RISK ASSESSMENT. Yusup Jauhari Shandi. Sekolah Tinggi Manajemen Informatika dan Komputer LIKMI Jl. Ir. H. Juanda Bandung 40132

dokumen-dokumen yang mirip
USULAN KERANGKA MANAJEMEN RESIKO IMPLEMENTASI TEKNOLOGI BARU DALAM MENDUKUNG AKTIVITAS BISNIS PERUSAHAAN TELEKOMUNIKASI

BAB III METODOLOGI PERANCANGAN. Berikut merupakan bagan kerangka pikir penulisan thesis ini :

METODA PENGAJARAN MANAJEMEN RESIKO TEKNOLOGI INFORMASI DI PERGURUAN TINGGI

Prosiding Seminar Nasional Manajemen Teknologi XVIII Program Studi MMT-ITS, Surabaya 27 Juli 2013

ANALISIS MANAJEMEN RESIKO PADA PENGGUNAAN SISTEM INFORMASI SMART PMB DI STMIK AMIKOM YOGYAKARTA

KONSEP PARAADIGMA PENERAPAN NIST DAN API DALAM MANAJEMEN RESIKO PADA PERBANKAN

Manajemen Resiko Pada Pengelolaan Data Di Bagian Pengolahan Data PT. Petrokimi Gresik

PENILAIAN RISK MANAGEMENT DALAM MENERAPKAN E-GOVERNMENT PADA SUATU PEMERINTAHAN DAERAH

Aulia Febriyanti

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)

MANAJEMEN RISIKO SISTEM INFORMASI PADA PERGURUAN TINGGI MENGGUNAKAN KERANGKA KERJA NIST SP

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

BAB 2 LANDASAN TEORI. terjadinya beberapa ancaman yang mudah menyerang. untuk mengurangi risiko. Sedangkan, menurut Dorfman (2004, p.

BAB I PENDAHULUAN 1.1. Latar Belakang

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Stara 1, Program Studi Teknik Informatika Universitas Pasundan Bandung.

BAB II LANDASAN TEORI

Seminar Nasional Aplikasi Teknologi Informasi 2010 (SNATI 2010) ISSN: Yogyakarta, 19 Juni 2010

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

BAB I PENDAHULUAN 1.1. Latar Belakang

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

BAYESIAN PROBABILISTIK SEBAGAI PENDEKATAN HEURISTIC UNTUK MANAJEMEN RESIKO TEKNOLOGI INFORMASI

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

MANAJEMEN RISIKO DALAM TATA KELOLA LABORATORIUM KIMIA

BAB I PENDAHULUAN 1.1. Latar Belakang

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Strata 1, Program Studi Teknik Informatika, Universitas Pasundan Bandung

MODEL PENILAIAN RISIKO ASET TEKNOLOGI INFORMASI MENGGUNAKAN ISO DAN ISO/IEC STUDI KASUS : POLITEKNIK POS INDONESIA (POLTEKPOS)

SISTEM INFORMASI MANAJEMEN

ANALISA RESIKO PENGELOLAAN JARINGAN KOMPUTER

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

ANALISIS KEAMANAN WEBSITE DI UNIVERSITAS MUHAMMADIYAH SURAKARTA

Desain Sistem Keamanan Pada Infrastruktur Berbasis Jaringan Komputer di Universitas Kristen Petra

[16] Universal Postal Union (2003). The Postal Industry at October Universal Postal Union (UPU), Berne.

BAB II TINJAUAN PUSTAKA

BAB II LANDASAN TEORI

ABSTRAK. Kata Kunci: ancaman, aset, DISKOMINFO Bandung, keamanan, kontrol. Universitas Kristen Maranatha

EVALUASI KEAMANAN INFORMASI MENGGUNAKAN ISO/IEC 27002: STUDI KASUS PADA STIMIK TUNAS BANGSA BANJARNEGARA

Nanang Sasongko ABSTRAK

PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A )

JURNAL KOMPUTER BISNIS DAFTAR ISI

Materi 4 Keamanan Sistem Informasi 3 SKS Semester 8 S1 Sistem Informasi UNIKOM 2015 Nizar Rabbi Radliya

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

Keamanan Jaringan Komputer

BAB V STRATEGI MITIGASI RESIKO

MATA KULIAH MANAJEMEN PROYEK PERANGKAT LUNAK. Riani Lubis Program Studi Teknik Informatika Universitas Komputer Indonesia

BAB 4 PEMBAHASAN. PT Triasta Integrasi Teknologi memiliki bisnis utama (core business) yaitu

PENGUKURAN RISIKO PADA PENERAPAN CLOUD COMPUTING UNTUK SISTEM INFORMASI (Studi Kasus Universitas Bina Darma)

Studi Kasus INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

ANALISIS SWOT E-MARKETPLACE UNTUK UMKM

JURNAL TEKNIK ITS Vol. 6, No. 1, (2017) ISSN: ( Print) A-122

Penilaian Risiko Keamanan Informasi Menggunakan Metode NIST (Studi Kasus: Sistem Informasi Akademik Universitas XYZ)

Journal Industrial Servicess Vol. 3c No. 1 Oktober 2017

MENGAPA PROYEK PERANGKAT LUNAK GAGAL ( PENERAPAN MANAJEMEN RESIKO DALAM PROYEK PERANGKAT LUNAK )

PROJECT RISK MANAGEMENT (MANAJEMEN RESIKO PROYEK) (MATA KULIAH MANAJEMEN PROYEK PERANGKAT LUNAK)

ANALISIS KEAMANAN FISIK DI LABORATORIUM TEKNIK INFORMATIKA UNIVERSITAS PASUNDAN BERDASARKAN STANDART ISO 27001

Tulis yang Anda lewati, Lewati yang Anda tulis..

NIST SP v2: PEDOMAN PANDUAN SISTEM KEAMANAN PUBLIK WEB SERVER

Keywords: IT Risk Analysis, Risk Assessment, COBIT, Qualitative Methods

PERANCANGAN KEAMANAN DATA MAHASISWA FAKULTAS TEKNIK BERDASARKAN ISO/IEC 27001:2013 (Studi Kasus : Fakultas Teknik Universitas Pasundan Bandung)

SistemKeamanan Komputer

Seminar Nasional Aplikasi Teknologi Informasi 2011 (SNATI 2011) ISSN: Yogyakarta, Juni 2011

AKADEMI ESENSI TEKNOLOGI INFORMASI DAN KOMUNIKASI UNTUK PIMPINAN PEMERINTAHAN Modul 6 Keamanan Jaringan dan Keamanan Informasi dan Privasi

BAB I PENDAHULUAN. informasi yang semakin maju, sebagian besar sistem yang terkomputerisasi

PERANCANGAN INSTRUMENT PENGUKURAN RISK ASSESSMENT SEBAGAI REKOMENDASI STRATEGI MITIGASI RESIKO DI SBUPE BANDUNG TESIS

PENGUKURAN MANAJEMEN RISIKO TEKNOLOGI INFORMASI DENGAN METODE OCTTAVE-S

BAB V STRATEGI MITIGASI RESIKO

Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi

EVALUASI KEAMANAN INFORMASI BERBASIS ISO PADA DINAS PENGELOLAAN PENDAPATAN KEUANGAN DAN ASET DAERAH KABUPATEN KARAWANG

BAB 1 PENDAHULUAN. merupakan hal yang tidak dapat dihindari oleh semua perusahaan. Maka. agar perusahaan dapat bersaing dengan perusahaan lainnya.

PERANCANGAN SOP (STANDARD OPERATING PROCEDURE) KEAMANAN INFORMASI PENGELOLAAN DATA KEHADIRAN PEGAWAI DI FAKULTAS TEKNIK UNIVERSITAS PASUNDAN BANDUNG

PEMBUATAN STANDARD OPERASIONAL PROSEDUR (SOP) KEAMANAN HARDWARE BERDASARKAN ISO/IEC 27001:2013

BAB 4 PELAKSANAAN AUDIT SISTEM INFORMASI. Pada bab ini akan dijelaskan mengenai pelaksanaan Audit Sistem Informasi Penjualan

UNIVERSITAS INDONESIA EVALUASI MANAJEMEN RISIKO KEAMANAN INFORMASI SISTEM PROVISIONING GATEWAY TELKOM FLEXI KARYA AKHIR EGA LESTARIA SUKMA

PENGUKURAN M ANAJEMEN RISIKO TI DI PT.X MENGGUNAKAN COBIT 5. Myrna Dwi Rahmatya, Ana Hadiana, Irfan Maliki Universitas Komputer Indonesia

HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB III METODOLOGI PENELITIAN

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Penggunaan Teknik Data Mining untuk Manajemen Resiko Sistem Informasi Rumah Sakit

BAB 1 PENDAHULUAN. menerbitkan laporan-laporan yang akan di hasilkan oleh Dinas Pendapatan dan

BAB 1 PENDAHULUAN 1.1 Latar Belakang

BAB 2. Landasan Teori. (hardware) dan perangkat lunak (software) yang digunakan oleh sistem

BAB I PENDAHULUAN 1.1. Latar Belakang Masalah

Langkah langkah FRAP. Daftar Risiko. Risk

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

ABSTRAK. vi Universitas Kristen Maranatha

QUANTITATIVE RISK MANAGEMENT-COSO: APLIKASI DALAM PENGELOLAAN LABORATORIUM KIMIA

Pengendalian Sistem Informasi Berdasarkan Komputer

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

PENERAPAN MANAJEMEN RISIKO UNTUK BANK

Mengenal COBIT: Framework untuk Tata Kelola TI

Lampiran Check List Pengendalian Manajemen Operasional. No. Pertanyaan Y T Keterangan Standart

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

BAB IV PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI

BAB I PENDAHULUAN. perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya

BAB I PENDAHULUAN. tetapi juga dihadapi oleh perusahaan penyedia layanan mobile. content. Apalagi perusahaan penyedia layanan mobile content sudah

UNIVERSITAS INDONESIA

MANAJEMEN RESIKO PROYEK PENGEMBANGAN PERANGKAT LUNAK MYBIZ 2 DI SOFTWARE HOUSE ABC

PANDUAN AUDIT SISTEM INFORMASI

BAB I PENDAHULUAN. pribadi, bisnis, dan pemerintah dan merupakan informasi yang strategis untuk

Prosiding Seminar Nasional Manajemen Teknologi XVI Program Studi MMT-ITS, Surabaya 14 Juli 2012

ABSTRAK. Kata Kunci:pengukuran risiko, risiko TI, Teknologi Informasi, metode OCTAVE Allegro. Universitas Kristen Maranatha

Transkripsi:

Media Informatika Vol. 10 No. 1 (2011) RISK ASSESSMENT Yusup Jauhari Shandi Sekolah Tinggi Manajemen Informatika dan Komputer LIKMI Jl. Ir. H. Juanda Bandung 40132 ABSTRAK Sebuah sistem informasi merupakan aset yang bisa disejajarkan dengan gedung, kendaraan dan lainnya dalam sebuah organisasi. Maka dari itu kebutuhan keamanan akan sistem menjadi hal yang harus diperhatikan juga oleh organisasi. Sumber ancaman terhadap sistem diantaranya: ancaman dari alam, manusia serta lingkungan. Dengan melakukan tahapan-tahapan penilaian resiko diharapkan proses pengambilan keputusan terhadap aksi yang akan dilakukan berkaitan dengan ancaman terhadap sistem menjadi lebih jelas serta memudahkan dalam menentukan prioritas terhadap aksi yang akan dilakukan. Kata-kata kunci: ancaman, resiko 1. PENDAHULUAN Setiap organisasi memiliki proses bisnis untuk menjalankan kegiatan usahanya. Sistem Informasi adalah salah satu alat pembantu untuk menjalankan proses bisnis tersebut. Kebutuhan-kebutuhan akan informasi diharapkan bisa terpenuhi dengan adanya sistem informasi. Implementasi proses bisnis melalui sistem informasi ini diterapkan mulai dari proses yang sifatnya transaksional sampai pendukung keputusan bagi managemen tingkat atas. Pengembangan sebuah sistem informasi bagi organisasi membutuhkan biaya. Besarnya biaya tergantung dari kompleksitas dari proses bisnis organisasi tersebut. Oleh karena itu sistem informasi bisa juga disebut sebagai asset organisasi. Sebuah asset haruslah dipelihara dan dijaga agar tetap memberikan manfaat bagi organisasi tersebut. Organisasi yang baik haruslah menyediakan anggaran untuk perawatan serta pengembangan untuk sistem yang dimilikinya. Pada proses implementasi sistem biasanya akan ditemukan masalah-masalah yang bisa menimbulkan gangguan terhadap sistem. Masalah tersebut bisa berasal dari sistem itu sendiri atau dari luar sistem. Akibat dari masalah tersebut adalah munculnya resikoresiko terhadap sistem. 30

Media Informatika Vol. 10 No. 1 (2011) 31 Penilaian resiko terhadap semua komponen sistem informasi yang dimiliki oleh organisasi diharapkan dapat memberikan masukan untuk mendukukung keputusan manajemen dalam hal pengelolaan resiko dalam sistem yang dimilikinya. 2. RISK ASSESSMENT Risk assessment adalah proses pertama dari risk management methodology [2]. Risk assessment digunakan oleh organisasi untuk menentukan lebih jauh sebuah potensi ancaman dan resiko yang berhubungan dengan sistem IT. Hasil dari proses risk assessment bisa dimanfaatkan untuk mengidentifikasi penanganan yang harus dilakukan untuk mengurangi atau menghilangkan resiko pada tahapan risk management methodology selanjutnya yaitu risk mitigation [1]. Resiko di sini memiliki pengertian sebagai sesuatu kemungkinan yang ditimbulkan oleh sumber-sumber ancaman terhadap kerentanan yang ada pada sistem yang bisa mengakibatkan kerugian bagi organisasi. Untuk bisa menentukan kemungkinan gangguan yang bisa mengakibatkan kerugian nantinya, ancaman terhadap sistem harus bisa dianalisa hubungan atau keterkaitannya terhadap sumber-sumber kerentanan yang ada pada sistem serta kontrol apa yang harus dilakukan.

32 Yusup Jauhari Shandi / Risk Assessment Risk assessment steps [1] Ada 9 langkah untuk melakukan risk assessment yaitu : 1. System Characterization Pada tahap ini dilakukan proses-proses seperti definisi ruang lingkup sistem serta mengidentifikasi batasan sistem. Pada proses ini diharapkan menghasilkan gambaran mengenai ruang lingkup penilaian resiko, deskripsi mengenai otorisasi operasional sistem, serta tersedianya informasi yang diperlukan untuk mendefinisikan resiko (mengenai hardware, software, jaringan, bagian atau pihak yang bertanggung jawab terhadap sistem). 2. Threat Identification Pada tahap ini dilakukan proses identifikasi ancaman-ancaman yang berpotensi menyerang kerentanan sistem. Sebuah ancaman tidak akan mendatangkan resiko

Media Informatika Vol. 10 No. 1 (2011) 33 jika tidak ada kerentanan dari sistem yang bisa diserang. Proses threat identification dibagi menjadi dua kegiatan, yaitu: a. Threat-source identification, yaitu proses mengidentifikasi sumber-sumber ancaman. b. Motivation and Threat action, yaitu proses mengidentifikasi motivasi dari ancaman-ancaman yang mungkin terjadi. Perlu diketahui bahwa motivasi hanya dimiliki oleh sumber ancaman yang berasal dari manusia. Sebagai contoh bisa dilihat pada tabel di bawah berikut: Sumber ancaman Motivasi Aksi Hacker, cracker Tantangan, pemberontakan, ego, penghianatan, uang Hacking, social engineering, carding, defacing, dan sebagainya Mata-mata perusahaan Keuntungan persaingan usaha Pencurian informasi, pembobolan sistem Bencana alam - Merusak server, infrastruktur 3. Vulnerability Identification Pada tahap ini dilakukan proses identifikasi kerentanan atau kelemahan yang ada pada sistem yang bisa dimanfaatkan oleh sumber-sumber ancaman yang tadi telah didefinisikan pada tahap sebelumnya. Berikut contoh hasil dari tahap ini : Kerentantan sistem Sumber ancaman Aksi sumber ancaman Tidak terhapusnya ID dari pegawai yang sudah Dari pegawai yang bersangkutan Merubah atau mencuri data tidak aktif Penggunaan alarm kebakaran dengan siraman air di ruang server Kebakaran, orang jahil Perangkat keras rusak tersiram air 4. Control Analysis Pada tahap ini dilakukan proses analisa terhadap kontrol-kontrol pengamanan yang telah atau akan diterapkan oleh organisasi dalam rangka mengurangi atau

34 Yusup Jauhari Shandi / Risk Assessment menghilangkan kemungkinan gangguan oleh sumber ancaman terhadap kerentanan sistem. 5. Likelihood Determination Pada tahap ini ditentukan tingkatan-tingkatan nilai atau level dari kemungkinan ancaman-ancaman yang sudah didefinisikan. Tingkatan-tingkatan tersebut misal dibuat seperti berikut: Level Tinggi Sedang Rendah Definisi Sumber ancaman sangat mungkin terjadi dan termotivasi dan kontrol untuk menanganinya sangat tidak efektif atau belum ada Sumber ancaman mungkin terjadi dan termotivasi dan kontrol untuk menanganinya sudah ada Sumber ancaman hampir tidak ada atau tidak terjadi dan tidak termotivasi dan kontrol untuk menanganinya sudah ada 6. Impact Analisys Pada tahap ini ditentukan dampak yang merugikan terhadap sistem jika sumber ancaman berhasil memanfaatkan kerentanan yang ada pada sistem. Besarnya dampak dari sumber ancaman bisa digambarkan sebagai berikut: Dampak Tinggi Sedang Rendah Definisi dampak Aksi dari sumber ancaman terhadap kerentanan sistem telah terjadi sehingga mengakibatkan kerugian yang sangat besar pada organisasi berupa: biaya yang tinggi untuk memperbaiki kerusakan sistem, nama buruk organisasi, kecelakaan bahkan kematian pegawai. Aksi dari sumber ancaman terhadap kerentanan sistem telah terjadi sehingga mengakibatkan kerugian tidak terlalu besar pada organisasi berupa: biaya untuk memperbaiki kerusakan sistem, nama buruk organisasi, kecelakaan pegawai. Aksi dari sumber ancaman terhadap kerentanan sistem telah terjadi sehingga mengakibatkan sedikit kerugian pada organisasi berupa: kemungkinan dikeluarkan biaya untuk perbaikan sistem, ganguan transaksional yang mengakibatkan tertundanya proses dalam waktu relatif singkat.

Media Informatika Vol. 10 No. 1 (2011) 35 7. Risk Determination Pada tahap ini ditentukan penilaian terhadap level resiko yang bisa terjadi pada sistem. Pada tahap ini dibuat matriks untuk menentukan nilai resiko, misal seperti berikut: Penjelasan mengenai matriks tersebut adalah : Level Deskripsi resiko dan penanggulannya Resiko Tinggi Kebutuhan perbaikan sangat dibutuhkan untuk dilakukan. Sistem tetap berjalan, tetapi perbaikan harus segera dilakukan secepatnya. Sedang Perbaikan sistem dibutuhkan dan harus segera dibuat perencanaan dari proses perbaikan sistem. Rendah Perbaikan sistem bisa dilakukan atau resiko bisa diterima. 8. Control Recomendation Pada tahap ini dilakukan pembuatan rekomendasi kontrol yang harus dilakukan berdasarkan data-data pada tahap-tahap selanjutnya. Rekomendasi ini digunakan untuk mengurangi level resiko terhadap sistem pada titik level aman. Beberapa faktor yang harus diperhatikan pada tahap ini adalah : a. Rekomendasi yang efektif b. Legislasi dan regulasi c. Kebijakan organisasi d. Dampak operasional e. Keamanan dan tahan uji

36 Yusup Jauhari Shandi / Risk Assessment Perlu diketahui bahwa tidak semua kontrol yang diusulkan bisa mengurangi kerugian. 9. Results Documentation Pada tahap terakhir ini dibuat dokumentasi sebagai rangkuman dari seluruh tahap risk assessment. Dimana dengan dokumentasi atau laporan ini pihak-pihak yang berkepentingan bisa dibantu dalam rangka menentukan kebijakan, prosedur, biaya terhadap perbaikan sistem. 3. KESIMPULAN Risk assessment adalah salah satu tahapan dari risk management methodology. Risk assessment digunakan oleh organisasi untuk menentukan lebih jauh sebuah potensi ancaman dan resiko yang berhubungan dengan sistem IT. Tahapan-tahapan risk assessment harus dilakukan agar diperoleh hasil akhir berupa laporan hasil penilaian resiko-resiko yang ada dan bisa mengakibatkan dampak negatif pada sistem organisasi tersebut. Dengan laporan ini maka pihak organisasi bisa lebih mudah menentukan aksi yang harus dilakukan dalam segala aspek untuk keamansan sistem yang dimilikinya. Selain itu laporan ini berguna sebagai masukan untuk tahapan risk management methodology lainnya yaitu risk mitigation. 4. DAFTAR PUSTAKA 1. Gary Stoneburner, Alice Goguen, Alexis Feringa, Risk Management Guide for Information Technology Systems, July 2002, NIST Special Publication 800-30. 2. Marianne Swanson, Barbara Guttman, Generally Accepted Principles and Practices for Securing Information Technology Systems, September 1996, National Institute of Standards and Technology NIST.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan