BAB 2 TINJAUAN PUSTAKA

dokumen-dokumen yang mirip
BAB 2 TINJAUAN PUSTAKA

BAB 3 METODE PENELITIAN

BAB 3 METODE PENELITIAN. Metode penelitian merupakan suatu cara untuk menjawab permasalahanpermasalahan penelitian yang dilakukan secara ilmiah.

BAB 3 METODE PENELITIAN

BAB 1 PENDAHULUAN Latar Belakang

BAB I PENDAHULUAN 1.1. Latar Belakang

USULAN KERANGKA MANAJEMEN RESIKO IMPLEMENTASI TEKNOLOGI BARU DALAM MENDUKUNG AKTIVITAS BISNIS PERUSAHAAN TELEKOMUNIKASI

BAB I PENDAHULUAN. Organisasi dituntut untuk dapat mengembangkan sistem informasi dan teknologi

BAB I PENDAHULUAN 1.1. Latar Belakang

BAB 1 PENDAHULUAN. merupakan suatu hal yang memainkan peranan yang vital dan sangat membantu dalam

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

MENGUKUR INDEKS KEAMANAN INFORMASI DENGAN METODE OCTAVE BERSTANDAR ISO PADA UNIVERSITAS ALMUSLIM-BIREUEN

MITIGASI RISIKO KEAMANAN SISTEM INFORMASI

BAB 1 PENDAHULUAN 1.1 Latar Belakang

BAB 1 PENDAHULUAN. 1.1.Latar Belakang

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB III METODOLOGI PENELITIAN

BAB III METODOLOGI PENELITIAN

IJCCS, Vol.x, No.x, Julyxxxx, pp. 1~5 ISSN:

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

MITIGASI RISIKO ASET DAN KOMPONEN TEKNOLOGI INFORMASI BERDASARKAN KERANGKA KERJA OCTAVE DAN FMEA PADA UNIVERSITAS DIAN NUSWANTORO

Mitigasi Risiko Aset Dan Komponen Teknologi Informasi Berdasarkan Kerangka Kerja OCTAVE Dan FMEA Pada Universitas Dian Nuswantoro

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

PENGAMBILAN RESIKO. Kode Mata Kuliah : OLEH Endah Sulistiawati, S.T., M.T. Irma Atika Sari, S.T., M.Eng.

BAB III METODOLOGI PENELITIAN

BAB III METODE PENELITIAN

BAB 2 LANDASAN TEORI. terjadinya beberapa ancaman yang mudah menyerang. untuk mengurangi risiko. Sedangkan, menurut Dorfman (2004, p.

BAB 3 METODOLOGI PEMECAHAN MASALAH

BAB III METODOLOGI PENELITIAN

Analisis Keandalan Pada Boiler PLTU dengan Menggunakan Metode Failure Mode Effect Analysis (FMEA)

BAB 1 PENDAHULUAN. merupakan hal yang tidak dapat dihindari oleh semua perusahaan. Maka. agar perusahaan dapat bersaing dengan perusahaan lainnya.

BAB 3 METODOLOGI PENELITIAN

BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

BAB III METODE PENELITIAN

BAB II TINJAUAN PUSTAKA

USULAN PERBAIKAN KECELAKAAN KERJA DI TERMINAL PETIKEMAS KOJA BERDASARKAN METODE FMEA (FAILURE MODE AND EFFECT ANALYSIS)

BAB 1 PENDAHULUAN. biasa dipakai dalam percakapan sehari-hari oleh kebanyakan orang.risiko dikaitkan

ANALISIS RISIKO PADA UJI PEMBEBANAN (LOADING TEST) JEMBATAN DENGAN MENGGUNAKAN METODE FAILURE MODE AND EFFECT ANALYSIS (FMEA)

Manajemen Resiko Proyek Sistem Informasi Pangkalan Data Sekolah dan Siswa (PDSS)

Penyusunan Perencanaan Keberlangsungan Bisnis PT PLN (Persero) APD Jateng dan DIY dengan ISO dan Metode OCTAVE

Harpananda Eka Sarwadhamana/

BAB II TINJAUAN PUSTAKA

Satu yang terkenal diantaranya adalah metode OCTAVE.

