Post on 26-Aug-2018
transcript
L-1
Allegro Worksheet 1 RISK MEASUREMENT CRITERIA – REPUTATION AND CUSTOMER
CONFIDENCE
Impact Area Low Moderate High
Reputation
Reputation is minimally affected; little or no effort or expense is required to recover.
Reputation is damaged, and some effort and expense is required to recover.
Reputation is irrevocably destroyed or damaged.
Customer Loss
Less than _______% reduction in customers due to loss of confidence
_______to _______% reduction in customers due to loss of confidence
More than _______% reduction in customers due to loss of confidence
Other:
L-2
Allegro Worksheet 2 RISK MEASUREMENT CRITERIA – FINANCIAL
Impact Area Low Moderate High
Operating Costs Increase of less than _______% in yearly operating costs
Yearly operating costs increase by _______to _______%.
Yearly operating costs increase by more than _______%.
Revenue Loss Less than _______% yearly revenue loss
_______to _______% yearly revenue loss
Greater than _______% yearly revenue loss
One-Time Financial Loss
One-time financial cost of less than $_______________
One-time financial cost of $_______________ to $_______________
One-time financial cost greater than $_______________
Other:
L-3
Allegro Worksheet 3 RISK MEASUREMENT CRITERIA – PRODUCTIVITY
Impact Area Low Moderate High
Staff Hours
Staff work hours are increased by less than _______% for _______to _______ day(s).
Staff work hours are increased between _______% and _______% for _______to _______ day(s).
Staff work hours are increased by greater than _______% for _______to _______ day(s).
Other:
Other:
Other:
L-4
Allegro Worksheet 4 RISK MEASUREMENT CRITERIA – SAFETY AND HEALTH
Impact Area Low Moderate High
Life No loss or significant threat to customers’ or staff members’ lives
Customers’ or staff members’ lives are threatened, but they will recover after receiving medical treatment.
Loss of customers’ or staff members’ lives
Health
Minimal, immediately treatable degradation in customers’ or staff members’ health with recovery within four days
Temporary or recoverable impairment of customers’ or staff members’ health
Permanent impairment of significant aspects of customers’ or staff members’ health
Safety Safety questioned Safety affected Safety violated
Other:
L-5
Allegro Worksheet 5 RISK MEASUREMENT CRITERIA – FINES AND LEGAL PENALTIES
Impact Area Low Moderate High
Fines Fines less than $_______________are levied.
Fines between $_______________and $_______________are levied.
Fines greater than $_______________are levied.
Lawsuits
Non-frivolous lawsuit or lawsuits less than $_______________ are filed against the organization, or frivolous lawsuit(s) are filed against the organization.
Non-frivolous lawsuit or lawsuits between $_______________ and $_______________are filed against the organization.
Non-frivolous lawsuit or lawsuits greater than $_______________ are filed against the organization.
Investigations
No queries from government or other investigative organizations
Government or other investigative organization requests information or records (low profile).
Government or other investigative organization initiates a high-profile, in-depth investigation into organizational practices.
Other:
L-6
Allegro Worksheet 6 RISK MEASUREMENT CRITERIA – USER DEFINED
Impact Area Low Moderate High
L-7
Allegro Worksheet 7 IMPACT AREA PRIORITIZATION WORKSHEET
PRIORITY IMPACT AREAS
Reputation and Customer Confidence
Financial
Productivity
Safety and Health
Fines and Legal Penalties
User Defined
L-8
Allegro Worksheet 8 CRITICAL INFORMATION ASSET PROFILE
(1) Critical Asset
What is the critical information asset?
(2) Rationale for Selection
Why is this information asset important to the organization?
(3) Description
What is the agreed-upon description of this information asset?
(4) Owner(s)
Who owns this information asset?
(5) Security Requirements
What are the security requirements for this information asset?
Confidentiality Only authorized personnel can view this information asset, as follows:
Integrity Only authorized personnel can modify this information asset, as follows:
Availability
This asset must be available for these personnel to do their jobs, as follows:
This asset must be available for _____ hours, _____ days/week, _____ weeks/year.
Other This asset has special regulatory compliance protection requirements, as follows:
(6) Most Important Security Requirement
What is the most important security requirement for this information asset?
Confidentiality Integrity Availability Other
L-9A
Allegro Worksheet 9a INFORMATION ASSET RISK ENVIRONMENT MAP (TECHNICAL)
INTERNAL
CONTAINER DESCRIPTION OWNER(S)
1.
2.
3.
4.
EXTERNAL
CONTAINER DESCRIPTION OWNER(S)
1.
2.
3.
4.
L-9B
Allegro Worksheet 9b INFORMATION ASSET RISK ENVIRONMENT MAP (PHYSICAL)
INTERNAL
CONTAINER DESCRIPTION OWNER(S)
1.
2.
3.
4.
EXTERNAL
CONTAINER DESCRIPTION OWNER(S)
1.
2.
3.
4.
L-9C
Allegro Worksheet 9c INFORMATION ASSET RISK ENVIRONMENT MAP (PEOPLE)
INTERNAL PERSONNEL
NAME OR ROLE/RESPONSIBILITY DEPARTMENT OR UNIT
1.
2.
3.
4.
EXTERNAL PERSONNEL
CONTRACTOR, VENDOR, ETC. ORGANIZATION
1.
2.
3.
4.
L-10
Allegro - Worksheet 10 INFORMATION ASSET RISK WORKSHEET
Info
rmat
ion
Ass
et R
isk
Thre
at
Information Asset
Area of Concern
(1) Actor Who would exploit the area of concern or threat?
(2) Means How would the actor do it? What would they do?
(3) Motive What is the actor’s reason for doing it?
(4) Outcome What would be the resulting effect on the information asset?
Disclosure
Modification
Destruction
Interruption
(5) Security Requirements How would the information asset’s security requirements be breached?
(6) Probability What is the likelihood that this threat scenario could occur?
High Medium Low
(7) Consequences What are the consequences to the organization or the information asset owner as a result of the outcome and breach of security requirements?
(8) Severity How severe are these consequences to the organization or asset owner by impact area?
Impact Area
Value Score
Reputation & Customer Confidence
Financial
Productivity
Safety & Health
Fines & Legal Penalties
User Defined Impact Area
Relative Risk Score
PENILAIAN RISIKO SISTEM INFORMASI PADA BINA NUSANTARA MENGGUNAKAN METODE OCTAVE
ALLEGRO
GROUP FIELD PROJECT
Welly 1022200770
Mikewati 1022200814
Program Pascasarjana Ilmu Komputer
PROGRAM STUDI MAGISTER MANAJEMEN SISTEM INFORMASI JENJANG S2
UNIVERSITAS BINA NUSANTARA
JAKARTA
2011
PENILAIAN RISIKO SISTEM INFORMASI PADA BINA NUSANTARA MENGGUNAKAN METODE OCTAVE
ALLEGRO
Mikewati, Welly, dan Ford Lumban Gaol
LAPORAN TEKNIS
Jakarta 26 Januari 2012
Menyetujui:
Ford Lumban Gaol, S.Si, M.Kom, Dr
PENILAIAN RISIKO SISTEM INFORMASI PADA BINA NUSANTARA MENGGUNAKAN METODE OCTAVE
ALLEGRO
ABSTRAK
Penggunaan teknologi sistem informasi dalam perusahaan akan menimbulkan risiko –risiko. Tujuan penulisan thesis ini adalah mendukung manajemen risiko sistem informasi dalam perusahaan dengan melakukan sebuah penilaian risiko sistem informasi dengan menggunakan metode OCTAVE Allegro. Pengunaan metode OCTAVE Allegro dalam analisis risiko akan menghasilkan rencana mitigasi dan strategi keamanan bagi perusahaan. Rencana mitigasi dan strategi keamanan ini diharapkan dapat mendukung manajemen risiko sistem informasi dalam perusahaan dan meminimalisir kerusakan yang mungkin dapat ditimbulkan dari ancaman – ancaman yang ada.
Kata kunci: Penilaian risiko sistem informasi, OCTAVE Allegro
ABSTRACT
The use of information system technology within an enterprise will create risks. The goal of this thesis is to support information system risk management within the enterprise by doing information system risk assessment using OCTAVE Allegro. The use of OCTAVE Allegro on risks analysis will create mitigation plans and security strategies to the enterprise. This mitigation plans and security strategies are expected to support risk management within the enterprise and minimize the damage that may result from threats that exist.
Keywords: Information System Risk Assessment, OCTAVE Allegro
PENDAHULUAN
Latar Belakang
Dewasa ini penggunaan teknologi informasi dalam perusahaan merupakan hal yang
umum. Dalam penggunaannya, penggunaan teknologi informasi akan memunculkan risiko -
risiko. Pengelolaan terhadap risiko – risiko ini merupakan hal yang perlu diperhatikan. Salah
satu langkah awal perusahaan dalam mengelola risiko – risiko ini, perusahaan dapat
melakukan pengukuran terhadap risiko teknologi informasi (penilaian risiko).
Banyak metode yang dapat digunakan untuk melakukan penilaian risiko. Metode
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) merupakan
salah satu metode yang dapat digunakan oleh perusahaan sebagai acuan untuk melakukan
penilaian risiko. Metode OCTAVE sendiri memiliki tiga varian, yaitu OCTAVE, OCTAVE-S,
dan OCTAVE Allegro. Metode yang digunakan dalam penulisan ini adalah metode OCTAVE
Allegro, dimana metode ini merupakan modifikasi dari metode OCTAVE. Perbedaan yang
mendasar dari OCTAVE dan OCTAVE Allegro adalah bahwa pendekatan OCTAVE Allegro
lebih ditujukan secara spesifik kepada aset informasi dan data yang mendukung informasi
tersebut.
Rumusan Permasalahan
Rumusan permasalahan yang mendasari dilakukannya penilaian risiko pada Bina
Nusantara adalah :
1. Belum pernah diadakannya penilaian risiko pada Bina Nusantara yang
menyebabkan kesulitan dalam menilai seberapa besar dampak dari risiko yang
muncul.
2. Belum adanya kebijakan formal terkait keamanan teknologi informasi. Hal ini
menimbulkan lambannya tindakan yang harus diambil untuk mencegah risiko
yang mungkin terjadi dan penanggulangannya.
3. Kesulitan dalam mengkomunikasikan pentingnya nilai dari aset informasi yang
dimiliki karena tidak adanya dokumentasi atau data - data yang mendukung.
Tujuan dan manfaat
Tujuan penulisan ini adalah membantu Bina Nusantara dalam mengevaluasi
risiko – risiko terkait dengan aset informasi serta melindungi risiko – risiko tersebut
dengan merancang strategi perlindungan.
Manfaat yang ingin dicapai dalam penelitian ini adalah:
• Mengelola penilaian risiko secara mandiri (self directed) bagi organisasi.
• Mengidentifikasi risiko keamanan yang dapat menghambat visi dan misi
organisasi.
• Membuat keputusan terbaik untuk risiko – risiko tersebut.
• Membuat strategi perlindungan yang dirancang secara khusus untuk
mengurangi risiko keamanan informasi yang memiliki prioritas tertinggi.
• Merancang kebutuhan dan regulasi.
• Pihak manajemen dapat secara efektif mengkomunikasikan nilai - nilai
penting informasi keamanan informasi.
Ruang Lingkup
1. Penilaian risiko dilakukan pada IT Directorate Bina Nusantara.
2. Penilaian risiko dilakukan pada operasional Bina Nusantara dengan berfokus pada
perlindungan aset informasi yang penting .
3. Metode yang digunakan dalam melakukan penilaian risiko adalah metode
OCTAVE Allegro.
Kerangka pikir
Kerangka pikir dalam penelitian ini dapat digambarkan seperti dibawah:
Gambar 7. Kerangka Pikir
1. Studi pendahuluan
Pada tahap ini, didefinisikan latar belakang dari penelitian. Tahap ini dimulai
dengan mendiskusikan ide penelitian terhadap perwakilan dari Bina Nusantara dan
apa saja yang akan dilakukan dengan tesis ini. Langkah selanjutnya adalah
mempelajari struktur organisasi Bina Nusantara, mempelajari proses bisnis Bina
Nusantara dan mempelajari sistem informasi Bina Nusantara. Selain itu, dilakukan
pencarian artikel yang berkaitan dengan manajemen risiko sistem informasi melalui
buku-buku, internet dan juga melalui dosen pembimbing tesis. Dari ide yang muncul,
didiskusikan dengan dosen pembimbing dan ide - ide tersebut digunakan pada
tahapan berikutnya, yaitu perumusan masalah.
2. Perumusan Masalah
Pada tahapan ini, dilakukan identifikasi permasalahan yang akan dibahas.
Identifikasi dan perumusan permasalahan dilakukan agar sasaran penelitian tidak
keluar dari alur yang dibuat.
3. Tujuan dan Manfaat yang Ingin Dicapai
Pada tahapan ini tim menentukan tujuan dan manfaat yang ingin dicapai dari
penelitian yang akan dilakukan.
4. Studi Kepustakaan
Setelah semua proses di dalam studi pendahuluan dilakukan, proses
selanjutnya adalah pembelajaran literatur yang berhubungan dengan penilaian risiko.
Studi literatur ini dilakukan agar dapat menghasilkan suatu acuan dasar yang dapat
digunakan dalam penelitian. Studi literatur dilakukan melalui jurnal-jurnal, buku-buku
dan juga melalui internet.
5. Pengumpulan data
Bersamaan dengan studi kepustakaan yang dilakukan, peneliti melakukan
pengumpulan data dengan cara:
a. Observasi
Mengamati kegiatan – kegiatan yang berhubungan dengan risiko TI pada IT
Directorate dan business unit atau directorate yang terkait secara langsung. Di
dalam observasi ini juga dilakukan pengumpulan dokumen – dokumen yang
terkait dengan risiko TI yang ada pada Bina Nusantara, khususnya pada IT
Directorate. Contoh dokumen pada studi dokumentasi dapat berupa dokumen
kebijakan (misalnya, dokumentasi, arahan), dokumentasi sistem (misalnya,
buku petunjuk, desain sistem dan persyaratan dokumen), dan dokumentasi
yang berkaitan dengan keamanan (misalnya, laporan audit sebelumnya,
laporan penilaian risiko, hasil tes sistem, rencana keamanan sistem, kebijakan
keamanan) yang dapat memberikan informasi yang baik mengenai kontrol
keamanan yang digunakan oleh dan direncanakan untuk sistem TI.
b. Wawancara
Melakukan pengumpulan data yang dilakukan dengan bertanya dan
mendengarkan jawaban langsung dari narasumber.
6. Analisis Menggunakan Metode OCTAVE Allegro
Terdapat empat tahapan utama dalam metode OCTAVE Allegro, yaitu:
a. Membangun drivers
b. Membuat profil aset
c. Mengidentifikasi ancaman
d. Mengidentifikasi dan mengurangi risiko
Lebih jelasnya mengenai metode OCTAVE Allegro, akan dibahas pada sub bab 3.4.
7. Rekomendasi Kebijakan Manajemen Risiko
Rekomendasi dan kebijakan manajemen risiko dijelaskan pada sub bab 3.4,
metode OCTAVE Allegro langkah 8.
Dalam penelitian ini penulis melakukan penelitian kualitatif dimana pada akhir
pembahasan nantinya penulis memberikan hasil berupa pendekatan pengurangan risiko sesuai
dengan hasil yang diberikan oleh metode OCTAVE Allegro.
RANGKUMAN HASIL PEMBAHASAN
Hasil rangkuman yang dibuat berdasarkan 8 langkah OCTAVE Allegro yang ada.
Dari tiap – tiap langkah yang ada, akan dijabarkan hasil apa saja yang didapat.
Langkah 1 – Membangun Kriteria Pengukuran Risiko
Dalam langkah 1, ada dua aktivitas yaitu penentuan impact area dan penentuan skala
prioritas pada impact area yang telah ditentukan. Dari lima impact area yang
ditentukan (reputasi dan kepercayaan pelanggan, finansial, produktivitas, keamanan
dan kesehatan, dan denda dan penalti), diperoleh hasil sebagai berikut:
Impact area - Reputasi dan kepercayaan pelanggan
Dampak terhadap reputasi dan kepercayaan pelanggan dikategorikan high
(tinggi) jika reputasi terkena dampak sangat buruk hingga hampir tidak dapat
diperbaiki
Dampak terhadap kerugian pelanggan dikategorikan high (tinggi) jika terjadi
lebih dari 10% pengurangan pelanggan yang diakibatkan hilangnya
kepercayaan
Impact area - Finansial
Dampak terhadap biaya operasional dikategorikan high (tinggi) jika terjadi
peningkatan lebih dari 10% pada biaya operasional per tahun
Dampak terhadap revenue loss dikategorikan high (tinggi) jika terjadi lebih
dari 10% per tahun revenue loss
Dampak terhadap one-time financial loss dikategorikan high (tinggi) jika
terjadi lebih dari Rp.100.000.000,-
Impact area - Produktivitas
Dampak terhadap jam kerja karyawan dikategorikan high (tinggi) jika jam
kerja karyawan meningkat lebih dari 10% dari 7 sampai dengan 14 hari
Impact area - Keamanan dan Kesehatan
Dampak terhadap kehidupan dikategorikan high (tinggi) jika terjadi hilangnya
nyawa pelanggan atau karyawan
Dampak terhadap kesehatan dikategorikan high (tinggi) jika terjadi penurunan
permanen dari kesehatan pelanggan atau karyawan
Dampak terhadap Keselamatan dikategorikan high (tinggi) jika keselamatan
pelanggan atau karyawan terganggu
Impact area - Denda dan Penalti
Denda dikategorikan high (tinggi) jika bernilai lebih dari Rp.100.000.000,-
Tuntutan Hukum dikategorikan high (tinggi) jika tuntutan dengan nilai lebih
dari Rp.100.000.000,- akan dikenakan kepada Bina Nusantara.
Investigasi dikategorikan high (tinggi) jika pemerintah atau organisasi
investigasi lainnya akan memulai penyelidikan yang lebih mendalam terhadap
praktek Bina Nusantara terkait dengan tuntutan.
Dari kelima impact area tersebut, reputasi dan kepercayaan pelanggan
merupakan prioritas yang paling pertama diikuti oleh finansial, denda dan
penalti, produktivitas, serta keamanan dan kesehatan.
Langkah 2 – Mengembangkan Information Asset Profile
Aset informasi yang berhasil diidentifikasikan sebanyak 17, namun dari 17 aset
tersebut didapatkan 9 aset informasi kritikal yaitu profil dosen, profil mahasiswa,
jadwal kuliah mahasiswa, jadwal mengajar dosen, transaksi nilai mahasiswa, konten
materi kuliah, transaksi pembayaran uang kuliah, absensi kelas, dan kehadiran dosen.
Pertimbangan – pertimbangan dalam memilih aset informasi kritikal tersebut adalah:
‐ Aset Informasi yang penting bagi Bina Nusantara
‐ Aset informasi yang digunakan dalam kegiatan operasional sehari – hari
‐ Aset informasi yang jika hilang, dapat mengganggu kemampuan Bina
Nusantara untuk mencapai tujuan dan misi perusahan
Ada tiga kebutuhan keamanan, yaitu confidentiality, integrity, dan availability. Dari
profil aset informasi ini, kebutuhan keamanan yang paling penting, mayoritas terletak
pada integrity. Hal ini dikarenakan aset informasi harus dapat dipertanggungjawabkan
kebenarannya untuk digunakan dalam berbagai kegiatan operasional di Bina
Nusantara.
Di bawah ini merupakan contoh dari profil aset untuk profil mahasiswa.
Critical Asset Profil mahasiswa Rationale for Selection Mahasiswa mempunyai peran penting dalam
proses bisnis yang ada pada core process Binus. Profil mahasiswa sendiri digunakan hamper di setiap proses yang ada di Binus itu sendiri. Profil mahasiswa yang dicatat dan digunakan merupakan data yang dimulai saat mahasiswa tersebut telah melalui proses penerimaan mahasiswa baru, hingga pada akhirnya mahasiswa tersebut lulus.
Description Aset ini terdiri dari data diri mahasiswa, seperti nomor pendaftaran, nomor induk mahasiswa, nama, alamat, agama, tahun angkatan, email, no hp, dsb
Owner Manajer, IS Dev Univ (ext.2310) Security Requirements
Con
fiden
tialit
y
Informasi mengenai profil mahasiswa bersifat privasi bagi mahasiswa, sehingga dijaga agar tidak disalah gunakan oleh pihak yang tidak bertanggung jawab. Informasi ini hanya diberikan akses ke pihak-pihak tertentu untuk tujuan membantu mahasiswa. Contohnya: admisi, jurusan, kemahasiswaan, alumni, binuscareer, biro nilai, web parent, dsb.
Inte
grity
Informasi ini harus diisi, namun terbuka kemungkinan untuk merubah data oleh mahasiswa tersebut lewat binusmaya atau dibantu oleh SRSC. Contoh perubahan profil mahasiswa: ganti no hp, ganti alamat.
Ava
ilabi
lity Informasi ini harus tersedia bagi mahasiswa,
layanan mahasiswa, binus career, jurusan, kemahasiswaan, alumni, binuscareer, biro nilai, web parent, dsb.
Most Important Security Requirement
Integrity Alasan: profil mahasiswa haruslah benar dan up to date karena profil mahasiswa ini banyak digunakan untuk berbagai keperluan saat perkuliahan berlangsung, seperti penagihan dan pelunasan pembayaran, beasiswa, sertifikat seminar yang diadakan di lingkungan Bina Nusantara, Penjadwalan kuliah dan ujian, serta untuk keperluan wisuda. Jika data ini sejak awal salah, maka akan berpengaruh ke banyak area.
Langkah 3 – Identifikasi Information Asset Containers
Information asset container terbagi menjadi tiga, yaitu technical, physical, dan people
dimana masing-masing mempunyai sisi internal dan eksternal. Dari 9 critical asset
information, yang paling banyak mempunyai container adalah profil mahasiswa.
Profil mahasiswa diakses, disimpan, atau dikirim melalui dua database, tiga belas
aplikasi, dua jenis kontainer fisik, dan staff – staff dari sembilan unit kerja.
Langkah 4 – Identifikasi Areas of Concern
Profil mahasiswa juga mempunyai area of concern yang paling banyak. Dari area of
concern tersebut, yang paling sering adalah bug/error pada aplikasi dan pemanfaatan
celah keamanan lewat aplikasi baik pihak dalam maupun luar, serta kesalahan saat
deploy aplikasi.
Langkah 5 – Identifikasi Threat Scenarios
Areas of concern kemudian diperluas menjadi threat scenario yang mendetailkan
lebih jauh mengenai property dari threat. Properti dari threat antara lain, actor,
means, motives, outcome, dan security requirement.
Di bawah ini merupakan salah satu contoh threat scenarios dari profil mahasiswa.
1
Area Of Concern Threat Properties Dikarenakan jumlah profil mahasiswa yang banyak, terjadi kesalahan dalam peng-inputan data oleh staff SRSC
1.Actor staff SRSC 2.Means Staff menggunakan aplikasi
stusi 3.Motives Terjadi karena human error
(accindental) 4.Outcome Modification, Interruption 5.Security Requirements
Penambahan validasi – validasi terhadap field-field yang diinput oleh Staff
Langkah 6 – Identifikasi Risiko
Langkah ini bertujuan untuk menentukan bagaimana threat scenario yang
telah dicatat dapat memberikan dampak bagi perusahaan dimulai dengan mereview
risk measurement criteria, fokus terhadap bagaimana definisi dampak high (tinggi) ,
medium, dan low untuk perusahaan. Kemudian relative risk score akan dihitung.
Relative risk score dapat digunakan untuk menganalisa risiko dan membantu
organisasi untuk memutuskan strategi terbaik dalam menghadapi risiko. Setiap area
of concern tiap information asset yang telah didefinisikan, dipertimbangkan
konsekuensi yang mungkin terjadi. Konsekuensi tersebut mempunyai impact area
yang dinilai tingkat value-nya yang kemudian diberikan score. Score diperoleh
melalui perkalian priority dengan value dari impact area. Cara menghitung score
dapat dilihat di tabel di bawah ini.
Impact Areas Priority Low Moderate High
(1) (2) (tinggi) (3)
Reputasi dan kepercayaan
pelanggan 5 5 10 30 Finansial 4 4 8 12
Produktivitas 2 2 4 6 Keamanan dan
Kesehatan 1 1 2 3 Denda dan Penalti 3 3 6 9
Langkah 7 – Analisis Risiko
Di bawah ini adalah salah satu setiap area of concern dari information asset yang
telah didefinisikan dan dipertimbangkan konsekuensi yang mungkin terjadi
berdasarkan relative risk score. Dari hasil pengamatan, rata-rata yang paling besar
scorenya adalah Reputation & Customer Confidence.
1
Area Of Concern Risk Dikarenakan jumlah profil mahasiswa yang banyak, terjadi kesalahan dalam peng-inputan data oleh staff SRSC
Consequences
Staff SRSC harus mendatakan ulang data-data yang salah lewat aplikasi atau bantuan dari staff IT sehingga banyak waktu yang terbuang untuk menginputnya.
Severity
Impact Area Value Score Reputation & Customer Confidence
Med 10
Financial Low 4 Productivity High (tinggi) 6 Safety & Health Low 1 Fines & Legal Penalties
Low 3
Relative Risk Score 24
Langkah 8 – Pemilihan Mitigation Approach
Dari pengelompokan risiko yang ada, selanjutnya diambil langkah mitigasi
risiko – risiko tersebut. Pembagian pengambilan langkah mitigasi dikelompokkan
menjadi:
Relative Risk Matrix
Risk Score
30 to 45 16 to 29 0 to 15
POOL 1 POOL 2 POOL3
POOL Mitigation Approach
1 Mitigate
2 Defer/Mitigate
3 Accept
Berikut ini merupakan contoh mitigasi risiko atas area of concern.
1
Risk Mitigation
Area of Concern Staff IT yang dapat memasukkan malicious code Action Mitigate Container Control
Staff IT Mengadakan training secara regular terhadap staff mengenai tanggung jawab dalam melindungi information asset.
2
Area of Concern
Penyebaran hak akses(password) terhadap aplikasi siskul yang dapat mengakses data dosen oleh staff AOC yang memiliki akses
Action Mitigate Container Control Aplikasi siskul Dibuat pergantian password secara berkala.
Staff AOC Dilakukan penyuluhan terhadap staff AOC mengenai pentingnya keamanan password.
Staff AOC Jika terjadi kesalahan dalam input data, maka staff yang bersangkutan akan dikenakan sanksi.
KESIMPULAN DAN SARAN
Kesimpulan
Dari penilaian yang dilakukan pada Bina Nusantara, maka diperoleh kesimpulan
sebagai berikut:
1. Bina Nusantara belum pernah melakukan evaluasi untuk menilai aset infomasi yang
sifatnya kritikal serta ancaman dan risiko yang mungkin terjadi.
2. Bina Nusantara belum pernah membuat perencanaan pengurangan risiko untuk
mengurangi risiko-risiko yang mungkin terjadi.
3. OCTAVE Allegro merupakan suatu evaluasi risiko keamanan informasi yang sifatnya
self-directed yang memungkinan organisasi untuk membuat keputusan dalam
perlindungan informasi berdasarkan risiko terhadap confidentiality, integrity, dan
availability dari aset informasi kritikal.
4. Untuk membuat keputusan perlindungan informasi yang paling terbaik, sangat
penting untuk mengidentifikasikan ancaman atas aset kritikal. Secara kolektif, semua
sumber dari ancaman didokumentasikan dalam threat profile. Threat profile dapat
digunakan untuk mengidentifikasikan serangkaian threat terhadap setiap critical
asset. Jika organisasi mengerti ancaman dari aset kritikal, maka langkah selanjutnya
akan sangat mudah untuk mengerti risiko terhadap organisasi dan mengambil
langkah-langkah untuk mengurangi risiko tersebut.
5. Hasil dari serangkaian langkah dalam penilaian risiko di Bina Nusantara adalah:
• Langkah 1 – Membangun Kriteria Pengukuran Risiko: Menentukan impact area
dari Bina Nusantara. Impact area yang dipilih adalah reputasi dan kepercayaan
pelanggan, financial, produktivitas, keamanan dan kesehatan, dan denda dan penalti.
Dari masing-masing impact area ini, diberikan penilaian kondisi seperti apakah
impact area tersebut dikatakan low, medium, dan high. Selain itu, masing-masing
impact area diberikan skala prioritas. Reputasi dan kepercayaan pelanggan
merupakan prioritas terbesar yang dipilih karena jika reputasi dan kepercayaan
pelanggan terjaga atau meningkat, maka customer akan menyebarkannya dari mulut
ke mulut sehingga membuka peluang untuk lebih banyak mahasiswa yang masuk ke
Bina Nusantara.
• Langkah 2 – Mengembangkan Information Asset Profile: Untuk menentukan aset
informasi apa saja yang kritikal bagi Bina Nusantara, assessment dilakukan dengan
berfokus kepada core process dari binus itu sendiri. Awalnya aset-aset penting
didefinisikan bersama dengan Manajer IS Dev Univ. Dari kumpulan aset penting
tersebut, aset informasi kritikal yang berhasil diidentifikasikan dalam penulisan ini
adalah: Profil dosen, Profil mahasiswa, Jadwal kuliah mahasiswa, Jadwal mengajar
dosen, Transaksi nilai mahasiswa, Konten materi kuliah, Transaksi pembayaran
uang kuliah, Absensi Kelas, dan Kehadiran dosen.
• Langkah 3 – Identifikasi Information Asset Containers: Information asset
containers dimana aset informasi kritikal Bina Nusantara tersebut disimpan,
dipindahkan, atau diproses diidentifikasikan dengan membagi container dalam
kategori technical, physical, dan people.
• Langkah 4 – Identifikasi Areas of Concern: Areas of concern diidentifikasikan
dengan melihat container yang telah diidentifikasikan di langkah sebelumnya.
• Langkah 5 – Identifikasi Threat Scenarios: Areas of concern diperluas menjadi
threat scenario yang mendetailkan lebih jauh mengenai property dari threat.
• Langkah 6 – Identifikasi Risiko: Langkah ini bertujuan untuk menentukan
bagaimana threat scenario yang telah dicatat dalam dapat memberikan dampak bagi
perusahaan.
• Langkah 7 – Analisis Risiko: Pada tahap ini, pengukuran secara kualitatif dilakukan
dengan menghitung score untuk setiap risiko pada information asset.
• Langkah 8 – Pemilihan Mitigation Approach: Menentukan tindakan-tindakan yang
dapat dilakukan untuk memitigasi setiap risiko.
Saran
Saran yang dapat diusulkan dalam penelitian ini adalah sebagai berikut:
1. Membuat peraturan yang tertulis mengenai tanggung jawab dalam menjaga keamanan
informasi dan sanksi bagi yang melanggar serta melakukan sosialisasi mengenai
peraturan tersebut secara bertahap kepada karyawan Bina Nusantara.
2. Membuat simulasi secara visual untuk memudahkan karyawan untuk mengerti
bagaimana pentingnya aset informasi, ancaman dan risiko yang mungkin terjadi, serta
konsekuensi yang harus mereka hadapi bila terjadi.
3. Melakukan evaluasi keamanan informasi kembali dengan menggunakan Octave
Allegro secara berkala, misalnya satu tahun sekali.
4. Untuk penulisan berikutnya, ruang lingkup penulisan dapat menggunakan area lain di
IT Directorate Bina Nusantara, seperti bagian school, function, atau bisnis unit yang
lain, seperti marketing dan HRD.
DAFTAR PUSTAKA
Christopher Alberts, A. D. (2002). Managing Information Security Risks: The OCTAVE
Approach . Addison Wesley.
Conner, B., Noonan, T., & Holleyman II, R. (2004). Information Security Governance:
Toward a Framework for Action. (Business Software Alliance).
Gary Stoneburner, A. G. (2002). Risk Management Guide for Information Technology
Systems . Computer Security Division Information Technology Laboratory National Institute
of Standards and Technology.
Jake Kouns, D. M. (2010). Information Technology Risk Management In Enterprise
Enviroments. New Jersey: John Wiley & Sons.
McLeod Jr.,R., Schell, G. (2004). Sistem Informasi Manajemen, edisi ke-8. Terjemahan
Widyantoro, Agus, PT. Indeks, Jakarta.
Marie Wright, Third generation risk management practices, Computer Fraud & Security,
Volume 1999, Issue 2, February 1999, Pages 9-12, ISSN 1361-3723, 10.1016/S1361-
3723(99)80005-0.
Michael E. Whitman and Herbert J.Mattord (2010). Management of Information Security,3rd
Edition. Thomson-Course Technology.
Mulyadi. (1997). Sistem Akuntansi, edisi ke-3, cetakan ke-2. Bagian Penerbitan Sekolah
Tinggi Ilmu Ekonomi YKPN, Yogyakarta.
O’Brien, James. (2006). Pengantar Sistem Informasi – Perspektif Bisnis dan Manajerial,
edisi ke-12. Terjemahan Fitriasari,D., dan Deny Arnos Kwary. Salemba Empat. Jakarta.
Schwartz, M. , “Computer security: Planning to protect corporate assets,” Journal of
Business Strategy, vol. 11(1), pp. 38-41, 1990.
Saint-Germain, R. “Information security management best practice based on ISO/IEC
17799,” The Information Management Journal, vol. August 2005, pp. 60-66, 2005.
Van de Haar, H., & von Solms, R. (2003, April). Deriving Information Security Control
Profiles for an Organization. Computers & Security, 22 (3), 233 – 244.
Technical Department of ENISA Section Risk Management. (2006). Risk Management:
Implementation principles and Inventories for Risk Management/Risk Assessment methods
and tools . ENISA.
Wilkinson, J. W. (1995). Sistem Akuntansi dan Informasi, jilid ke-1, edisi ke-2, cetakan ke-4.
Terjemahan Sinaga, M. Erlangga. Jakarta.
Woody, C. (2006). Applying OCTAVE: Practitioners Report . Carnegie Mellon University.