view this information asset, as follows: Integrity Only authorized personnel can modify this information asset, as follows: This asset must be available for these personnel to do their jobs, as follows: Availability This asset must be available for hours, days/week, weeks/year. Other This asset has special regulatory compliance protection requirements, as follows: (6) Most Important Security Requirement What is the most important security requirement for this information asset? Confidentiality Integrity Availability Other
L-9A Allegro Worksheet 9a INFORMATION ASSET RISK ENVIRONMENT MAP (TECHNICAL) 1. INTERNAL CONTAINER DESCRIPTION OWNER(S) 2. 3. 4. 1. EXTERNAL CONTAINER DESCRIPTION OWNER(S) 2. 3. 4.
L-9B Allegro Worksheet 9b INFORMATION ASSET RISK ENVIRONMENT MAP (PHYSICAL) 1. INTERNAL CONTAINER DESCRIPTION OWNER(S) 2. 3. 4. 1. EXTERNAL CONTAINER DESCRIPTION OWNER(S) 2. 3. 4.
L-9C Allegro Worksheet 9c INFORMATION ASSET RISK ENVIRONMENT MAP (PEOPLE) INTERNAL PERSONNEL 1. NAME OR ROLE/RESPONSIBILITY DEPARTMENT OR UNIT 2. 3. 4. 1. EXTERNAL PERSONNEL CONTRACTOR, VENDOR, ETC. ORGANIZATION 2. 3. 4.
L-10 Allegro - Worksheet 10 INFORMATION ASSET RISK WORKSHEET Information Asset Area of Concern (1) Actor Who would exploit the area of concern or threat? Threat (2) Means How would the actor do it? What would they do? (3) Motive What is the actor s reason for doing it? (4) Outcome What would be the resulting effect on the information asset? Disclosure Modification Destruction Interruption Information Asset Risk (5) Security Requirements How would the information asset s security requirements be breached? (6) Probability What is the likelihood that this threat scenario could occur? (7) Consequences What are the consequences to the organization or the information asset owner as a result of the outcome and breach of security requirements? High Medium Low (8) Severity How severe are these consequences to the organization or asset owner by impact area? Impact Area Reputation & Customer Confidence Financial Value Score Productivity Safety & Health Fines & Legal Penalties User Defined Impact Area Relative Risk Score
PENILAIAN RISIKO SISTEM INFORMASI PADA BINA NUSANTARA MENGGUNAKAN METODE OCTAVE ALLEGRO GROUP FIELD PROJECT Welly 1022200770 Mikewati 1022200814 Program Pascasarjana Ilmu Komputer PROGRAM STUDI MAGISTER MANAJEMEN SISTEM INFORMASI JENJANG S2 UNIVERSITAS BINA NUSANTARA JAKARTA 2011
PENILAIAN RISIKO SISTEM INFORMASI PADA BINA NUSANTARA MENGGUNAKAN METODE OCTAVE ALLEGRO Mikewati, Welly, dan Ford Lumban Gaol LAPORAN TEKNIS Jakarta 26 Januari 2012 Menyetujui: Ford Lumban Gaol, S.Si, M.Kom, Dr
PENILAIAN RISIKO SISTEM INFORMASI PADA BINA NUSANTARA MENGGUNAKAN METODE OCTAVE ALLEGRO ABSTRAK Penggunaan teknologi sistem informasi dalam perusahaan akan menimbulkan risiko risiko. Tujuan penulisan thesis ini adalah mendukung manajemen risiko sistem informasi dalam perusahaan dengan melakukan sebuah penilaian risiko sistem informasi dengan menggunakan metode OCTAVE Allegro. Pengunaan metode OCTAVE Allegro dalam analisis risiko akan menghasilkan rencana mitigasi dan strategi keamanan bagi perusahaan. Rencana mitigasi dan strategi keamanan ini diharapkan dapat mendukung manajemen risiko sistem informasi dalam perusahaan dan meminimalisir kerusakan yang mungkin dapat ditimbulkan dari ancaman ancaman yang ada. Kata kunci: Penilaian risiko sistem informasi, OCTAVE Allegro ABSTRACT The use of information system technology within an enterprise will create risks. The goal of this thesis is to support information system risk management within the enterprise by doing information system risk assessment using OCTAVE Allegro. The use of OCTAVE Allegro on risks analysis will create mitigation plans and security strategies to the enterprise. This mitigation plans and security strategies are expected to support risk management within the enterprise and minimize the damage that may result from threats that exist. Keywords: Information System Risk Assessment, OCTAVE Allegro
PENDAHULUAN Latar Belakang Dewasa ini penggunaan teknologi informasi dalam perusahaan merupakan hal yang umum. Dalam penggunaannya, penggunaan teknologi informasi akan memunculkan risiko - risiko. Pengelolaan terhadap risiko risiko ini merupakan hal yang perlu diperhatikan. Salah satu langkah awal perusahaan dalam mengelola risiko risiko ini, perusahaan dapat melakukan pengukuran terhadap risiko teknologi informasi (penilaian risiko). Banyak metode yang dapat digunakan untuk melakukan penilaian risiko. Metode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) merupakan salah satu metode yang dapat digunakan oleh perusahaan sebagai acuan untuk melakukan penilaian risiko. Metode OCTAVE sendiri memiliki tiga varian, yaitu OCTAVE, OCTAVE-S, dan OCTAVE Allegro. Metode yang digunakan dalam penulisan ini adalah metode OCTAVE Allegro, dimana metode ini merupakan modifikasi dari metode OCTAVE. Perbedaan yang mendasar dari OCTAVE dan OCTAVE Allegro adalah bahwa pendekatan OCTAVE Allegro lebih ditujukan secara spesifik kepada aset informasi dan data yang mendukung informasi tersebut. Rumusan Permasalahan Rumusan permasalahan yang mendasari dilakukannya penilaian risiko pada Bina Nusantara adalah : 1. Belum pernah diadakannya penilaian risiko pada Bina Nusantara yang menyebabkan kesulitan dalam menilai seberapa besar dampak dari risiko yang muncul.
2. Belum adanya kebijakan formal terkait keamanan teknologi informasi. Hal ini menimbulkan lambannya tindakan yang harus diambil untuk mencegah risiko yang mungkin terjadi dan penanggulangannya. 3. Kesulitan dalam mengkomunikasikan pentingnya nilai dari aset informasi yang dimiliki karena tidak adanya dokumentasi atau data - data yang mendukung. Tujuan dan manfaat Tujuan penulisan ini adalah membantu Bina Nusantara dalam mengevaluasi risiko risiko terkait dengan aset informasi serta melindungi risiko risiko tersebut dengan merancang strategi perlindungan. Manfaat yang ingin dicapai dalam penelitian ini adalah: Mengelola penilaian risiko secara mandiri (self directed) bagi organisasi. Mengidentifikasi risiko keamanan yang dapat menghambat visi dan misi organisasi. Membuat keputusan terbaik untuk risiko risiko tersebut. Membuat strategi perlindungan yang dirancang secara khusus untuk mengurangi risiko keamanan informasi yang memiliki prioritas tertinggi. Merancang kebutuhan dan regulasi. Pihak manajemen dapat secara efektif mengkomunikasikan nilai - nilai penting informasi keamanan informasi. Ruang Lingkup 1. Penilaian risiko dilakukan pada IT Directorate Bina Nusantara.
2. Penilaian risiko dilakukan pada operasional Bina Nusantara dengan berfokus pada perlindungan aset informasi yang penting. 3. Metode yang digunakan dalam melakukan penilaian risiko adalah metode OCTAVE Allegro. Kerangka pikir Kerangka pikir dalam penelitian ini dapat digambarkan seperti dibawah: Gambar 7. Kerangka Pikir 1. Studi pendahuluan Pada tahap ini, didefinisikan latar belakang dari penelitian. Tahap ini dimulai dengan mendiskusikan ide penelitian terhadap perwakilan dari Bina Nusantara dan apa saja yang akan dilakukan dengan tesis ini. Langkah selanjutnya adalah mempelajari struktur organisasi Bina Nusantara, mempelajari proses bisnis Bina
Nusantara dan mempelajari sistem informasi Bina Nusantara. Selain itu, dilakukan pencarian artikel yang berkaitan dengan manajemen risiko sistem informasi melalui buku-buku, internet dan juga melalui dosen pembimbing tesis. Dari ide yang muncul, didiskusikan dengan dosen pembimbing dan ide - ide tersebut digunakan pada tahapan berikutnya, yaitu perumusan masalah. 2. Perumusan Masalah Pada tahapan ini, dilakukan identifikasi permasalahan yang akan dibahas. Identifikasi dan perumusan permasalahan dilakukan agar sasaran penelitian tidak keluar dari alur yang dibuat. 3. Tujuan dan Manfaat yang Ingin Dicapai Pada tahapan ini tim menentukan tujuan dan manfaat yang ingin dicapai dari penelitian yang akan dilakukan. 4. Studi Kepustakaan Setelah semua proses di dalam studi pendahuluan dilakukan, proses selanjutnya adalah pembelajaran literatur yang berhubungan dengan penilaian risiko. Studi literatur ini dilakukan agar dapat menghasilkan suatu acuan dasar yang dapat digunakan dalam penelitian. Studi literatur dilakukan melalui jurnal-jurnal, buku-buku dan juga melalui internet. 5. Pengumpulan data Bersamaan dengan studi kepustakaan yang dilakukan, peneliti melakukan pengumpulan data dengan cara: a. Observasi Mengamati kegiatan kegiatan yang berhubungan dengan risiko TI pada IT Directorate dan business unit atau directorate yang terkait secara langsung. Di dalam observasi ini juga dilakukan pengumpulan dokumen dokumen yang
terkait dengan risiko TI yang ada pada Bina Nusantara, khususnya pada IT Directorate. Contoh dokumen pada studi dokumentasi dapat berupa dokumen kebijakan (misalnya, dokumentasi, arahan), dokumentasi sistem (misalnya, buku petunjuk, desain sistem dan persyaratan dokumen), dan dokumentasi yang berkaitan dengan keamanan (misalnya, laporan audit sebelumnya, laporan penilaian risiko, hasil tes sistem, rencana keamanan sistem, kebijakan keamanan) yang dapat memberikan informasi yang baik mengenai kontrol keamanan yang digunakan oleh dan direncanakan untuk sistem TI. b. Wawancara Melakukan pengumpulan data yang dilakukan dengan bertanya dan mendengarkan jawaban langsung dari narasumber. 6. Analisis Menggunakan Metode OCTAVE Allegro Terdapat empat tahapan utama dalam metode OCTAVE Allegro, yaitu: a. Membangun drivers b. Membuat profil aset c. Mengidentifikasi ancaman d. Mengidentifikasi dan mengurangi risiko Lebih jelasnya mengenai metode OCTAVE Allegro, akan dibahas pada sub bab 3.4. 7. Rekomendasi Kebijakan Manajemen Risiko Rekomendasi dan kebijakan manajemen risiko dijelaskan pada sub bab 3.4, metode OCTAVE Allegro langkah 8. Dalam penelitian ini penulis melakukan penelitian kualitatif dimana pada akhir pembahasan nantinya penulis memberikan hasil berupa pendekatan pengurangan risiko sesuai dengan hasil yang diberikan oleh metode OCTAVE Allegro.
RANGKUMAN HASIL PEMBAHASAN Hasil rangkuman yang dibuat berdasarkan 8 langkah OCTAVE Allegro yang ada. Dari tiap tiap langkah yang ada, akan dijabarkan hasil apa saja yang didapat. Langkah 1 Membangun Kriteria Pengukuran Risiko Dalam langkah 1, ada dua aktivitas yaitu penentuan impact area dan penentuan skala prioritas pada impact area yang telah ditentukan. Dari lima impact area yang ditentukan (reputasi dan kepercayaan pelanggan, finansial, produktivitas, keamanan dan kesehatan, dan denda dan penalti), diperoleh hasil sebagai berikut: Impact area - Reputasi dan kepercayaan pelanggan Dampak terhadap reputasi dan kepercayaan pelanggan dikategorikan high (tinggi) jika reputasi terkena dampak sangat buruk hingga hampir tidak dapat diperbaiki Dampak terhadap kerugian pelanggan dikategorikan high (tinggi) jika terjadi lebih dari 10% pengurangan pelanggan yang diakibatkan hilangnya kepercayaan Impact area - Finansial Dampak terhadap biaya operasional dikategorikan high (tinggi) jika terjadi peningkatan lebih dari 10% pada biaya operasional per tahun Dampak terhadap revenue loss dikategorikan high (tinggi) jika terjadi lebih dari 10% per tahun revenue loss Dampak terhadap one-time financial loss dikategorikan high (tinggi) jika terjadi lebih dari Rp.100.000.000,- Impact area - Produktivitas
Dampak terhadap jam kerja karyawan dikategorikan high (tinggi) jika jam kerja karyawan meningkat lebih dari 10% dari 7 sampai dengan 14 hari Impact area - Keamanan dan Kesehatan Dampak terhadap kehidupan dikategorikan high (tinggi) jika terjadi hilangnya nyawa pelanggan atau karyawan Dampak terhadap kesehatan dikategorikan high (tinggi) jika terjadi penurunan permanen dari kesehatan pelanggan atau karyawan Dampak terhadap Keselamatan dikategorikan high (tinggi) jika keselamatan pelanggan atau karyawan terganggu Impact area - Denda dan Penalti Denda dikategorikan high (tinggi) jika bernilai lebih dari Rp.100.000.000,- Tuntutan Hukum dikategorikan high (tinggi) jika tuntutan dengan nilai lebih dari Rp.100.000.000,- akan dikenakan kepada Bina Nusantara. Investigasi dikategorikan high (tinggi) jika pemerintah atau organisasi investigasi lainnya akan memulai penyelidikan yang lebih mendalam terhadap praktek Bina Nusantara terkait dengan tuntutan. Dari kelima impact area tersebut, reputasi dan kepercayaan pelanggan merupakan prioritas yang paling pertama diikuti oleh finansial, denda dan penalti, produktivitas, serta keamanan dan kesehatan. Langkah 2 Mengembangkan Information Asset Profile Aset informasi yang berhasil diidentifikasikan sebanyak 17, namun dari 17 aset tersebut didapatkan 9 aset informasi kritikal yaitu profil dosen, profil mahasiswa, jadwal kuliah mahasiswa, jadwal mengajar dosen, transaksi nilai mahasiswa, konten
materi kuliah, transaksi pembayaran uang kuliah, absensi kelas, dan kehadiran dosen. Pertimbangan pertimbangan dalam memilih aset informasi kritikal tersebut adalah: Aset Informasi yang penting bagi Bina Nusantara Aset informasi yang digunakan dalam kegiatan operasional sehari hari Aset informasi yang jika hilang, dapat mengganggu kemampuan Bina Nusantara untuk mencapai tujuan dan misi perusahan Ada tiga kebutuhan keamanan, yaitu confidentiality, integrity, dan availability. Dari profil aset informasi ini, kebutuhan keamanan yang paling penting, mayoritas terletak pada integrity. Hal ini dikarenakan aset informasi harus dapat dipertanggungjawabkan kebenarannya untuk digunakan dalam berbagai kegiatan operasional di Bina Nusantara. Di bawah ini merupakan contoh dari profil aset untuk profil mahasiswa. Critical Asset Rationale for Selection Description Owner Security Requirements Confidentiality Profil mahasiswa Mahasiswa mempunyai peran penting dalam proses bisnis yang ada pada core process Binus. Profil mahasiswa sendiri digunakan hamper di setiap proses yang ada di Binus itu sendiri. Profil mahasiswa yang dicatat dan digunakan merupakan data yang dimulai saat mahasiswa tersebut telah melalui proses penerimaan mahasiswa baru, hingga pada akhirnya mahasiswa tersebut lulus. Aset ini terdiri dari data diri mahasiswa, seperti nomor pendaftaran, nomor induk mahasiswa, nama, alamat, agama, tahun angkatan, email, no hp, dsb Manajer, IS Dev Univ (ext.2310) Informasi mengenai profil mahasiswa bersifat privasi bagi mahasiswa, sehingga dijaga agar tidak disalah gunakan oleh pihak yang tidak bertanggung jawab. Informasi ini hanya diberikan akses ke pihak-pihak tertentu untuk tujuan membantu mahasiswa. Contohnya: admisi, jurusan, kemahasiswaan, alumni, binuscareer, biro nilai, web parent, dsb.
Integrity Availability Informasi ini harus diisi, namun terbuka kemungkinan untuk merubah data oleh mahasiswa tersebut lewat binusmaya atau dibantu oleh SRSC. Contoh perubahan profil mahasiswa: ganti no hp, ganti alamat. Informasi ini harus tersedia bagi mahasiswa, layanan mahasiswa, binus career, jurusan, kemahasiswaan, alumni, binuscareer, biro nilai, web parent, dsb. Most Important Security Requirement Integrity Alasan: profil mahasiswa haruslah benar dan up to date karena profil mahasiswa ini banyak digunakan untuk berbagai keperluan saat perkuliahan berlangsung, seperti penagihan dan pelunasan pembayaran, beasiswa, sertifikat seminar yang diadakan di lingkungan Bina Nusantara, Penjadwalan kuliah dan ujian, serta untuk keperluan wisuda. Jika data ini sejak awal salah, maka akan berpengaruh ke banyak area. Langkah 3 Identifikasi Information Asset Containers Information asset container terbagi menjadi tiga, yaitu technical, physical, dan people dimana masing-masing mempunyai sisi internal dan eksternal. Dari 9 critical asset information, yang paling banyak mempunyai container adalah profil mahasiswa. Profil mahasiswa diakses, disimpan, atau dikirim melalui dua database, tiga belas aplikasi, dua jenis kontainer fisik, dan staff staff dari sembilan unit kerja. Langkah 4 Identifikasi Areas of Concern Profil mahasiswa juga mempunyai area of concern yang paling banyak. Dari area of concern tersebut, yang paling sering adalah bug/error pada aplikasi dan pemanfaatan celah keamanan lewat aplikasi baik pihak dalam maupun luar, serta kesalahan saat deploy aplikasi.
Langkah 5 Identifikasi Threat Scenarios Areas of concern kemudian diperluas menjadi threat scenario yang mendetailkan lebih jauh mengenai property dari threat. Properti dari threat antara lain, actor, means, motives, outcome, dan security requirement. Di bawah ini merupakan salah satu contoh threat scenarios dari profil mahasiswa. 1 Area Of Concern Dikarenakan jumlah profil mahasiswa yang banyak, terjadi kesalahan dalam peng-inputan data oleh staff SRSC Threat Properties 1.Actor 2.Means 3.Motives 4.Outcome 5.Security Requirements staff SRSC Staff menggunakan aplikasi stusi Terjadi karena human error (accindental) Modification, Interruption Penambahan validasi validasi terhadap field-field yang diinput oleh Staff Langkah 6 Identifikasi Risiko Langkah ini bertujuan untuk menentukan bagaimana threat scenario yang telah dicatat dapat memberikan dampak bagi perusahaan dimulai dengan mereview risk measurement criteria, fokus terhadap bagaimana definisi dampak high (tinggi), medium, dan low untuk perusahaan. Kemudian relative risk score akan dihitung. Relative risk score dapat digunakan untuk menganalisa risiko dan membantu organisasi untuk memutuskan strategi terbaik dalam menghadapi risiko. Setiap area of concern tiap information asset yang telah didefinisikan, dipertimbangkan konsekuensi yang mungkin terjadi. Konsekuensi tersebut mempunyai impact area yang dinilai tingkat value-nya yang kemudian diberikan score. Score diperoleh melalui perkalian priority dengan value dari impact area. Cara menghitung score dapat dilihat di tabel di bawah ini. Impact Areas Priority Low Moderate High
(1) (2) (tinggi) (3) Reputasi dan kepercayaan pelanggan 5 5 10 30 Finansial 4 4 8 12 Produktivitas 2 2 4 6 Keamanan dan Kesehatan 1 1 2 3 Denda dan Penalti 3 3 6 9 Langkah 7 Analisis Risiko Di bawah ini adalah salah satu setiap area of concern dari information asset yang telah didefinisikan dan dipertimbangkan konsekuensi yang mungkin terjadi berdasarkan relative risk score. Dari hasil pengamatan, rata-rata yang paling besar scorenya adalah Reputation & Customer Confidence. 1 Area Of Concern Dikarenakan jumlah profil mahasiswa yang banyak, terjadi kesalahan dalam peng-inputan data oleh staff SRSC Consequences Severity Risk Staff SRSC harus mendatakan ulang data-data yang salah lewat aplikasi atau bantuan dari staff IT sehingga banyak waktu yang terbuang untuk menginputnya. Impact Area Value Score Reputation & Med 10 Customer Confidence Financial Low 4 Productivity High (tinggi) 6 Safety & Health Low 1 Fines & Legal Low 3 Penalties Relative Risk Score 24 Langkah 8 Pemilihan Mitigation Approach Dari pengelompokan risiko yang ada, selanjutnya diambil langkah mitigasi risiko risiko tersebut. Pembagian pengambilan langkah mitigasi dikelompokkan menjadi:
Relative Risk Matrix Risk Score 30 to 45 16 to 29 0 to 15 POOL 1 POOL 2 POOL3 POOL Mitigation Approach 1 Mitigate 2 Defer/Mitigate 3 Accept Berikut ini merupakan contoh mitigasi risiko atas area of concern. Risk Mitigation 1 Area of Concern Action Container Staff IT Staff IT yang dapat memasukkan malicious code Mitigate Control Mengadakan training secara regular terhadap staff mengenai tanggung jawab dalam melindungi information asset. 2 Area of Concern Action Container Aplikasi siskul Staff AOC Staff AOC Penyebaran hak akses(password) terhadap aplikasi siskul yang dapat mengakses data dosen oleh staff AOC yang memiliki akses Mitigate Control Dibuat pergantian password secara berkala. Dilakukan penyuluhan terhadap staff AOC mengenai pentingnya keamanan password. Jika terjadi kesalahan dalam input data, maka staff yang bersangkutan akan dikenakan sanksi.
KESIMPULAN DAN SARAN Kesimpulan Dari penilaian yang dilakukan pada Bina Nusantara, maka diperoleh kesimpulan sebagai berikut: 1. Bina Nusantara belum pernah melakukan evaluasi untuk menilai aset infomasi yang sifatnya kritikal serta ancaman dan risiko yang mungkin terjadi. 2. Bina Nusantara belum pernah membuat perencanaan pengurangan risiko untuk mengurangi risiko-risiko yang mungkin terjadi. 3. OCTAVE Allegro merupakan suatu evaluasi risiko keamanan informasi yang sifatnya self-directed yang memungkinan organisasi untuk membuat keputusan dalam perlindungan informasi berdasarkan risiko terhadap confidentiality, integrity, dan availability dari aset informasi kritikal. 4. Untuk membuat keputusan perlindungan informasi yang paling terbaik, sangat penting untuk mengidentifikasikan ancaman atas aset kritikal. Secara kolektif, semua sumber dari ancaman didokumentasikan dalam threat profile. Threat profile dapat digunakan untuk mengidentifikasikan serangkaian threat terhadap setiap critical asset. Jika organisasi mengerti ancaman dari aset kritikal, maka langkah selanjutnya akan sangat mudah untuk mengerti risiko terhadap organisasi dan mengambil langkah-langkah untuk mengurangi risiko tersebut. 5. Hasil dari serangkaian langkah dalam penilaian risiko di Bina Nusantara adalah: Langkah 1 Membangun Kriteria Pengukuran Risiko: Menentukan impact area dari Bina Nusantara. Impact area yang dipilih adalah reputasi dan kepercayaan pelanggan, financial, produktivitas, keamanan dan kesehatan, dan denda dan penalti.
Dari masing-masing impact area ini, diberikan penilaian kondisi seperti apakah impact area tersebut dikatakan low, medium, dan high. Selain itu, masing-masing impact area diberikan skala prioritas. Reputasi dan kepercayaan pelanggan merupakan prioritas terbesar yang dipilih karena jika reputasi dan kepercayaan pelanggan terjaga atau meningkat, maka customer akan menyebarkannya dari mulut ke mulut sehingga membuka peluang untuk lebih banyak mahasiswa yang masuk ke Bina Nusantara. Langkah 2 Mengembangkan Information Asset Profile: Untuk menentukan aset informasi apa saja yang kritikal bagi Bina Nusantara, assessment dilakukan dengan berfokus kepada core process dari binus itu sendiri. Awalnya aset-aset penting didefinisikan bersama dengan Manajer IS Dev Univ. Dari kumpulan aset penting tersebut, aset informasi kritikal yang berhasil diidentifikasikan dalam penulisan ini adalah: Profil dosen, Profil mahasiswa, Jadwal kuliah mahasiswa, Jadwal mengajar dosen, Transaksi nilai mahasiswa, Konten materi kuliah, Transaksi pembayaran uang kuliah, Absensi Kelas, dan Kehadiran dosen. Langkah 3 Identifikasi Information Asset Containers: Information asset containers dimana aset informasi kritikal Bina Nusantara tersebut disimpan, dipindahkan, atau diproses diidentifikasikan dengan membagi container dalam kategori technical, physical, dan people. Langkah 4 Identifikasi Areas of Concern: Areas of concern diidentifikasikan dengan melihat container yang telah diidentifikasikan di langkah sebelumnya. Langkah 5 Identifikasi Threat Scenarios: Areas of concern diperluas menjadi threat scenario yang mendetailkan lebih jauh mengenai property dari threat.
Langkah 6 Identifikasi Risiko: Langkah ini bertujuan untuk menentukan bagaimana threat scenario yang telah dicatat dalam dapat memberikan dampak bagi perusahaan. Langkah 7 Analisis Risiko: Pada tahap ini, pengukuran secara kualitatif dilakukan dengan menghitung score untuk setiap risiko pada information asset. Langkah 8 Pemilihan Mitigation Approach: Menentukan tindakan-tindakan yang dapat dilakukan untuk memitigasi setiap risiko. Saran Saran yang dapat diusulkan dalam penelitian ini adalah sebagai berikut: 1. Membuat peraturan yang tertulis mengenai tanggung jawab dalam menjaga keamanan informasi dan sanksi bagi yang melanggar serta melakukan sosialisasi mengenai peraturan tersebut secara bertahap kepada karyawan Bina Nusantara. 2. Membuat simulasi secara visual untuk memudahkan karyawan untuk mengerti bagaimana pentingnya aset informasi, ancaman dan risiko yang mungkin terjadi, serta konsekuensi yang harus mereka hadapi bila terjadi. 3. Melakukan evaluasi keamanan informasi kembali dengan menggunakan Octave Allegro secara berkala, misalnya satu tahun sekali. 4. Untuk penulisan berikutnya, ruang lingkup penulisan dapat menggunakan area lain di IT Directorate Bina Nusantara, seperti bagian school, function, atau bisnis unit yang lain, seperti marketing dan HRD.
DAFTAR PUSTAKA Christopher Alberts, A. D. (2002). Managing Information Security Risks: The OCTAVE Approach. Addison Wesley. Conner, B., Noonan, T., & Holleyman II, R. (2004). Information Security Governance: Toward a Framework for Action. (Business Software Alliance). Gary Stoneburner, A. G. (2002). Risk Management Guide for Information Technology Systems. Computer Security Division Information Technology Laboratory National Institute of Standards and Technology. Jake Kouns, D. M. (2010). Information Technology Risk Management In Enterprise Enviroments. New Jersey: John Wiley & Sons. McLeod Jr.,R., Schell, G. (2004). Sistem Informasi Manajemen, edisi ke-8. Terjemahan Widyantoro, Agus, PT. Indeks, Jakarta. Marie Wright, Third generation risk management practices, Computer Fraud & Security, Volume 1999, Issue 2, February 1999, Pages 9-12, ISSN 1361-3723, 10.1016/S1361-3723(99)80005-0. Michael E. Whitman and Herbert J.Mattord (2010). Management of Information Security,3rd Edition. Thomson-Course Technology.
Mulyadi. (1997). Sistem Akuntansi, edisi ke-3, cetakan ke-2. Bagian Penerbitan Sekolah Tinggi Ilmu Ekonomi YKPN, Yogyakarta. O Brien, James. (2006). Pengantar Sistem Informasi Perspektif Bisnis dan Manajerial, edisi ke-12. Terjemahan Fitriasari,D., dan Deny Arnos Kwary. Salemba Empat. Jakarta. Schwartz, M., Computer security: Planning to protect corporate assets, Journal of Business Strategy, vol. 11(1), pp. 38-41, 1990. Saint-Germain, R. Information security management best practice based on ISO/IEC 17799, The Information Management Journal, vol. August 2005, pp. 60-66, 2005. Van de Haar, H., & von Solms, R. (2003, April). Deriving Information Security Control Profiles for an Organization. Computers & Security, 22 (3), 233 244. Technical Department of ENISA Section Risk Management. (2006). Risk Management: Implementation principles and Inventories for Risk Management/Risk Assessment methods and tools. ENISA. Wilkinson, J. W. (1995). Sistem Akuntansi dan Informasi, jilid ke-1, edisi ke-2, cetakan ke-4. Terjemahan Sinaga, M. Erlangga. Jakarta. Woody, C. (2006). Applying OCTAVE: Practitioners Report. Carnegie Mellon University.