Vol . X Nomor 30 Nopember 2015 - Jurnal Teknologi Informasi
ISSN : 1907-2430
AUDIT KEAMANAN SISTEM INFORMASI KANTOR BAPPEDA KABUPATEN SLEMAN Andriyan Dwi Putra1, Wing Wahyu Winarno2, Roy Rudolf Huizen3 1,3
Magister Teknik Informatika STMIK AMIKOM Yogyakarta 2 STIE YKPN Yogyakarta 1 E-mail:
[email protected],
[email protected],
[email protected]
ABSTRAK Pencegahan dapat menghindarkan dari timbulnya kejahatan, kerugian yang besar, atau biaya yang besar dalam upaya melakukan deteksi terhadap sistem informasi yang rentan terhadap celah keamanan (security hole) sistem informasi. Untuk mengelola risiko yang mungkin terjadi terhadap sistem informasi BAPPEDA Kabupaten Sleman, perlu dilakukan audit sistem informasi dalam konteks risiko, guna mengurangi kerugian kerugian yang mungkin terjadi pada sistem informasi BAPPEDA Kabupaten Sleman. Metode OCTAVE-S digunakan dalam penelitian ini karena metode tersebut mampu mengelola risiko dan mengenali tingkat risiko yang mungkin terjadi pada sebuah sistem informasi. Dan berdasarkan analisa OCTAVE-S maka mendapatkan hasil bahwa masih ada beberapa praktek keamanan yang perlu mendapatkan perhatian khusus yaitu sistem crash dan kode berbahaya pada bagian sistem 22,67% faktor kesengajaan pada akses fisik rata- rata 21% , akses jaringan rata- rata 24,51%, dan masalah pihak ketiga pada faktor lainnya sebesar 15,17%. Dengan hasil tersebut, maka dibuatlah saran/ rekomendasi pengamanan rekomendasi/ saran pemantauan dan audit keamanan fisik, rekomendasi/ saran pengamanan sistem informasi, rekomendasi terkait akses jaringan dan kebijakan masalah pihak ketiga. Dengan harapan dapat membantu pihak BAPPEDA mengurangi tingkat resiko yang dihadapi. Kata Kunci— Audit, BAPPEDA Sleman, OCTAVE-S ABSTRACT The prevention is able to avoid the crime, many losses or costs in the detection of vulnerable information system for security hole of information system. To manage the possible risk of information system in BAPPEDA Sleman, It is necessary the audit of information system in the context of risk for reduce the risks of the information system in BAPPEDA Sleman. This research is using OCTAVE-S method because it is able to manage the risks and identify the level of risk that possible found in an information system. And based on the analysis by OCTAVE-S method, the results are; there are still some security practices that need special attention, namely; a crash system and malicious code of system is 22.67%. Intentional factor’s average of physical access is 21%, the average of network access is 24, 51%, and the problem of third parties in the other factors is 15.17%.By the results, the suggestion /safety recommendation, recommendation/ monitoring suggestion and physical security audit, recommendation/ suggestion securing information system, recommendation regarding network access and third party policy issues are made. Hopefully, those can help BAPPEDA to reduce the risks. Keywords— Audit, BAPPEDA Sleman, OCTAVE-S Mengingat
PENDAHULUAN
kebijakan,
Sistem Informasi saat ini merupakan sumber
pentingnya prosedur
informasi, dan
maka
mekanisme
daya yang sangat penting, mempunyai nilai
pengamanan sistem informasi
yang tinggi. Kemudahan dan keuntungan dapat
menjamin informasi yang ada didalamnya
kita rasakan dengan diimplementasikannya
dapat terlindungi dengan baik dari ancaman
sistem informasi. Tetapi perlu disadari bahwa
yang sewaktu waktu bisa terjadi[2]. Oleh karena
semakin
itu untuk mengelola risiko yang mungkin terjadi
banyak
sistem
informasi
yang
diterapkan, semakin banyak sistem informasi
terhadap
yang rentan akan ancaman[1].
Kabupaten Sleman, perlu 1
sistem
harus mampu
informasi
BAPPEDA
dilakukan audit
Vol . X Nomor 30 Nopember 2015 - Jurnal Teknologi Informasi
ISSN : 1907-2430
sistem informasi dalam konteks risiko, guna
penelitian pemecahan masalah, dimana akan
mengurangi kerugian kerugian yang mungkin
terjadi kombinasi atau kolaborasi antara peneliti
terjadi
dengan objek/ client dalam rangka mencapai
pada
sistem
informasi
BAPPEDA
Kabupaten Sleman
sebuah tujuan [5]. Ada empat langkah yang ada
Pramudya, pada tahun 2013 tentang
dalam metode penelitian tindakan, perencanaan,
Pengukuran Risiko Teknologi Informasi Pada
tindakan, pengamatan dan penilaianp[6]. Ke
Kementerian Pendayagunaan Aparatur Negara
empat
Dan Reformasi Birokrasi Menggunakan Metode
sistematis. Dalam penelitian lain kembali ke
OCTAVE-S juga
mendapatkan hasil atau
perencaan merupakan hal yang mutlak jika
simpulan. Diantaranya adalah dari lima belas
terjadi atau ditemukan hasil yang belum sesuai,
praktek
namun
keamanan
Instansi
Kementerian
langkah
hal
tersebut
yang
spesial
saat
melakuan
ketidak
sesuaian
penelitian
Birokrasi memiliki tiga kelemahan yang berada
merupakan temuan bagi penelitian ini untuk
pada area merah tersebut yaitu dalam hal :
membuat rencana mitigasi.
Keamanan,
Pengesahan
karena
secara
Pendayagunaan Aparatur Negara dan Reformasi
Kebijakan
audit,
dilakukan
dan
Otorisasi, serta Manajemen Insiden[3]. Disa juga meneliti tentang analisis risiko keamanan sistem informasi akademik STMIK
AKBA
Makasar
dengan
metode
OCTAVE-S. Menghasilkan Persentase total risiko
(dengan
klasifikasi)
Sedangkan
Persentase
klasifikasi)
sebesar
sebesar
44,8.
risiko
(tanpa
total 67,3.
Dengan
hasil
persentasi tersebut, maka dapat dikatakan
Gambar 1. Alur action research [7]
bahwa tingkat keamanan sistem informasi pada
2.1 Metode Analisis Data
STMIK AKBA makassar tergolong sedang[4].
Untuk melakukan analisis lingkungan internal
METODE PENELITIAN
eksternal
diperlukan
metode
analisis yang tepat dan sesuai, sehingga
Metode penelitian yang digunakan dalam penelitian kali ini
dan
metode
metode analisis yang bisa dipakai sesuai dengan
penelitian tindakan. Penelitian tindakan sering
kebutuhan dalam hal ini kaitannya dengan
juga
sistem
disebut
penelitian
action ini
adalah
nantinya akan memudahkan dalam Ada banyak
research
menuntut
dikarenakan
Dalam
penelitian
ini,
bisa
menggunakan metode OCTAVE-S. Metode ini
dan
dinilai tepat untuk penggunaannya dan sesuai
menjelaskan pada suatu situasi, dimana pada
dengan beberapa referensi yang ada serta
waktu
sejalan dengan tahapan-tahapan yang ada pada
mendeskripsikan,
yang
untuk
informasi.
mengintepretasikan,
bersamaan
juga
melakukan
perubahan dengan tujuan atau goal sebuah perbaikan.
Pandangan
tradisional
framework OCTAVE.
action
research bisa dijabarkan sebagai suatu kerangka 2
Vol . X Nomor 30 Nopember 2015 - Jurnal Teknologi Informasi
2.2 Pengenalan metode OCTAVE-S
ISSN : 1907-2430
sendiri. Dalam tahap ini terdiri atas 2 proses,
Hal yang terpenting dalam sistem
yaitu
identifikasi
informasi
organisasi/
informasi adalah informasi yang terkandung
perusahaan dan membuat profil ancaman serta
didalamnya, tidak terkecuali bagi pemerintah.
memiliki enam aktivitas [9].
Sistem informasi menyimpan banyak data yang
Framework
OCTAVE-S
dapat
sangat vital,oleh sebab itu maka diperlukannya
dijabarkan menjadi 3, yang pertama adalah
pengamanan terhadap asset yang dimiliki.
membangun aset berbasis profil ancaman.
Namun pemerintah yang menjalankan strategi pengamanan
infrastruktur
pertama
adalah
sebuah
masih
mengevaluasi dari segi aspek organisasi. Selama
kecolongan karena memang dampak tingginya
dalam tahap ini, bagian ini menggambarkan
tingkat
pendekatan
kriteria dampak dari evaluasi yang akan
manajemen risiko keamanan informasi yang
digunakan nantinya untuk mengevaluasi risiko
tidak lengkap atau kurang searah dengan
perusahaan. Tahapan ini juga mengidentifikasi
masalah yang dihadapi, sehingga gagal dalam
aset-aset organisasi atau perusahaan yang
mencakup seluruh komponen risiko (aset,
penting, dan mengevaluasi praktek keamanan
ancaman, dan vulnerability)
dalam organisasi ataupun perusahaan saat ini.
ancaman.
seringkali
Tahap
Banyak
Langkah pertama untuk mengelola risiko keamanan sistem informasi
Dalam hal ini menyelesaikan tugasnya sendiri
adalah
dan mengumpulkan informasi tambahan jika
mengenali terlebih dahulu pemerintah yang
hanya diperlukan. Selanjutnya memilih 3 dari 5
menerapkan sistem informasi tersebut. Setelah
aset kritikal untuk menganalisa dasar kedalaman
risiko diidentifikasi, pemerintah dapat membuat
dari
rencana penanggulangan terhadap risiko yang
tersebut. Pada akhirnya dalam tahapan ini, tim
telah diketahui. Metode OCTAVE-S (The
menggambarkan
Operationally Critical Threat,
keamanan dan menggambarkan profil ancaman
Vulnerability
Evaluation)
Asset,
and
memungkinkan
hubungan
penting
dalam
kebutuhan
-
organisasi
kebutuhan
pada setiap aset yang dimiliki.
sebuah organisasi/pemerintah melakukan hal
Tahapan kedua identifikasi kerentanan
diatas. OCTAVE-S adalah sebuah pendekatan
infrastruktur, analisis melakukan peninjauan
terhadap evaluasi risiko keamanan informasi
ulang
yang komprehensif, sistematik, terarah, dan
infrastruktur organisasi maupun perusahaan
dilakukan
yang
sendiri.
Pendekatannya
disusun
langsung
dari
bersangkutan,
sebuah
yang
berfokus
pada
dalam satu set kriteria yang mendefinisikan
keamanan
elemen esensial dari evaluasi risiko keamanan
pemeliharaannya
informas [8].
pertama adalah menganalisis bagaimana orang-
2.3 Tahapan Metode OCTAVE-S
orang menggunakan sumber daya infrastruktur
Menurut Alberts, C dan Dorofee.A,
komputer
yang
perhitungan
pada
dari
akses
dipertimbangkan infrastruktur.
aset
kritis
Tugas
dan
OCTAVE-S mempunyai 3 tahapan terpenting
menghasilkan kunci (key) dari komponen-
yang telah
komponen. Tahapan ini memiliki sebuah proses
terdeskripsi.
Pada
bagian ini
memberikan penjelasan singkat atas tahapan,
yaitu
proses,dan kegiatan dari
dalam kaitannya dengan aset yang kritis dimana
OCTAVE-S itu 3
memeriksa
perhitungan
infrastruktur
Vol . X Nomor 30 Nopember 2015 - Jurnal Teknologi Informasi
terdapat 2 aktivitas [10].
Dari hasil analisis
ISSN : 1907-2430
berhubungan erat dengan praktek katalog
tersebut, penulis memasukkan hasil dari analisis
OCTAVE,
kedalam kertas kerja security practice. Evaluasi
menghubungkan saran untuk meningkatkan
praktek
praktek keamanan dari hasil lain.
keamanan
ini
dilakukan
penulis
sehingga
memungkinkan
untuk
menggunakan framework atau kertas kerja yang telah disediakan OCTAVE-S yaitu kertas kerja
HASIL DAN PEMBAHASAN
Security Practices, tapi dengan customized /
3.1. Gambaran Umum BAPPEDA
penyesuaian
dengan
batasan
dan
tujuan
Sekilas
penelitian, sehingga dapat dihasilkan aspek
Sistem
tentang
Informasi
gambaran
tentang
keamanan yang mendukung proses bisnis di
sistem informasi BAPPEDA, sistem informasi
BAPPEDA Kabupaten Sleman.
BAPPEDA yang dijadikan obyek penelitian adalah
Tahapan yang ketiga atau yang terakhir
sistem
informasi
penanggung
Perencanaan, penulis mengidentifikasi risiko
BAPPEDA diberi kewenangan oleh KOMINFO
dari aset kritis organisasi ataupun perusahaan
untuk
dan memutuskan apa yang nantinya harus
(bappeda.slemankab.go.id), pengelolaan website
dilakukan
identifikasi.
BAPPEDA yang ada saat ini adalah seputaran
Berdasarkan analisis dari kumpulan informasi,
memberikan informasi hal yang berkaitan
tim penulis membuat strategi perlindungan
langsung dengan BAPPEDA seperti agenda
kedepannya
ataupun
kegiatan, berita, izin penelitian, hasil penelitian,
perusahaan dan rencana mitigrasi risiko yang
pengumuman penting, dan lain- lain. Website
ditujukan
pada
BAPPEDA juga memberikan menu buku tamu
OCTAVE
yang digunakan dalam seluruh
untuk interaksi (tanya
tahapan ini mempunyai struktur yang tinggi dan
dengan pihak BAPPEDA.
untuk
aset
hasil
organisasi
kritis.
Kertas
kerja
mengelola
Gambar 3.2 Halaman Utama (bappeda.slemankab.go.id) 4
adalah
dengan
adalah Pengembangan Strategi Keamanan dan
terhadap
jawab
website
sub
jawab)
KOMINFO.
domain
masyarakat
Vol . X Nomor 30 Nopember 2015 - Jurnal Teknologi Informasi
Admin/
pengelola
dari
Website
ISSN : 1907-2430
OCTAVE-S. analisis OCTAVE-S bisa
BAPPEDA dibantu beberapa wakil dari bidang
dilihat dalam 3 fase pada bahasan selanjutnya.
yang berada di kantor BAPPEDA untuk
3.2.1
mengupload/ mengupdate
Membangun Profil Ancaman
informasi terkait
Pada proses ini menggunakan kertas
berita tentang BAPPEDA. Beberapa bidang
kerja Establish Impact Evaluation Criteria
yang diberi kewenangan untuk membantu
untuk menentukan range dari sebuah dampak
Admin adalah bidang sarana dan prasarana,
risiko yang mungkin terjadi pada kantor
bidang data informasi dan statistik, bidang
BAPPEDA Kabupaten Sleman dan menetapkan
ekonomi, bidang sosial dan pemerintahan,
ukuran (rendah, sedang, tinggi) sebagai tolok
bidang
ukur. Tabel dibawah merupakan pendefinisian
pengendalian
sekretariat.
Perbaruan
dan
evaluasi,dan
informasi
dilakukan
bobot yang dibangun.
berdasarkan bidang, dan untuk bidang yang
Area dampak ditetapkan menggunakan
belum diberikan kewenangan, informasi dikirim
parameter
yang
telah
disediakan
oleh
manual ke admin BAPPEDA. Selanjutnya
OCTAVE-S (reputasi, customer loss, biaya
Admin melakukan pengecekan (checking) 3x
operasi dan investigasi) dan untuk area dampak
sehari untuk informasi terbaru (pertanyaan,
data loss dan availability ditentukan/ dibangun
peminat informasi, ijin penelitian, dll).
berdasarkan kasus website (dibangun sendiri).
3.2 OCTAVE-S Hasil analisis menggunakan Metode OCTAVE-S ini nantinya adalah berupa temuan, prosentase risiko yang dihadapi, dan tindakan mitigasi terhadap hasil temuan dengan metode Lembar Kerja 1 Area Dampak Reputasi
Customer Loss
Biaya Operasi
Data Loss Availability
Investigasi
Tabel 1. Kertas Kerja Establish Impact Evaluation Criteria KRITERIA RISIKO PENGUKURAN Rendah
Sedang
Tinggi
Reputasi terpengaruh sedikit atau tidak adanya upaya atau beban yang diperlukan untuk memulihkan. Kurang dari 1 % penurunan pelanggan karena hilangnya kepercayaan
Reputasi rusak, dan beberapa usaha serta adanya beban yang diperlukan untuk mengembalikan 2 % sampai 7 % penurunan pelanggan karena hilangnya kepercayaan
Reputasi tidak dapat ditarik kembali (hancur atau rusak)
Kenaikan kurang dari 50 % biaya perbaikan sistem Kurang dari 1 % data hilang Terganggunya sistem membuat sistem tidak bisa diakses 1 – 2 kali dalam setahun Tidak ada pertanyaan
Biaya perbaikan sistem meningkat 50% - 70 %.
Biaya perbaikan sistem meningkat lebih dari 75 %.
3 % - 9 % data hilang
Lebih besar dari 10 % data hilang Terganggunya sistem membuat sistem tidak bisa diakses lebih dari 10 kali dalam setahun Pemerintah atau organisasi
Terganggunya sistem membuat sistem tidak bisa diakses 3 – 6 kali dalam setahun Pemerintah atau organisasi 5
Lebih dari 9 % penurunan pelanggan karena hilangnya kepercayaan
Vol . X Nomor 30 Nopember 2015 - Jurnal Teknologi Informasi
dari pemerintah atau investigasi lainnya dalam organisasi
3.2.2
ISSN : 1907-2430
investigasi lain meminta informasi atau catatan (rendah profil).
investigasi lain memulai praktek. investigasi mendalam sebuah organisasi (high profil)
Identifikasi Celah infrastruktur
seberapa amankah komponen yang terkait
Dokumentasi dan pencatatan aset kritis
dengan
pendukung
proses
bisnis.
Dari
dilakukan penulis terkait komponen utama yang
pencatatan dan dokumentasi tersebut penulis
mendukung proses bisnis. Pencatatan dilakukan
mencoba menilai dengan kertas kerja Security
agar memudahkan melanjutkan ke langkah
Practices dan kertas kerja Risk Profiles sebagai
selanjutnya seperti penentuan Sumber Daya
langkah
Manusia
keamanan sistem BAPPEDA.
yang
bertanggung
jawab
setiap
penilaian/
penentuan
tingkatan
komponennya. Penulis juga berusaha menilai Tabel 2. Elemen terkait Sub-elemen Sumber Daya Manusia yang bertanggung jawab Web Server Sistem Database sistem Sistem Kepala Web Development Email Server Network Sistem Informasi User Information Kepala Sistem Informasi BAPPEDA Aplikasi Web Aplikasi dan Service Koneksi Internet Administrator Email Analisis selanjutnya menggunakan Aplikasi web BAPPEDA yang dikelola oleh Elemen
kertas kerja Network Access Paths. Peneliti
KOMINFO
melakukan
pengamatan
melihat
langsung, tidak melalui jaringan lokal. Sehingga
bagaimana
seorang
karyawan
jarak kantor BAPPEDA dan KOMINFO yang
langsung/
staff
atau
BAPPEDA mengakses aset kritis.
terhubung
melalui
internet
bisa dikatakan agak jauh bisa diminimalisir
Proses ini adalah mengidentifikasi
dengan akses internet langsung. Aplikasi web
elemen – elemen yang terkandung di web
BAPPEDA mempunyai Web server dan Email
applikasi
identifikasi
server, sehingga masyarakat bisa melakukan
dipisah menjadi internal access dan external
kontak langsung dengan BAPPEDA tanpa
access. Tetapi dalam identifikasi kali inihanya
curiga email palsu.
BAPPEDA.
Bentuk
internal access yang ada pada sistem informasi
Impact evaluation criteria merupakan
BAPPEDA. Internal access melipusi akses
proses
karyawan ke halaman administrator aplikasi
dilakukan untuk menanggulangi risiko dicatatat
web. Sementara itu external access adalah
dan di tinjau kembali agar pengolahan data
antarmuka yang diakses oleh masyarakat.
benar – benar valid/ sama persis dengan
Aplikasi
oleh
keadaan yang ada saat ini. Level dampak
KOMINFO Kabupaten Sleman, segala data
dikelompokkan menjadi tiga : tinggi (H),
yang ada pada aplikasi web BAPPEDA
sedang (M), dan rendah (L). Penetapan nilai
tersimpan
kuantitatif pada tabel dampak risiko diberikan
web
KOMINFO
BAPPEDA
secara dan
lokal
di
tersimpan
dikelola
server cloud/
lokal online. 6
selanjutnya.
Setiap
tindakan
yang
Vol . X Nomor 30 Nopember 2015 - Jurnal Teknologi Informasi
pada setiap dampak, 100 untuk tinggi (H), 50
ISSN : 1907-2430
untuk sedang (M), dan 10 untuk rendah (L).
Tabel 3. Dampak Risiko Area
sistem crash
Sistem
gangguan / cacat software gangguan / cacat hardware kode berbahaya Akses Fisik
inside factor
inside factor
Akses Jaringan
Reputa si
Customer loss
Data loss
Availa bility
Investigati on
kerugian/ kerusakan
M
H
H
L
L
L
gangguan
M
H
H
L
L
L
kerugian/ kerusakan
M
L
H
L
L
L
gangguan
M
L
H
L
L
L
kerugian/ kerusakan
L
M
H
L
L
L
gangguan
L
M
H
L
L
L
kerugian/ kerusakan
H
L
M
L
L
L
gangguan
H
L
M
L
L
L
perubahan
M
L
M
L
L
L
kerugian/ kerusakan
L
L
L
L
L
L
gangguan
L
M
M
L
L
L
perubahan
H
M
M
H
L
L
kerugian/ kerusakan
H
M
M
M
L
L
gangguan
H
L
M
L
L
L
perubahan
M
L
M
L
L
L
kerugian/ kerusakan
L
L
L
L
M
L
gangguan
M
L
M
L
M
L
perubahan
H
M
H
M
L
L
kerugian/ kerusakan
H
L
H
M
M
L
gangguan
H
L
H
L
M
L
perubahan
H
M
H
M
M
L
kerugian/ kerusakan
H
L
H
M
M
L
gangguan
H
L
H
L
M
L
kerugian/ kerusakan
M
M
L
L
L
L
gangguan
M
M
L
L
L
L
kerugian/ kerusakan
L
L
H
M
L
L
gangguan
L
L
H
M
L
L
Faktor
inside factor
inside factor
outside factor
tidak sengaja
sengaja
tidak sengaja
sengaja
sengaja
masalah komunika si
Faktor Lain
masalah pihak ketiga
Biaya operasi
Kertas kerja Risk Profile yang telah
Bobot probabilitas dibawah ditentukan untuk
dibuat diawal memberikan informasi setiap
mendapatkan nilai yang bersifat kuantitatif.
risiko yang paling sering terjadi. Dengan
Bobot yang ditentukan oleh penulis adalah 0,1
mengevaluasi
Frequency
untuk bobot terendah (L), 0,5 untuk bobot
Evaluation Criteria penulis menentukan nilai
sedang (M), dan bobot tertinggi diberikan nilai
probabilitas risiko seperti terlihat pada tabel 4.
1,0.
menggunakan
7
Penetuan
bobot
digunakan
untuk
Vol . X Nomor 30 Nopember 2015 - Jurnal Teknologi Informasi
pengolahan
matrik
dampak
risiko
dan
ISSN : 1907-2430
probabilitas risiko.
Tabel 4. Probabilitas Risiko kerugian/ kerusakan sistem crash gangguan
Sistem
kerugian/ kerusakan
L
gangguan
L
gangguan/ cacat hardware
kerugian/ kerusakan
L
gangguan
L
kerugian/ kerusakan
M
gangguan
M
perubahan
L
kerugian/ kerusakan
L
gangguan
L
perubahan
M
kerugian/ kerusakan
M
gangguan
M
perubahan
M
kerugian/ kerusakan
L
gangguan
M
perubahan
L
kerugian/ kerusakan
L
gangguan perubahan
M M
kerugian/ kerusakan
L
gangguan
H
masalah komunikasi
kerugian/ kerusakan
L
gangguan
L
masalah pihak ketiga
kerugian/ kerusakan
M
gangguan
M
tidak sengaja
Akses Fisik inside factor
Akses Jaringan
inside factor inside factor
outside factor
Faktor Lain
M
gangguan/ cacat software
kode berbahaya
inside factor
M
sengaja
tidak sengaja
sengaja
sengaja
‘ . Pencarian risk exposure didapat dari
dengan rumus tersebut, akan didapatkan matrix
gabungan antara impact dan probabilitas yang
sebagai berikut
telah dikonversi dan dibuat matrik. Maka
8
Vol . X Nomor 30 Nopember 2015 - Jurnal Teknologi Informasi
ISSN : 1907-2430
Tabel 5. Matrix Risiko
3.2.3
Mengembangun rencana strategi pengaman Dari data tabel 5, maka didapati
digunakan untuk penanggulangan atau mitigasi yang dilakukan jika sewaktu waktu sistem mengalami gagal proses/
beberapa risk exposure yang nilainya berada
crash.
diatas 10 (medium), dengan hasil tersebut
perbaikan
maka dibuatlah beberapa kebijakan/saran guna
mengurangi
tingkat
resiko
prosedur
difokuskan
untuk
saat. Pengontrolan sistem informasi ini diharapkan
1. Saran Pengamanan Sistem Informasi pengamanan
dan
pengontrolan sistem informasi setiap
yang
mungkin terjadi.
Saran
Pendeteksian
sistem
mencakup
pengembangan
sistem/ pembaharuan,(development) dan
informasi
evaluasi berkala pada sistem informasi
diberikan penulis karena berdasarkan risk exposure sistem crash mempunyai risiko diatas angka 10. Kebijakan ini
BAPPEDA,
seperti
melakukan
keamanan
(penetrating
uji
system).
Sehingga risiko gagal proses/ crash yang 9
Vol . X Nomor 30 Nopember 2015 - Jurnal Teknologi Informasi
ISSN : 1907-2430
menimbulkan celah keamanan dapat
Identifikasi ini dilakukan agar dapat
diminimalisir
adanya
mendeteksi perilaku yang tidak wajar
pengembangan dan evaluasi ini. Saran
yang terjadi dari faktor internal
ini juga diberikan mengingat bahwa kode
maupun faktor external. Untuk faktor
berbahaya
internal bisa dengan cara identifikasi
dengan
dalam
sistem
juga
memberikan dampak negatif terhadap
semua
sistem.
kode
karyawan atas kebijakan yang telah
berbahaya (virus, trojan, worm) penulis
dibuat, apakah sesuai prosedur atau
menyarankan:
belum, selanjutnya diberikan teguran
a. Pendeteksian sistem
atas hal yang tidak sesuai prosedur
Untuk
Pendeteksian scanning
penanganan
sistem
terhadap
level
manajemen
contohnya
dan
bisa
berupa
seperti
penggunakan
sistem
secara
password yang tidak sesuai standar
keseluruhan dengan menggunakan
yang
aplikasi
internet tidak berdasarkan kebutuhan,
atau
software
yang
disarankan tentunya secara berkala
diberlakukan,
penggunaan
dan lain- lain. Identifikasi eksternal
b. Backup Data
bisa dilihat dari dari perilaku logs ada
Guna mengurangi risiko kehilangan
sistem,
data, maka disarankan melakukan
terhadap perilaku yang dianggap
backup data secara berkala. Backup
tidak wajar.
dilakukan secara local maupun cloud.
menanggulangi
berbahaya
(virus,
trojan,
kode
mengontrol
worm)
sistem
informasi.
berupa username atau password yang
opensource (linux)
telah dibuat sebelumnya. Sehingga informasi
2. Saran Akses Jaringan
pengakses
dipastikan
adalah orang yang benar – benar
Akses jaringan yang mempunyai risk
mempunyai
exposure tertingi dari yang lain memaksa
sistem.
penulis memberikan peringatan keras atas Faktor
terhadap
Identifikasi pengakses sistem dapat
migrasi ke sistem operasi berbasis
ini.
evaluasi
penuh
pengakses
penulis sangat menyarankan untuk
hasil analisa
melakukan
b. Otentifikasi terhadap Sumber Daya Manusia Otentifikasi ini diharapkan dapat
c. Open Source Untuk
dan
internal
Saran
akses
terhadap
selanjutnya
untuk
otentifikasi adalah berupa pembuatan
dan
laporan/ logs
eksternal sama – sama turut mempunyai
tentang informasi
sumber daya manusia yang login/
andil dalam tingginya nilai risk exposure.
memakai sistem informasi (website).
Penulis selanjutnya menyarankan tindakan: a. Dilakukannya identifikasi menyeluruh dan mendalam.
hak
c. Kontrol terhadap jalur akses
secara
Walaupun sistem sudah memiliki firewall, 10
update
perlu
dilakukan
Vol . X Nomor 30 Nopember 2015 - Jurnal Teknologi Informasi
ISSN : 1907-2430
untuk mencegah penyusup masuk, tidak hanya itu, konfigurasi enkripsi WEP,
pengaturan
PORT
KESIMPULAN
dan
Berdasarkan
penelitian
yang
penutupan akses DOS meminimalkan
penulis
resiko penyusup.
rumusan masalah yang ada, maka dapat
d. Penetrating Testing Upaya
ini
lakukan
dan
berdasarkan
dari
diambil kesimpulan sebagai berikut : guna
a. Sistem informasi BAPPEDA Sleman
mengetahui cara berfikir cracker
(website) merupakan sub domain dari
yang ingin merusak sistem dengan
slemankab.go.id
menggunakan akses jaringan. Upaya
Wordpress yang diberikan KOMINFO
ini dilakukan guna mengetahui jalur
kepada BAPPEDA untuk dikelola.
akses
Sistem ini merupakan wadah untuk
mana
dilakukan
yang
dimungkinkan
dengan
terdapat celah yang dapat di exploit
interaksi
masyarakat
oleh attacker
BAPPEDA
(pertanyaan,
3. Kebijakan Masalah Pihak ketiga.
template
dengan peminat
informasi, ijin penelitian, dll). Segala
Saran pembuatan kebijakan terhadap
informasi tentang BAPPEDA dapat
masalah pihak ketiga diberikan penulis,
dilihat pada website resmi ini.
karena dalam prakteknya pihak ketiga ada/
b. Berdasarkan
analisa
OCTAVE-S,
datang tanpa melalui prosedur yang ada.
matrix resiko memperlihatkan beberapa
Sehingga terkesan hanya seperti mencari
bagian
mudahnya dalam melakukan apapun terkait
MEDIUM (>10), dengan artian perlu
hal yang terjadi. Sebagai contoh sederhana:
mendapatkan perhatian yang lebih
printer
biasanya
khusus. Bagian tersebut adalah sistem
langsung mengkontak teman yang bisa
crash dan kode berbahaya pada bagian
memperbaiki printer, padahal sudah ada alur
sistem 22,67% , faktor kesengajaan
seperti pelaporan dan pencatatan terlebih
pada akses fisik rata- rata 21% , akses
dahulu selanjutnya bagian terkait menunjuk
jaringan rata- rata 24,51%, dan masalah
pihak ketiga yang bisa dipercaya untuk
pihak
penyelesaian printer.
sebesar 15,17%.
rusak,
dari
karyawan
Saran selanjutnya untuk masalah ketiga adalah prosedur.
dengan
upaya
Tentunya
ketiga
menunjukkan
pada
faktor
diatas
lainnya
c. Beberapa mitigasi yang disarankan
mempermudah
dengan
yang
terhadap temuan adalah rekomendasi/
mudahnya
saran dokumentasi, saran perencanaan
prosedur membuat pihak BAPPEDA tidak
darurat/
akan malas melaksanakan prosedur jika
rekomendasi/ saran pemantauan dan
ingin menggunakan jasa pihak ketiga.
audit keamanan fisik, rekomendasi/
penanggulangan
bencana,
saran pengamanan sistem informasi,
11
Vol . X Nomor 30 Nopember 2015 - Jurnal Teknologi Informasi
ISSN : 1907-2430
rekomendasi terkait akses jaringan dan [6] Hasibuan, Z. A, 2007, Metodologi Penelitian pada Bidang Ilmu Komputer dan Teknologi Informasi. Fakultas Ilmu Komputer, Universitas Indonesia.
kebijakan masalah pihak ketiga.
DAFTAR PUSTAKA
[7] Mettetal, G, 2002, Improving teaching through classroom action research. Essays on Teaching Excellence, 14 (7).
[1] Pearson, L,2007, Sistem Informasi Manajemen 1 (ed.10),Ed.10, Salemba, Jakarta
[8]
[2] Calder, A, dan Watkins, S, 2005, IT governance: A manager’s guide to data security and BS 7799/ISO 17799. Kogan Page Publishers. [3] Tria Pramudya, R., Okto Susilo, D., Aulia Puspita, A., Gunawan, S. E., ST, M., 2013, Pengukuran Risiko Teknologi Informasi Pada Kementerian Pendayagunaan Aparatur Negara Dan Reformasi Birokrasi Menggunkan Metode Octave-S. BINUS. [4]
Disa, S, 2011, Analisis Resiko Keamanan Sistem Informasi Menggunakan Metode OCTAVE-S (Studi Kasus: Sistem Informasi Akademik STMIK AKBA Makassar). Jurnal Inspiration, (1).
[9] Alberts, C. J., Dorofee, A. J., & Allen, J. H, 2001, OCTAVE Catalog of Practices, Version 2.0. DTIC Document. [10] Alberts, C. J., Dorofee, A. J., & Allen, J. H, 2001, OCTAVE Catalog of Practices, Version 2.0. DTIC Document.
Disa, S, 2011, Analisis Resiko Keamanan Sistem Informasi Menggunakan Metode OCTAVE-S (Studi Kasus: Sistem Informasi Akademik STMIK AKBA Makassar). Jurnal Inspiration, (1).
[5] Lewin, K, 1973, Princípios de psicologia topológica. Editora da Universidade de Sao Paolo.
12
Vol.X Nomor 30 November 2015 – Jurnal Teknologi Informasi
ISSN : 1907 - 2430
