allegro worksheet 1 - thesis.binus.ac.idthesis.binus.ac.id/doc/lampiran/tsa-2012-0023 lam.pdf · 5...

L-1

Allegro Worksheet 1 RISK MEASUREMENT CRITERIA – REPUTATION AND CUSTOMER

CONFIDENCE

Impact Area Low Moderate High

Reputation

Reputation is minimally affected; little or no effort or expense is required to recover.

Reputation is damaged, and some effort and expense is required to recover.

Reputation is irrevocably destroyed or damaged.

Customer Loss

Less than _______% reduction in customers due to loss of confidence

_______to _______% reduction in customers due to loss of confidence

More than _______% reduction in customers due to loss of confidence

Other:

L-2

Allegro Worksheet 2 RISK MEASUREMENT CRITERIA – FINANCIAL


Operating Costs Increase of less than _______% in yearly operating costs

Yearly operating costs increase by _______to _______%.

Yearly operating costs increase by more than _______%.

Revenue Loss Less than _______% yearly revenue loss

_______to _______% yearly revenue loss

Greater than _______% yearly revenue loss

One-Time Financial Loss

One-time financial cost of less than $_______________

One-time financial cost of $_______________ to $_______________

One-time financial cost greater than $_______________

Other:

L-3

Allegro Worksheet 3 RISK MEASUREMENT CRITERIA – PRODUCTIVITY


Staff Hours

Staff work hours are increased by less than _______% for _______to _______ day(s).

Staff work hours are increased between _______% and _______% for _______to _______ day(s).

Staff work hours are increased by greater than _______% for _______to _______ day(s).

Other:

Other:

Other:

L-4

Allegro Worksheet 4 RISK MEASUREMENT CRITERIA – SAFETY AND HEALTH


Life No loss or significant threat to customers’ or staff members’ lives

Customers’ or staff members’ lives are threatened, but they will recover after receiving medical treatment.

Loss of customers’ or staff members’ lives

Health

Minimal, immediately treatable degradation in customers’ or staff members’ health with recovery within four days

Temporary or recoverable impairment of customers’ or staff members’ health

Permanent impairment of significant aspects of customers’ or staff members’ health

Safety Safety questioned Safety affected Safety violated

Other:

L-5

Allegro Worksheet 5 RISK MEASUREMENT CRITERIA – FINES AND LEGAL PENALTIES


Fines Fines less than $_______________are levied.

Fines between $_______________and $_______________are levied.

Fines greater than $_______________are levied.

Lawsuits

Non-frivolous lawsuit or lawsuits less than $_______________ are filed against the organization, or frivolous lawsuit(s) are filed against the organization.

Non-frivolous lawsuit or lawsuits between $_______________ and $_______________are filed against the organization.

Non-frivolous lawsuit or lawsuits greater than $_______________ are filed against the organization.

Investigations

No queries from government or other investigative organizations

Government or other investigative organization requests information or records (low profile).

Government or other investigative organization initiates a high-profile, in-depth investigation into organizational practices.

Other:

L-6

Allegro Worksheet 6 RISK MEASUREMENT CRITERIA – USER DEFINED


L-7

Allegro Worksheet 7 IMPACT AREA PRIORITIZATION WORKSHEET

PRIORITY IMPACT AREAS

Reputation and Customer Confidence

Financial

Productivity

Safety and Health

Fines and Legal Penalties

User Defined

L-8

Allegro Worksheet 8 CRITICAL INFORMATION ASSET PROFILE

(1) Critical Asset

What is the critical information asset?

(2) Rationale for Selection

Why is this information asset important to the organization?

(3) Description

What is the agreed-upon description of this information asset?

(4) Owner(s)

Who owns this information asset?

(5) Security Requirements

What are the security requirements for this information asset?

Confidentiality Only authorized personnel can view this information asset, as follows:

Integrity Only authorized personnel can modify this information asset, as follows:

Availability

This asset must be available for these personnel to do their jobs, as follows:

This asset must be available for _____ hours, _____ days/week, _____ weeks/year.

Other This asset has special regulatory compliance protection requirements, as follows:

(6) Most Important Security Requirement

What is the most important security requirement for this information asset?

Confidentiality Integrity Availability Other

L-9A

Allegro Worksheet 9a INFORMATION ASSET RISK ENVIRONMENT MAP (TECHNICAL)

INTERNAL

CONTAINER DESCRIPTION OWNER(S)

1.

2.

3.

4.

EXTERNAL


1.

2.

3.

4.

L-9B

Allegro Worksheet 9b INFORMATION ASSET RISK ENVIRONMENT MAP (PHYSICAL)

INTERNAL


1.

2.

3.

4.

EXTERNAL


1.

2.

3.

4.

L-9C

Allegro Worksheet 9c INFORMATION ASSET RISK ENVIRONMENT MAP (PEOPLE)

INTERNAL PERSONNEL

NAME OR ROLE/RESPONSIBILITY DEPARTMENT OR UNIT

1.

2.

3.

4.

EXTERNAL PERSONNEL

CONTRACTOR, VENDOR, ETC. ORGANIZATION

1.

2.

3.

4.

L-10

Allegro - Worksheet 10 INFORMATION ASSET RISK WORKSHEET

Info

rmat

ion

Ass

et R

isk

Thre

at

Information Asset

Area of Concern

(1) Actor Who would exploit the area of concern or threat?

(2) Means How would the actor do it? What would they do?

(3) Motive What is the actor’s reason for doing it?

(4) Outcome What would be the resulting effect on the information asset?

Disclosure

Modification

Destruction

Interruption

(5) Security Requirements How would the information asset’s security requirements be breached?

(6) Probability What is the likelihood that this threat scenario could occur?

High Medium Low

(7) Consequences What are the consequences to the organization or the information asset owner as a result of the outcome and breach of security requirements?

(8) Severity How severe are these consequences to the organization or asset owner by impact area?

Impact Area

Value Score

Reputation & Customer Confidence

Financial

Productivity

Safety & Health

Fines & Legal Penalties

User Defined Impact Area

Relative Risk Score

PENILAIAN RISIKO SISTEM INFORMASI PADA BINA NUSANTARA MENGGUNAKAN METODE OCTAVE

ALLEGRO

GROUP FIELD PROJECT

Welly 1022200770

Mikewati 1022200814

Program Pascasarjana Ilmu Komputer

PROGRAM STUDI MAGISTER MANAJEMEN SISTEM INFORMASI JENJANG S2

UNIVERSITAS BINA NUSANTARA

JAKARTA

2011


ALLEGRO

Mikewati, Welly, dan Ford Lumban Gaol

LAPORAN TEKNIS

Jakarta 26 Januari 2012

Menyetujui:

Ford Lumban Gaol, S.Si, M.Kom, Dr


ALLEGRO

ABSTRAK

Penggunaan teknologi sistem informasi dalam perusahaan akan menimbulkan risiko –risiko. Tujuan penulisan thesis ini adalah mendukung manajemen risiko sistem informasi dalam perusahaan dengan melakukan sebuah penilaian risiko sistem informasi dengan menggunakan metode OCTAVE Allegro. Pengunaan metode OCTAVE Allegro dalam analisis risiko akan menghasilkan rencana mitigasi dan strategi keamanan bagi perusahaan. Rencana mitigasi dan strategi keamanan ini diharapkan dapat mendukung manajemen risiko sistem informasi dalam perusahaan dan meminimalisir kerusakan yang mungkin dapat ditimbulkan dari ancaman – ancaman yang ada.

Kata kunci: Penilaian risiko sistem informasi, OCTAVE Allegro

ABSTRACT

The use of information system technology within an enterprise will create risks. The goal of this thesis is to support information system risk management within the enterprise by doing information system risk assessment using OCTAVE Allegro. The use of OCTAVE Allegro on risks analysis will create mitigation plans and security strategies to the enterprise. This mitigation plans and security strategies are expected to support risk management within the enterprise and minimize the damage that may result from threats that exist.

Keywords: Information System Risk Assessment, OCTAVE Allegro

PENDAHULUAN

Latar Belakang

Dewasa ini penggunaan teknologi informasi dalam perusahaan merupakan hal yang

umum. Dalam penggunaannya, penggunaan teknologi informasi akan memunculkan risiko -

risiko. Pengelolaan terhadap risiko – risiko ini merupakan hal yang perlu diperhatikan. Salah

satu langkah awal perusahaan dalam mengelola risiko – risiko ini, perusahaan dapat

melakukan pengukuran terhadap risiko teknologi informasi (penilaian risiko).

Banyak metode yang dapat digunakan untuk melakukan penilaian risiko. Metode

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) merupakan

salah satu metode yang dapat digunakan oleh perusahaan sebagai acuan untuk melakukan

penilaian risiko. Metode OCTAVE sendiri memiliki tiga varian, yaitu OCTAVE, OCTAVE-S,

dan OCTAVE Allegro. Metode yang digunakan dalam penulisan ini adalah metode OCTAVE

Allegro, dimana metode ini merupakan modifikasi dari metode OCTAVE. Perbedaan yang

mendasar dari OCTAVE dan OCTAVE Allegro adalah bahwa pendekatan OCTAVE Allegro

lebih ditujukan secara spesifik kepada aset informasi dan data yang mendukung informasi

tersebut.

Rumusan Permasalahan

Rumusan permasalahan yang mendasari dilakukannya penilaian risiko pada Bina

Nusantara adalah :

1. Belum pernah diadakannya penilaian risiko pada Bina Nusantara yang

menyebabkan kesulitan dalam menilai seberapa besar dampak dari risiko yang

muncul.

2. Belum adanya kebijakan formal terkait keamanan teknologi informasi. Hal ini

menimbulkan lambannya tindakan yang harus diambil untuk mencegah risiko

yang mungkin terjadi dan penanggulangannya.

3. Kesulitan dalam mengkomunikasikan pentingnya nilai dari aset informasi yang

dimiliki karena tidak adanya dokumentasi atau data - data yang mendukung.

Tujuan dan manfaat

Tujuan penulisan ini adalah membantu Bina Nusantara dalam mengevaluasi

risiko – risiko terkait dengan aset informasi serta melindungi risiko – risiko tersebut

dengan merancang strategi perlindungan.

Manfaat yang ingin dicapai dalam penelitian ini adalah:

• Mengelola penilaian risiko secara mandiri (self directed) bagi organisasi.

• Mengidentifikasi risiko keamanan yang dapat menghambat visi dan misi

organisasi.

• Membuat keputusan terbaik untuk risiko – risiko tersebut.

• Membuat strategi perlindungan yang dirancang secara khusus untuk

mengurangi risiko keamanan informasi yang memiliki prioritas tertinggi.

• Merancang kebutuhan dan regulasi.

• Pihak manajemen dapat secara efektif mengkomunikasikan nilai - nilai

penting informasi keamanan informasi.

Ruang Lingkup

1. Penilaian risiko dilakukan pada IT Directorate Bina Nusantara.

2. Penilaian risiko dilakukan pada operasional Bina Nusantara dengan berfokus pada

perlindungan aset informasi yang penting .

3. Metode yang digunakan dalam melakukan penilaian risiko adalah metode

OCTAVE Allegro.

Kerangka pikir

Kerangka pikir dalam penelitian ini dapat digambarkan seperti dibawah:

Gambar 7. Kerangka Pikir

1. Studi pendahuluan

Pada tahap ini, didefinisikan latar belakang dari penelitian. Tahap ini dimulai

dengan mendiskusikan ide penelitian terhadap perwakilan dari Bina Nusantara dan

apa saja yang akan dilakukan dengan tesis ini. Langkah selanjutnya adalah

mempelajari struktur organisasi Bina Nusantara, mempelajari proses bisnis Bina

Nusantara dan mempelajari sistem informasi Bina Nusantara. Selain itu, dilakukan

pencarian artikel yang berkaitan dengan manajemen risiko sistem informasi melalui

buku-buku, internet dan juga melalui dosen pembimbing tesis. Dari ide yang muncul,

didiskusikan dengan dosen pembimbing dan ide - ide tersebut digunakan pada

tahapan berikutnya, yaitu perumusan masalah.

2. Perumusan Masalah

Pada tahapan ini, dilakukan identifikasi permasalahan yang akan dibahas.

Identifikasi dan perumusan permasalahan dilakukan agar sasaran penelitian tidak

keluar dari alur yang dibuat.

3. Tujuan dan Manfaat yang Ingin Dicapai

Pada tahapan ini tim menentukan tujuan dan manfaat yang ingin dicapai dari

penelitian yang akan dilakukan.

4. Studi Kepustakaan

Setelah semua proses di dalam studi pendahuluan dilakukan, proses

selanjutnya adalah pembelajaran literatur yang berhubungan dengan penilaian risiko.

Studi literatur ini dilakukan agar dapat menghasilkan suatu acuan dasar yang dapat

digunakan dalam penelitian. Studi literatur dilakukan melalui jurnal-jurnal, buku-buku

dan juga melalui internet.

5. Pengumpulan data

Bersamaan dengan studi kepustakaan yang dilakukan, peneliti melakukan

pengumpulan data dengan cara:

a. Observasi

Mengamati kegiatan – kegiatan yang berhubungan dengan risiko TI pada IT

Directorate dan business unit atau directorate yang terkait secara langsung. Di

dalam observasi ini juga dilakukan pengumpulan dokumen – dokumen yang

terkait dengan risiko TI yang ada pada Bina Nusantara, khususnya pada IT

Directorate. Contoh dokumen pada studi dokumentasi dapat berupa dokumen

kebijakan (misalnya, dokumentasi, arahan), dokumentasi sistem (misalnya,

buku petunjuk, desain sistem dan persyaratan dokumen), dan dokumentasi

yang berkaitan dengan keamanan (misalnya, laporan audit sebelumnya,

laporan penilaian risiko, hasil tes sistem, rencana keamanan sistem, kebijakan

keamanan) yang dapat memberikan informasi yang baik mengenai kontrol

keamanan yang digunakan oleh dan direncanakan untuk sistem TI.

b. Wawancara

Melakukan pengumpulan data yang dilakukan dengan bertanya dan

mendengarkan jawaban langsung dari narasumber.

6. Analisis Menggunakan Metode OCTAVE Allegro

Terdapat empat tahapan utama dalam metode OCTAVE Allegro, yaitu:

a. Membangun drivers

b. Membuat profil aset

c. Mengidentifikasi ancaman

d. Mengidentifikasi dan mengurangi risiko

Lebih jelasnya mengenai metode OCTAVE Allegro, akan dibahas pada sub bab 3.4.

7. Rekomendasi Kebijakan Manajemen Risiko

Rekomendasi dan kebijakan manajemen risiko dijelaskan pada sub bab 3.4,

metode OCTAVE Allegro langkah 8.

Dalam penelitian ini penulis melakukan penelitian kualitatif dimana pada akhir

pembahasan nantinya penulis memberikan hasil berupa pendekatan pengurangan risiko sesuai

dengan hasil yang diberikan oleh metode OCTAVE Allegro.

RANGKUMAN HASIL PEMBAHASAN

Hasil rangkuman yang dibuat berdasarkan 8 langkah OCTAVE Allegro yang ada.

Dari tiap – tiap langkah yang ada, akan dijabarkan hasil apa saja yang didapat.

Langkah 1 – Membangun Kriteria Pengukuran Risiko

Dalam langkah 1, ada dua aktivitas yaitu penentuan impact area dan penentuan skala

prioritas pada impact area yang telah ditentukan. Dari lima impact area yang

ditentukan (reputasi dan kepercayaan pelanggan, finansial, produktivitas, keamanan

dan kesehatan, dan denda dan penalti), diperoleh hasil sebagai berikut:

Impact area - Reputasi dan kepercayaan pelanggan

Dampak terhadap reputasi dan kepercayaan pelanggan dikategorikan high

(tinggi) jika reputasi terkena dampak sangat buruk hingga hampir tidak dapat

diperbaiki

Dampak terhadap kerugian pelanggan dikategorikan high (tinggi) jika terjadi

lebih dari 10% pengurangan pelanggan yang diakibatkan hilangnya

kepercayaan

Impact area - Finansial

Dampak terhadap biaya operasional dikategorikan high (tinggi) jika terjadi

peningkatan lebih dari 10% pada biaya operasional per tahun

Dampak terhadap revenue loss dikategorikan high (tinggi) jika terjadi lebih

dari 10% per tahun revenue loss

Dampak terhadap one-time financial loss dikategorikan high (tinggi) jika

terjadi lebih dari Rp.100.000.000,-

Impact area - Produktivitas

Dampak terhadap jam kerja karyawan dikategorikan high (tinggi) jika jam

kerja karyawan meningkat lebih dari 10% dari 7 sampai dengan 14 hari

Impact area - Keamanan dan Kesehatan

Dampak terhadap kehidupan dikategorikan high (tinggi) jika terjadi hilangnya

nyawa pelanggan atau karyawan

Dampak terhadap kesehatan dikategorikan high (tinggi) jika terjadi penurunan

permanen dari kesehatan pelanggan atau karyawan

Dampak terhadap Keselamatan dikategorikan high (tinggi) jika keselamatan

pelanggan atau karyawan terganggu

Impact area - Denda dan Penalti

Denda dikategorikan high (tinggi) jika bernilai lebih dari Rp.100.000.000,-

Tuntutan Hukum dikategorikan high (tinggi) jika tuntutan dengan nilai lebih

dari Rp.100.000.000,- akan dikenakan kepada Bina Nusantara.

Investigasi dikategorikan high (tinggi) jika pemerintah atau organisasi

investigasi lainnya akan memulai penyelidikan yang lebih mendalam terhadap

praktek Bina Nusantara terkait dengan tuntutan.

Dari kelima impact area tersebut, reputasi dan kepercayaan pelanggan

merupakan prioritas yang paling pertama diikuti oleh finansial, denda dan

penalti, produktivitas, serta keamanan dan kesehatan.

Langkah 2 – Mengembangkan Information Asset Profile

Aset informasi yang berhasil diidentifikasikan sebanyak 17, namun dari 17 aset

tersebut didapatkan 9 aset informasi kritikal yaitu profil dosen, profil mahasiswa,

jadwal kuliah mahasiswa, jadwal mengajar dosen, transaksi nilai mahasiswa, konten

materi kuliah, transaksi pembayaran uang kuliah, absensi kelas, dan kehadiran dosen.

Pertimbangan – pertimbangan dalam memilih aset informasi kritikal tersebut adalah:

‐ Aset Informasi yang penting bagi Bina Nusantara

‐ Aset informasi yang digunakan dalam kegiatan operasional sehari – hari

‐ Aset informasi yang jika hilang, dapat mengganggu kemampuan Bina

Nusantara untuk mencapai tujuan dan misi perusahan

Ada tiga kebutuhan keamanan, yaitu confidentiality, integrity, dan availability. Dari

profil aset informasi ini, kebutuhan keamanan yang paling penting, mayoritas terletak

pada integrity. Hal ini dikarenakan aset informasi harus dapat dipertanggungjawabkan

kebenarannya untuk digunakan dalam berbagai kegiatan operasional di Bina

Nusantara.

Di bawah ini merupakan contoh dari profil aset untuk profil mahasiswa.

Critical Asset Profil mahasiswa Rationale for Selection Mahasiswa mempunyai peran penting dalam

proses bisnis yang ada pada core process Binus. Profil mahasiswa sendiri digunakan hamper di setiap proses yang ada di Binus itu sendiri. Profil mahasiswa yang dicatat dan digunakan merupakan data yang dimulai saat mahasiswa tersebut telah melalui proses penerimaan mahasiswa baru, hingga pada akhirnya mahasiswa tersebut lulus.

Description Aset ini terdiri dari data diri mahasiswa, seperti nomor pendaftaran, nomor induk mahasiswa, nama, alamat, agama, tahun angkatan, email, no hp, dsb

Owner Manajer, IS Dev Univ (ext.2310) Security Requirements

Con

fiden

tialit

y

Informasi mengenai profil mahasiswa bersifat privasi bagi mahasiswa, sehingga dijaga agar tidak disalah gunakan oleh pihak yang tidak bertanggung jawab. Informasi ini hanya diberikan akses ke pihak-pihak tertentu untuk tujuan membantu mahasiswa. Contohnya: admisi, jurusan, kemahasiswaan, alumni, binuscareer, biro nilai, web parent, dsb.

Inte

grity

Informasi ini harus diisi, namun terbuka kemungkinan untuk merubah data oleh mahasiswa tersebut lewat binusmaya atau dibantu oleh SRSC. Contoh perubahan profil mahasiswa: ganti no hp, ganti alamat.

Ava

ilabi

lity Informasi ini harus tersedia bagi mahasiswa,

layanan mahasiswa, binus career, jurusan, kemahasiswaan, alumni, binuscareer, biro nilai, web parent, dsb.

Most Important Security Requirement

Integrity Alasan: profil mahasiswa haruslah benar dan up to date karena profil mahasiswa ini banyak digunakan untuk berbagai keperluan saat perkuliahan berlangsung, seperti penagihan dan pelunasan pembayaran, beasiswa, sertifikat seminar yang diadakan di lingkungan Bina Nusantara, Penjadwalan kuliah dan ujian, serta untuk keperluan wisuda. Jika data ini sejak awal salah, maka akan berpengaruh ke banyak area.

Langkah 3 – Identifikasi Information Asset Containers

Information asset container terbagi menjadi tiga, yaitu technical, physical, dan people

dimana masing-masing mempunyai sisi internal dan eksternal. Dari 9 critical asset

information, yang paling banyak mempunyai container adalah profil mahasiswa.

Profil mahasiswa diakses, disimpan, atau dikirim melalui dua database, tiga belas

aplikasi, dua jenis kontainer fisik, dan staff – staff dari sembilan unit kerja.

Langkah 4 – Identifikasi Areas of Concern

Profil mahasiswa juga mempunyai area of concern yang paling banyak. Dari area of

concern tersebut, yang paling sering adalah bug/error pada aplikasi dan pemanfaatan

celah keamanan lewat aplikasi baik pihak dalam maupun luar, serta kesalahan saat

deploy aplikasi.

Langkah 5 – Identifikasi Threat Scenarios

Areas of concern kemudian diperluas menjadi threat scenario yang mendetailkan

lebih jauh mengenai property dari threat. Properti dari threat antara lain, actor,

means, motives, outcome, dan security requirement.

Di bawah ini merupakan salah satu contoh threat scenarios dari profil mahasiswa.

1

Area Of Concern Threat Properties Dikarenakan jumlah profil mahasiswa yang banyak, terjadi kesalahan dalam peng-inputan data oleh staff SRSC

1.Actor staff SRSC 2.Means Staff menggunakan aplikasi

stusi 3.Motives Terjadi karena human error

(accindental) 4.Outcome Modification, Interruption 5.Security Requirements

Penambahan validasi – validasi terhadap field-field yang diinput oleh Staff

Langkah 6 – Identifikasi Risiko

Langkah ini bertujuan untuk menentukan bagaimana threat scenario yang

telah dicatat dapat memberikan dampak bagi perusahaan dimulai dengan mereview

risk measurement criteria, fokus terhadap bagaimana definisi dampak high (tinggi) ,

medium, dan low untuk perusahaan. Kemudian relative risk score akan dihitung.

Relative risk score dapat digunakan untuk menganalisa risiko dan membantu

organisasi untuk memutuskan strategi terbaik dalam menghadapi risiko. Setiap area

of concern tiap information asset yang telah didefinisikan, dipertimbangkan

konsekuensi yang mungkin terjadi. Konsekuensi tersebut mempunyai impact area

yang dinilai tingkat value-nya yang kemudian diberikan score. Score diperoleh

melalui perkalian priority dengan value dari impact area. Cara menghitung score

dapat dilihat di tabel di bawah ini.

Impact Areas Priority Low Moderate High

(1) (2) (tinggi) (3)

Reputasi dan kepercayaan

pelanggan 5 5 10 30 Finansial 4 4 8 12

Produktivitas 2 2 4 6 Keamanan dan

Kesehatan 1 1 2 3 Denda dan Penalti 3 3 6 9

Langkah 7 – Analisis Risiko

Di bawah ini adalah salah satu setiap area of concern dari information asset yang

telah didefinisikan dan dipertimbangkan konsekuensi yang mungkin terjadi

berdasarkan relative risk score. Dari hasil pengamatan, rata-rata yang paling besar

scorenya adalah Reputation & Customer Confidence.

1

Area Of Concern Risk Dikarenakan jumlah profil mahasiswa yang banyak, terjadi kesalahan dalam peng-inputan data oleh staff SRSC

Consequences

Staff SRSC harus mendatakan ulang data-data yang salah lewat aplikasi atau bantuan dari staff IT sehingga banyak waktu yang terbuang untuk menginputnya.

Severity

Impact Area Value Score Reputation & Customer Confidence

Med 10

Financial Low 4 Productivity High (tinggi) 6 Safety & Health Low 1 Fines & Legal Penalties

Low 3

Relative Risk Score 24

Langkah 8 – Pemilihan Mitigation Approach

Dari pengelompokan risiko yang ada, selanjutnya diambil langkah mitigasi

risiko – risiko tersebut. Pembagian pengambilan langkah mitigasi dikelompokkan

menjadi:

Relative Risk Matrix

Risk Score

30 to 45 16 to 29 0 to 15

POOL 1 POOL 2 POOL3

POOL Mitigation Approach

1 Mitigate

2 Defer/Mitigate

3 Accept

Berikut ini merupakan contoh mitigasi risiko atas area of concern.

1

Risk Mitigation

Area of Concern Staff IT yang dapat memasukkan malicious code Action Mitigate Container Control

Staff IT Mengadakan training secara regular terhadap staff mengenai tanggung jawab dalam melindungi information asset.

2

Area of Concern

Penyebaran hak akses(password) terhadap aplikasi siskul yang dapat mengakses data dosen oleh staff AOC yang memiliki akses

Action Mitigate Container Control Aplikasi siskul Dibuat pergantian password secara berkala.

Staff AOC Dilakukan penyuluhan terhadap staff AOC mengenai pentingnya keamanan password.

Staff AOC Jika terjadi kesalahan dalam input data, maka staff yang bersangkutan akan dikenakan sanksi.

KESIMPULAN DAN SARAN

Kesimpulan

Dari penilaian yang dilakukan pada Bina Nusantara, maka diperoleh kesimpulan

sebagai berikut:

1. Bina Nusantara belum pernah melakukan evaluasi untuk menilai aset infomasi yang

sifatnya kritikal serta ancaman dan risiko yang mungkin terjadi.

2. Bina Nusantara belum pernah membuat perencanaan pengurangan risiko untuk

mengurangi risiko-risiko yang mungkin terjadi.

3. OCTAVE Allegro merupakan suatu evaluasi risiko keamanan informasi yang sifatnya

self-directed yang memungkinan organisasi untuk membuat keputusan dalam

perlindungan informasi berdasarkan risiko terhadap confidentiality, integrity, dan

availability dari aset informasi kritikal.

4. Untuk membuat keputusan perlindungan informasi yang paling terbaik, sangat

penting untuk mengidentifikasikan ancaman atas aset kritikal. Secara kolektif, semua

sumber dari ancaman didokumentasikan dalam threat profile. Threat profile dapat

digunakan untuk mengidentifikasikan serangkaian threat terhadap setiap critical

asset. Jika organisasi mengerti ancaman dari aset kritikal, maka langkah selanjutnya

akan sangat mudah untuk mengerti risiko terhadap organisasi dan mengambil

langkah-langkah untuk mengurangi risiko tersebut.

5. Hasil dari serangkaian langkah dalam penilaian risiko di Bina Nusantara adalah:

• Langkah 1 – Membangun Kriteria Pengukuran Risiko: Menentukan impact area

dari Bina Nusantara. Impact area yang dipilih adalah reputasi dan kepercayaan

pelanggan, financial, produktivitas, keamanan dan kesehatan, dan denda dan penalti.

Dari masing-masing impact area ini, diberikan penilaian kondisi seperti apakah

impact area tersebut dikatakan low, medium, dan high. Selain itu, masing-masing

impact area diberikan skala prioritas. Reputasi dan kepercayaan pelanggan

merupakan prioritas terbesar yang dipilih karena jika reputasi dan kepercayaan

pelanggan terjaga atau meningkat, maka customer akan menyebarkannya dari mulut

ke mulut sehingga membuka peluang untuk lebih banyak mahasiswa yang masuk ke

Bina Nusantara.

• Langkah 2 – Mengembangkan Information Asset Profile: Untuk menentukan aset

informasi apa saja yang kritikal bagi Bina Nusantara, assessment dilakukan dengan

berfokus kepada core process dari binus itu sendiri. Awalnya aset-aset penting

didefinisikan bersama dengan Manajer IS Dev Univ. Dari kumpulan aset penting

tersebut, aset informasi kritikal yang berhasil diidentifikasikan dalam penulisan ini

adalah: Profil dosen, Profil mahasiswa, Jadwal kuliah mahasiswa, Jadwal mengajar

dosen, Transaksi nilai mahasiswa, Konten materi kuliah, Transaksi pembayaran

uang kuliah, Absensi Kelas, dan Kehadiran dosen.

• Langkah 3 – Identifikasi Information Asset Containers: Information asset

containers dimana aset informasi kritikal Bina Nusantara tersebut disimpan,

dipindahkan, atau diproses diidentifikasikan dengan membagi container dalam

kategori technical, physical, dan people.

• Langkah 4 – Identifikasi Areas of Concern: Areas of concern diidentifikasikan

dengan melihat container yang telah diidentifikasikan di langkah sebelumnya.

• Langkah 5 – Identifikasi Threat Scenarios: Areas of concern diperluas menjadi

threat scenario yang mendetailkan lebih jauh mengenai property dari threat.

• Langkah 6 – Identifikasi Risiko: Langkah ini bertujuan untuk menentukan

bagaimana threat scenario yang telah dicatat dalam dapat memberikan dampak bagi

perusahaan.

• Langkah 7 – Analisis Risiko: Pada tahap ini, pengukuran secara kualitatif dilakukan

dengan menghitung score untuk setiap risiko pada information asset.

• Langkah 8 – Pemilihan Mitigation Approach: Menentukan tindakan-tindakan yang

dapat dilakukan untuk memitigasi setiap risiko.

Saran

Saran yang dapat diusulkan dalam penelitian ini adalah sebagai berikut:

1. Membuat peraturan yang tertulis mengenai tanggung jawab dalam menjaga keamanan

informasi dan sanksi bagi yang melanggar serta melakukan sosialisasi mengenai

peraturan tersebut secara bertahap kepada karyawan Bina Nusantara.

2. Membuat simulasi secara visual untuk memudahkan karyawan untuk mengerti

bagaimana pentingnya aset informasi, ancaman dan risiko yang mungkin terjadi, serta

konsekuensi yang harus mereka hadapi bila terjadi.

3. Melakukan evaluasi keamanan informasi kembali dengan menggunakan Octave

Allegro secara berkala, misalnya satu tahun sekali.

4. Untuk penulisan berikutnya, ruang lingkup penulisan dapat menggunakan area lain di

IT Directorate Bina Nusantara, seperti bagian school, function, atau bisnis unit yang

lain, seperti marketing dan HRD.

DAFTAR PUSTAKA

Christopher Alberts, A. D. (2002). Managing Information Security Risks: The OCTAVE

Approach . Addison Wesley.

Conner, B., Noonan, T., & Holleyman II, R. (2004). Information Security Governance:

Toward a Framework for Action. (Business Software Alliance).

Gary Stoneburner, A. G. (2002). Risk Management Guide for Information Technology

Systems . Computer Security Division Information Technology Laboratory National Institute

of Standards and Technology.

Jake Kouns, D. M. (2010). Information Technology Risk Management In Enterprise

Enviroments. New Jersey: John Wiley & Sons.

McLeod Jr.,R., Schell, G. (2004). Sistem Informasi Manajemen, edisi ke-8. Terjemahan

Widyantoro, Agus, PT. Indeks, Jakarta.

Marie Wright, Third generation risk management practices, Computer Fraud & Security,

Volume 1999, Issue 2, February 1999, Pages 9-12, ISSN 1361-3723, 10.1016/S1361-

3723(99)80005-0.

Michael E. Whitman and Herbert J.Mattord (2010). Management of Information Security,3rd

Edition. Thomson-Course Technology.

Mulyadi. (1997). Sistem Akuntansi, edisi ke-3, cetakan ke-2. Bagian Penerbitan Sekolah

Tinggi Ilmu Ekonomi YKPN, Yogyakarta.

O’Brien, James. (2006). Pengantar Sistem Informasi – Perspektif Bisnis dan Manajerial,

edisi ke-12. Terjemahan Fitriasari,D., dan Deny Arnos Kwary. Salemba Empat. Jakarta.

Schwartz, M. , “Computer security: Planning to protect corporate assets,” Journal of

Business Strategy, vol. 11(1), pp. 38-41, 1990.

Saint-Germain, R. “Information security management best practice based on ISO/IEC

17799,” The Information Management Journal, vol. August 2005, pp. 60-66, 2005.

Van de Haar, H., & von Solms, R. (2003, April). Deriving Information Security Control

Profiles for an Organization. Computers & Security, 22 (3), 233 – 244.

Technical Department of ENISA Section Risk Management. (2006). Risk Management:

Implementation principles and Inventories for Risk Management/Risk Assessment methods

and tools . ENISA.

Wilkinson, J. W. (1995). Sistem Akuntansi dan Informasi, jilid ke-1, edisi ke-2, cetakan ke-4.

Terjemahan Sinaga, M. Erlangga. Jakarta.

Woody, C. (2006). Applying OCTAVE: Practitioners Report . Carnegie Mellon University.

allegro worksheet 1 - thesis.binus.ac.idthesis.binus.ac.id/doc/lampiran/tsa-2012-0023 lam.pdf · 5...

Documents