BAB 2. Landasan Teori. (hardware) dan perangkat lunak (software) yang digunakan oleh sistem

FMEA SEBAGAI ALAT ANALISA RISIKO MODA KEGAGALAN PADA MAGNETIC FORCE WELDING MACHINE ME-27.1

Jurnal Teknologi Vol. 7, No. 2, Oktober 2017, Hal E- ISSN : ISSN : Copyright 2017 by LPPM UPI YPTK Padang

PENILAIAN RISIKO KEAMANAN INFORMASI MENGGUNAKAN METODE FAILURE MODE AND EFFECTS ANALYSIS DI DIVISI TI PT. BANK XYZ SURABAYA

BAB III METODE PENELITIAN

Kata Kunci: Mitigasi Risio, Metode OCTAVE, Electronic Medical Record(EMR).

BAB 1 PENDAHULUAN 1.1. Latar Belakang Permasalahan

BAB II TINJAUAN PUSTAKA

BAB II TINJAUAN PUSTAKA

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

BAB III LANGKAH PEMECAHAN MASALAH

Bab III. Metodologi Penelitian. digunakan dalam penyelesaian masalah pada PT. Calvin Metal Products.

BAB 3 LANGKAH PEMECAHAN MASALAH

BAB I PENDAHULUAN. 1.1 Latar Belakang

TUGAS AKHIR KS Caesar Fajriansah NRP Dosen Pembimbing 1: Dr. Apol Pribadi, S.T, M.T

BAB III. FAILURE MODE and EFFECT ANALYSIS

BAB 3 METODE PENELITIAN PENDAHULUAN LANDASAN TEORI PENGUMPULAN, PENGOLAHAN ANALISA DATA PEMETAAN PROSES ALIRAN IMPOR CKD

Gambar 3.1 Diagram Alir Sistematika Pemecahan Masalah

BAB I PENDAHULUAN Latar Belakang Masalah. Dalam suatu perusahaan atau industri pasti menggunakan suatu peralatan

BAB II LANDASAN TEORI

BAB II TINJAUAN PUSTAKA. Risiko dalam proyek konstruksi merupakan probabilitas kejadian yang muncul

BAB V ANALISA HASIL. perbaikan. Usulan perbaikan terhadap proses produksi JK-6050 dapat dilihat pada. Tabel 5. 1 Urutan Risk Priority Number

SISTEM INFORMASI MANAJEMEN

ABSTRAK. Universitas Kristen Maranatha

BAB II LANDASAN TEORI

BAB II TINJAUAN PUSTAKA DAN KERANGKA PEMIKIRAN. berperan penting dalam perusahaan selain manajemen sumber daya manusia,

Impelemetasi Manajemen Risiko di Departemen Tambang PT Semen Padang

BAB III METODE PENELITIAN

BAB II LANDASAN TEORI

BAB II TINJAUAN PUSTAKA

BAB 4 PEMBAHASAN. PT Triasta Integrasi Teknologi memiliki bisnis utama (core business) yaitu

BAB II TINJAUAN PUSTAKA

MAKALAH KEAMANAN INFORMASI. Oleh : Muhammad Shodiqil Khafili Djakfar. Dosen Pengajar : Ferry Astika Saputra, ST, M.Sc

III. KERANGKA PEMIKIRAN

BAB 1 PENDAHULUAN. Saat ini dunia telah berada dalam sebuah era baru yang disebut era. politik, teknologi, sistem informasi, dan lain-lain.

Pengambilan Risiko. Widi Wahyudi,S.Kom, SE, MM. Modul ke: Fakultas Desain & Teknik Kreatif. Program Studi Desain Produk.

Langkah langkah FRAP. Daftar Risiko. Risk

Pembimbing : Bpk. Ir Arie Indartono MT Bpk. Projek Priyongo SL ST MT

Analisa Risiko SOP (Standard Operating Procedure) yang Berkepentingan dengan Mahasiswa Univeritas X

BAB I PENDAHULUAN. dan sekitarnya. PT Karya Karang Asem Indonesia khususnya pada daerah Sedati,

JURNAL TEKNIK POMITS Vol. 3, No. 2, (2014) ISSN: ( Print) A-228

BAB IV SIMPULAN DAN SARAN

BAB 1 PENDAHULUAN. Bandung sebagai ibukota Provinsi Jawa Barat yang merupakan kota besar

MODEL ALAT BANTU PENGAMBILAN KEPUTUSAN BERBASIS SPREADSHEET UNTUK ANALISIS RESIKO RANTAI PASOK BAHAN BAKU (Studi kasus PTEI)

Standar Internasional ISO 27001

BAB III METODOLOGI PENELITIAN

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

NIST SP v2: PEDOMAN PANDUAN SISTEM KEAMANAN PUBLIK WEB SERVER

BAB I PENDAHULUAN. Dalam kehidupan sehari-hari, kita sering mendengar mengenai orang sakit

BAB II TINJAUAN PUSTAKA. RISIKO DALAM PROYEK KONSTRUKSI MERUPAKAN PROBABILITAS KEJADIAN YANG MUNCUL

INTRODUCTION ASPEK-ASPEK PROTEKSI SISTEM INFORMASI

BAB I PENDAHULUAN. Pada umumnya kemajuan suatu negara dapat ditinjau dari peningkatan

SUKSES PEMILU 1. LATAR BELAKANG. Definisi Keamanan Sistem Informasi

BAB 1. Pendahuluan. 1.1 Latar Belakang

EVALUASI MANAJEMEN KEAMANAN INFORMASI MENGGUNAKAN INDEKS KEAMANAN INFORMASI (KAMI) PADA KANTOR WILAYAH DITJEN PERBENDAHARAAN NEGARA JAWA TIMUR

ANALISIS KEAMANAN FISIK DI LABORATORIUM TEKNIK INFORMATIKA UNIVERSITAS PASUNDAN BERDASARKAN STANDART ISO 27001

BAB II LANDASAN TEORI. pelayanan kesehatan kepada masyarakat. Tugas rumah sakit adalah melaksanakan

Transkripsi:

BAB 2 TINJAUAN PUSTAKA 2.1 Penelitian Terkait Dari topik yang akan penulis ambil untuk penelitian ini, penulis mencari beberapa penelitian sebelumnya yang pernah dilakukan untuk dijadikan referensi. Diharapkan dengan adanya referensi tersebut dapat membantu penulis dalam pengerjaan tugas akhir ini dengan lebih efisien. Berikut merupakan beberapa penelitian sebelumnya yang dijadikan referensi : Tabel 2. 1 Penelitian Terkait Mitigasi Risiko No Nama Peneliti dan Tahun Masalah Metode Hasil 1. Roy Kurniawan, Penanganan Menggunakan metode RPN tertinggi 540 2014 terhadap FMEA untuk melakukan RPN terendah 10 aset kritis TI perhitungan risiko pada perusahaan masing-masing aset kritis kurang TI perusahaan. maksimal. 2. Dea Anjani, 2015 Kurangnya kesadaran pihak perusahaan terhadap proteksi keamanan data yang dimiliki. Menggunakan metode octave untuk mengidentifikasi aset kritis TI dan metode FMEA untuk melakukan penilaian risiko. RPN tertinggi 336 RPN terendah 18 5

6 No Nama Peneliti dan Tahun Masalah Metode Hasil 3. Mukhammad Kurang Menggunakan metode Memberikan saran Iqbal, 2014 adanya octave untuk melakukan perbaikan pada risiko kontroling evaluasi risiko pada keamanan jaringan pada keamanan jaringan komputer guna aplikasi dan komputer. mengurangi ancaman jaringan yang terdapat pada komputer jaringan. oleh pihak perusahaan. Berdasarkan beberapa penelitian terkait yang relevan dengan penelitian ini, dapat disimpulkan bahwa metode octave dan FMEA cukup efektif digunakan untuk melakukan identifikasi, pembobotan atau penilaian, serta perencanaan untuk mitigasi risiko terhadap aset kritis TI yang dimiliki oleh perusahaan. 2.2 Risiko Risiko merupakan suatu kondisi ketidakpastian dengan segala konsekuensi yang dapat merugikan [2]. Macam-macam risiko dapat dibedakan berdasarkan bagaimana cara risiko itu terjadi, antara lain [3] : 1. Risiko murni merupakan suatu risiko yang terjadi tanpa adanya kesengajaan dan dapat menimbulkan kerugian, misalnya saja risiko terjadinya kebakaran dan pencurian yang bisa terjadi kapan saja tanpa bisa diprediksi. 2. Risiko spekulatif merupakan suatu risiko yang terjadi karena adanya kesengajaan dari pihak bersangkutan agar ketidakpastian tersebut dapat menghasilkan keuntungan, misalnya saja pada risiko utang piutang.

7 3. Risiko fundamental merupakan suatu risiko yang terjadi bukan karna ulah seseorang namun efeknya berdampak pada banyak orang, misalnya saja terjadinya bencana alam seperti banjir dan longsor. 4. Risiko khusus merupakan suatu risiko yang bersumber pada peristiwa mandiri dan penyebabnya dapat mudah diketahui, misalnya saja kecelakaan yang terjadi pada transportasi sehari-hari. 5. Risiko dinamis merupakan suatu risiko yang terjadi karena berkembangnya suatu teknologi dan kemajuan ilmu pengetahuan. 2.2.1 Manajemen Risiko Manajemen risiko adalah suatu proses terstruktur mulai dari mengidentifikasi risiko yang mungkin terjadi hingga menangani risiko yang ada disertai dengan monitoring [4]. Tindakan manajemen risiko sendiri terdiri dari 2 macam yaitu tindakan mencegah yang digunakan untuk menghindari terjadinya sutau risiko dan tindakan memperbaiki yang digunakan untuk mengurangi dampak dari efek-efek ketika sutau risiko harus diambil [5]. 2.2.2 Manajemen Risiko TI Manajemen risiko TI adalah kemampuan organisasi dalam mengelola dan meminimalisir risiko-risiko TI yang mungkin akan menjadi pengahalang bagi suatu organisasi dalam mencapai tujuannya terkait dengan pemanfaatan TI itu sendiri [6]. 2.3 Metode Octave Octave (Operationally Critical Threat, Asset, and Vulnerability Evaluation) merupakan suatu kerangka kerja untuk mengidentifikasi dan mengelola risiko keamanan informasi. Metode ini mendefinisikan sebuah metode evaluasi menyeluruh yang memungkinkan organisasi untuk mengidentifikasi aset informasi yang penting bagi organisasi [7]. Metode ini menggunakan pendekatan tiga fase untuk menganalisa masalah, yaitu :

8 Gambar 2. 1 Fase Octave [8] FASE PERSIAPAN Pada fase ini dilakukan pembentukan tim analisis, menentukan studi kasus yang akan diambil serta menyiapkan kebutuhan lainnya yang terkait dengan fase ini. FASE 1 : Menentukan Aset berdasarkan Profil Ancaman Fase ini merupakan tahap pengumpulan data dengan melakukan identifikasi aset kritis dan ancaman yang terjadi pada tiap-tiap aset TI yang ada di perusahaan. Pada fase ini hasil keluaran yang di dapat adalah daftar aset kritis TI bagi perusahaan dan ancaman yang terjadi pada masing-masing aset. Proses yang berjalan pada fase ini antara lain : 1. Proses 1 : pendataan aset kritis Proses pendataan aset kritis TI yang dimiliki oleh perusahaan dan nantinya akan menghasilkan keluaran berupa daftar aset-aset TI yang sangat penting bagi perusahaan. 2. Proses 2 : identifikasi kebutuhan keamanan aset kritis Proses identifikasi kebutuhan keamanan apa saja yang diperlukan dari masing-masing aset kritis TI berdasarkan ancamannya. Pada keamanan informasi terdapat tiga aspek yang biasa dikenal dengan CIA Triad Model, yang terdiri dari Confidentiality, Integrity, dan Availability.

9 3. Proses 3 : identifikasi ancaman pada aset kritis Proses identifikasi darimana sumber ancaman dari masing-masing aset kritis TI berasal dan apa saja dampak yang mungkin terjadi pada aset tersebut. 4. Proses 4 : keamanan yang sudah diterapkan Proses pendataan keamanan apa saja yang sudah diterapkan dan diupayakan oleh pihak perusahaan untuk melindungi aset kritis TI yang dimiliki. 5. Proses 5 : identifikasi kerentanan organisasi Proses ini merupakan proses mengidentifikasi kerentanan dalam perusahaan dilakukan. FASE 2 : identifikasi kerentanan infrastruktur Fase ini merupakan tahapan dimana proses identifikasi kerentanan teknologi dan infrastruktur yang ada di dalam perusahaan dilakukan untuk melihat risiko yang mungkin akan terjadi pada komponen kunci yang mendukung proses bisnis perusahaan. Selanjutnya akan dilakukan evaluasi dan pencegahan untuk meminimalisir terjadinya risiko. Proses yang berjalan pada fase ini antara lain : 1. Proses 1 : identifikasi komponen kunci Proses ini merupakan proses untuk mengidentifikasi komponen kunci dari infrastruktur teknologi informasi yang dimiliki oleh perusahaan. Hasil keluaran dari proses ini adalah daftar komponen kunci pada perusahaan, 2. Proses 2 : evaluasi kerentanan teknologi saat ini Proses ini merupakan proses untuk mengevaluasi kerentanan dari teknologi yang sudah diterapkan di dalam organisasi dan selanjutnya hasilnya akan dianalisis untuk dilakukan perbaikan. FASE 3 : mengembangkan rencana dan strategi keamanan Fase ini merupakan tahapan dimana proses evaluasi risiko terhadap aset kritis TI dilakukan dan mengembangkan perlindungan keamanan informasi dalam perusahaan, serta pembuatan rencana mitigasi risiko. Proses yang berjalan di dalam fase ini antara lain :

10 1. Proses 1 : identifikasi risiko terhadap aset kritis Pada proses ini akan dilakukan identifikasi risiko berdasarkan aset kritis yang ada di perusahaan. 2. Proses 2 : pengukuran risiko Pada proses ini akan dilakukan proses pengukuran risiko yaitu dengan memberikan penilaian dan pembobotan pada masing-masing risiko yang terjadi di setiap aset kritis TI. 3. Proses 3 : strategi perlindungan Pada proses ini akan dilakukan perencanaan untuk perlindungan keamanan pada setiap aset kritis yang dimiliki oleh perusahaan. 4. Proses 4 : rencana mitigasi risiko Pada proses ini akan dilakukan perencanaan untuk mitigasi dari masingmasing risiko yang dimiliki oleh tiap aset kritis TI di dalam perusahaan. 2.4 Metode FMEA FMEA (Failure Mode and Effect Analysis) merupakan salah satu metode yang digunakan untuk mengidentifikasi, mengevaluasi dan mencegah mode kegagalan dari sebuah sistem untuk memperkirakan efek dari kegagalan sebuah sistem tersebut [9]. 2.4.1 Tujuan FMEA Terdapat beberapa tujuan yang perlu dicapai di dalam FMEA (Failure Mode and Effect Analysis), diantaranya adalah [9] : 1. Mengidentifikasi dan memprediksi kegagalan yang mungkin dapat terjadi. 2. Mengevaluasi dampak dari kegagalan yang terjadi pada sistem. 3. Memberikan tingkat prioritas dari risiko yang terjadi guna mempermudah proses perbaikan pada berdasarkan ranking prioritasnya. 4. Merencanakan dan melakukan tindakan perbaikan untuk mencegah dan mengurangi potensi terjadinya kegagalan sistem. 5. Mendokumentasikan keseluruhan proses yang dilakukan.

11 2.4.2 Manfaat FMEA Terdapat beberapa manfaat yang diperoleh bila menerapkan metode FMEA dalam memanajemen risiko di organisasi, diantaranya adalah [9] : 1. Mengurangi terjadinya masalah pada sistem. 2. Memperkirakan tindakan yang dapat mengurangi terjadinya risiko. 3. Menghemat biaya untuk pengembangan sistem. 2.4.3 Menentukan Severity, Occurrence, dan Detection Penilaian risiko perlu di lakukan terlebih dahulu dengan didasarkan pada 3 faktor yaitu Severity, Occurrence, dan Detection, agar kemudian dapat dilakukan perankingan prioritas terjadinya suatu risiko. Lalu nantinya akan dapat menghasilkan Risk Priority Number. 2.4.3.1 Severity Severity merupakan tahap awal dalam menganalisa suatu risiko dengan memberikan ranking berdasarkan seberapa besar dampak dari kejadian tersebut dapat mempengaruhi proses output. Skala yang diberikan mulai dari 1 sampai 10, dimana 10 merupakan yang terburuk. Tabel 2. 2 Skala Severity [10] Rank Effect Severity 10 9 Berbahaya tanpa peringatan Berbahaya dengan peringatan Kegagalan sistem akan menghasilkan efek yang berbahaya tanpa peringatan. Kegagalan sistem akan menghasilkan efek yang berbahaya dengan adanya peringatan sebelumnya. 8 Sangat tinggi 7 Tinggi Semua sistem pendukung tidak akan berfungsi. Sistem dapat beroperasi tetapi tidak maksimal.

12 Rank Effect Severity 6 Sedang 5 Rendah Sistem dapat beroperasi dan aman tetapi mengalami penurunan performa. Sistem mengalami penurunan kinerja secara bertahap. 4 Sangat rendah Efek yang kecil pada performa sistem. 3 Kecil Sedikit berpengaruh pada kinerja sistem. 2 Sangat kecil Efek yang diabaikan pada kinerja sistem. 1 Tidak ada efek Efek kegagalan tidak akan terjadi pada sistem. 2.4.3.2 Occurrence Occurrence merupakan suatu keadaan dimana penyebab dari risiko tersebut akan terjadi dan menyebabkan kegagalan selama aset tersebut digunakan. Skala yang diberikan mulai dari 1 sampai 10. Tabel 2. 3 Skala Occurence [10] Rank Effect Occurrence 10 Sangat tinggi : Kegagalan hampir 9 tidak bisa dihindari Kemungkinan kegagalan terjadi 1 kali dalam 1 hari. Kemungkinan kegagalan terjadi 5 kali dalam 1 minggu. 8 Tinggi : Kegagalan 7 terjadi kadang Kemungkinan kegagalan terjadi 3 kali dalam 1 minggu. Kemungkinan kegagalan terjadi 2 kali dalam 1 minggu.

13 Rank Effect Occurrence 6 5 4 3 2 1 Sedang : Kegagalan kadang terjadi namun tidak dalam jumlah yang besar Rendah : Kegagalan yang terjadi relatif kecil Sangat jarang : Kegagalan yang terjadi relatif kecil dan jarang. Remote : Kegagalan tidak pernah terjadi Kemungkinan kegagalan terjadi 5 kali dalam 1 bulan. Kemungkinan kegagalan terjadi 3 kali dalam 1 bulan. Kemungkinan kegagalan terjadi 2 kali dalam 1 bulan. Kemungkinan kegagalan terjadi 1 kali dalam 1 bulan. Kemungkinan kegagalan terjadi 1 kali dalam 3 bulan. Kemungkinan kegagalan terjadi 1 kali dalam 6 bulan. 2.4.3.3 Detection Detection merupakan pengukuran terhadap kemampuan dalam mengontrol suatu kegagalan yang nantinya dapat terjadi. Dimana nilai dari detection disesuaikan dengan pengendalian yang saat ini dilakukan oleh perusahaan. Indeks skala dari detection adalah 1-10. Tabel 2. 4 Indeks Skala Detection [10] Rank Effect Detection 10 Hampir tidak mungkin Kemampuan kontrol saat ini tidak ada yang dapat mendeteksi kegagalan.

14 Rank Effect Detection 9 Sangat jarang 8 Jarang 7 Sangat rendah 6 Rendah 5 Sedang 4 Agak tinggi 3 Tinggi 2 Sangat tinggi 1 Hampir pasti Kemampuan kontrol saat ini sangat sulit mendeteksi penyebab kegagalan. Kemampuan kontrol saat ini sulit mendeteksi penyebab kegagalan. Kemampuan kontrol saat ini untuk mendeteksi penyebab kegagalan sangat rendah. Kemampuan kontrol saat ini untuk mendeteksi penyebab kegagalan rendah. Kemampuan kontrol saat ini untuk mendeteksi penyebab kegagalan sedang. Kemampuan kontrol saat ini untuk mendeteksi penyebab kegagalan sedang sampai tinggi. Kemampuan kontrol saat ini untuk mendeteksi penyebab kegagalan tinggi. Kemampuan kontrol saat ini untuk mendeteksi penyebab kegagalan sangat tinggi. Kemampuan kontrol saat ini hampir pasti dapat mendeteksi penyebab dan mencegah kegagalan.

15 2.4.4 Risk Priority Number (RPN) Dalam FMEA nilai RPN merupakan proses perhitungan yang digunakan untuk menentukan level dari masing-masing risiko. Diperoleh berdasarkan 3 faktor yang telah dijabarkan sebelumnya yaitu Severity, Occurrence, dan Detection. Nilai RPN dapat ditunjukkan dengan menggunakan rumus sebagai berikut [9] : RPN = S * O * D (2.1) Setelah melakukan proses perhitungan selanjutnya adalah menentukan level risiko berdasarkan nilai RPN. Skala tersebut nantinya akan digunakan untuk menilai risiko mana yang paling tinggi. Dengan begitu pihak perusahaan akan dapat menentukan tindakan pencegahan terhadap risiko yang bernilai paling tinggi. Skala RPN akan digambarkan pada tabel berikut. Tabel 2. 5 Skala RPN RPN Level Risiko >= 200 Very High 120 199 High 80 119 Medium 20 79 Low 0 19 Very Low 2.5 Keamanan Informasi Perlindungan terhadap keamanan informasi terdiri atas beberapa aspek yang terdiri dari Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) yang biasa dikenal sebagai CIA triad. CIA triad sendiri merupakan salah satu model yang dirancang sebagai panduan kebijakan kemanan informasi pada sebuah perusahaan. Berikut merupakan penjabaran dari ketiga aspek keamanan informasi tersebut [11] :

16 1. Confidentiality (Kerahasiaan) Kerahasiaan adalah aspek keamanan yang memberlakukan pembatasan hak akses pada informasi yang bersifat sensitif dan penting di dalam perusahaan dan hanya orang-orang tertentu lah yang memiliki wewenang untuk melihat dan mengolah data tersebut untuk mencegah bocornya informasi perusahaan ke pihak yang tidak bertanggung jawab. 2. Integrity (Integritas) Integritas adalah aspek keamanan yang memastikan informasi dan data perusahaan tidak bisa diubah dan dimodifikasi verifikasi oleh pihak yang berhak dan memiliki hak akses. 3. Availability (Ketersediaan) Ketersediaan adalah aspek keamanan yang memberikan jaminan bahwa setiap informasi yang diperuntukan bagi para pengguna yang memiliki hak akses pada informasi tersebut dapat digunakan, diakses dimanapun dan akan selalu tersedia setiap saat. 2.6 Aset Aset merupakan sebuah barang yang memiliki nilai ekonomi dan nilai tukar yang dimiliki oleh sebuah perusahaan, organisasi, instansi atau bahkan individu. Aset sendiri terdiri dari benda yang bergerak dan benda tidak bergerak, berwujud dan tidak berwujud yang termasuk menjadi harta kekayaan dari sebuah perusahaan, organisasi, instansi atau individu [12]. 2.7 Aset Kritis Aset kritis merupakan sesuatu yang dianggap penting dan berharga dalam suatu perusahaan, dimana jika aset tersebut tidak dapat berfungsi dengan baik maka akan berpengaruh terhadap proses bisnis di dalam perusahaan tersebut. 2.8 Mitigasi Risiko Mitigasi risiko adalah suatu tindakan terencana yang dilakukan oleh pemilik risiko agar bisa mngurangi dampak dari suatu kejadian yang berpotensi merugikan atau bahkan membahayakan pemilik risiko dan mengganggu proses bisnis di dalam

17 perusahaan tersebut. Ada beberapa strategi mitigasi risiko yang biasanya digunakan, yaitu [13] : 1. Risk Assumption Strategi dimana risiko tersebut diterima dan sistem teknologi informasi tetap dioperasikan untuk menerapkan kontrol yang ada agar risiko dapat diturunkan ke tingkat yang lebih rendah yang dapat diterima. 2. Risk Avoidance Strategi dimana risiko tersebut dihindari dan dihilangkan penyebabnya agar tidak menimbulkan kerugian di dalam perusahaan tersebut dan biasanya memerlukan biaya yang cukup tinggi. 3. Risk Limitation Strategi untuk membatasi risiko dengan melakukan kontroling agar dampak dari risiko tersebut dapat diminimalisir dan tidak menimbulkan kerugian yang besar bagi perusahaan. 4. Risk Planning Strategi untuk mengelola risiko dengan membuat perencanaan mitigasi sebelum risiko tersebut terjadi. 5. Research and Acknowledgment Strategi yang dilakukan dengan melakukan kontroling dan perbaikan dari kerentanan yang ada pada sistem sehingga meminimalisir kerugian perusahaan. 6. Risk Transference Strategi dimana risiko tersebut diserahkan kepada pihak ketiga untuk dilakukan perbaikan karena pihak perusahaan tidak kompeten terhadap penanganan risiko tersebut atau mengganti kerugian yang dialami oleh perusahaan seperti program asuransi. 2.9 ISO 27001 ISO 27001 merupakan dokumen standar yang telah disiapkan untuk memberikan persyaratan guna mendirikan, melaksanakan, menjaga dan meningkatkan sistem manajemen keamanan informasi pada suatu perusahaan dengan mempertahankan

18 kerahasiaan, integritas serta ketersediaan informasi. Standar ini berisi tentang detail tugas manajerial seperti penilaian risiko dan meninjau kemanan pada aset informasi yang dimiliki oleh perusahaan [14]. 2.10 ISO 27002 ISO 27002 merupakan standar yang dirancang untuk organisasi yang nantinya akan digunakan sebagai referensi untuk memilih kontrol dalam proses menerapkan Sistem Manajemen Keamanan Informasi (SMKI) berdasarkan ISO/IEC 27001 dan sebagai panduan organisasi dalam menerapkan kontrol keamanan informasi yang dapat diterima secara umum. Standar ini juga dimaksudkan untuk digunakan dalam mengembangkan industri dan pedoman manajemen keamanan informasi organisasi spesifik, dengan mempertimbangkan risiko keamanan informasi yang lebih spesifik di lingkungan mereka [15]. Detail kontrol yang terdapat di dalam ISO 27002:2013 akan dijabarkan secara lebih rinci pada lampiran [16].

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan