BAB IV ANALISIS RESIKO TEKNOLOGI INFORMASI

BAB IV ANALISIS RESIKO TEKNOLOGI INFORMASI

IV.1

Penerapan Alur Metode Analisis Resiko

Kombinasi antara studi literatur dengan studi lapangan yang telah dilakukan, dapat menghasilkan suatu cara di dalam melakukan analisis resiko pada penelitian ini, yaitu dengan mengadopsi beberapa langkah-langkah yang terdapat pada manajemen resiko, dengan melakukan penyesuaian kondisi yang terdapat pada organisasi SBUPE. IV.1.1

Penerapan Metode Kualitatif di SBUPE

Berikut ini, disajikan suatu alur yang dilakukan pada organisasi SBUPE untuk mengetahui tingkatan resiko secara kualitatif. Penjelasan mengenai alur tersebut, terdapat dalam sub Bab IV.2. Pengelompokan Asset

Profile SBUPE, proses bisnis, Identifikasi asset secara umum

Identifikasi Asset dan Valuasi Asset

Information-Gathering Techniques

Vulnerability pada track and trace

Threat pada track and trace system

Pengukuran Resiko Likelihood, Level Of Impact, Exposure Rating, Vulnerability Level

Tingkat Resiko

Gambar IV.1 Alur Penerapan Metode Kualitatif

61

IV.1.2

Penerapan Metode Kuantitatif di SBUPE

Berikut ini, disajikan suatu alur yang dilakukan pada organisasi SBUPE untuk mengetahui tingkatan resiko secara kuantitatif. Penjelasan mengenai alur tersebut, terdapat pada sub Bab IV.3 Profile SBUPE, proses bisnis, Identifikasi asset secara umum

Pengelompokan Asset

Account Officer

Identifikasi dan Valuasi Asset

Langkah pada kualitatif

Threat dan Vulnerability pada track and trace system

ARO

Information-Gathering Techniques

EF SLE ALE

Cost/benefit Analysis

T

Hasil Cost/ benefit < 1 ??

Y Kandidat safeguard diimplementasi

Gambar IV.2 Alur Penerapan Metode Kuantitatif

62

IV.2

Pengelompokkan Asset

Di dalam memperkirakan penilaian resiko untuk suatu sistem IT, langkah yang pertama adalah menggambarkan lingkup usahanya (scope of the effort). Pada langkah ini, batasanbatasan dari IT mulai diidentifikasi, bersama dengan sumber daya dan informasi yang menjadi dasar sistemnya. Karakter suatu sistem IT dikenali, untuk menetapkan ruang lingkup usaha penilaian resiko, menggambarkan batasan-batasan otorisasi operasional, dan menyediakan informasi yang penting untuk menjelaskan resiko, contohnya: hardware, software, konektifitas sistem, dan divisi yang bertanggung jawab atau dukungan personilnya. [3] Dari hasil analisis sistem seperti yang ditulis pada bab sebelumnya, didapatkan suatu tabulasi mengenai asset yang terdapat pada SBUPE secara umum. Pembuatan tabel ini, bertujuan untuk memudahkan pengelompokkan asset berdasarkan suatu kriteria (lihat tinjauan pustaka). Untuk pengelompokkan asset pada track and trace system terdiri dari: -

Information Asset, terdiri dari juklak, juknis, data keuangan perusahaan, data konsumen, dan data personil perusahaan,

-

Paper Document, terdiri dari surat izin usaha, kontrak kerja, resi pengiriman APE, dan PKS,

-

Software Asset, terdiri dari website, database, aplikasi perkantoran, sistem operasi, dan APE,

-

Physical Asset, terdiri dari gedung, PC Desktop, dan barcode reader/gun reader.

-

People, terdiri dari karyawan PT. Pos dan karyawan outsourching,

-

Service terdiri dari komunikasi track and trace system, listrik, jaringan komputer, telepon dan produk.

Nama-nama asset untuk klasifikasi tersebut di atas, dapat dilihat dalam Tabel IV.1 mengenai pengelompokkan asset yang terdapat pada SBUPE.

63

Tabel IV.1 Pengelompokkan Asset SBUPE NO 1

KLASIFIKASI ASSET Information Asset

NAMA ASSET ** Juklak Juknis Data keuangan perusahaan Data konsumen Data personil perusahaan

2

Paper Document

Surat izin usaha Kontrak kerja Resi pengirimam APE PKS

Aplikasi pos express Perjanjian kerja sama

Website Database Aplikasi perkantoran Sistem Operasi APE

Aplikasi pos express

3

4

Software Asset

Physical Asset

Gedung PC desktop Barcode reader / Gun reader Printer

5

People

Karyawan PT.Pos Karyawan Outsourcing

6

Service

Komunikasi T&T Listrik Jaringan Komputer Telepon Produk

KETERANGAN Petunjuk pelaksanaan Petunjuk teknis

Personal Computer

Track and trace

** Sumber: [21].

IV.3

Analisis Resiko Secara Kualitatif

Dari sekian banyak cara yang dapat digunakan untuk menganalisis resiko, terdapat dua metode dasar yang dapat digunakan yaitu penilaian secara kualitatif dan kuantitatif. Penilaian secara kualitatif dilakukan berdasarkan intuisi, sehingga pendekatan analisis resiko yang dilakukan relative sangat subyektif. Metode ini tidak menghasilkan pengukuran yang dapat menghitung spesifikasi besaran dari dampaknya, oleh karena itu pembuatan analisis cost-benefit mengenai rekomendasi pengendalian sulit diterapkan. Walaupun demikian metode dasar ini sangat diperlukan, untuk langkah awal analisis resiko secara kuantitatif.

64

IV.3.1

Identifikasi dan Valuasi Asset

Dari hasil pengelompokan asset secara umum yang terdapat di SBUPE (Tabel IV.1), selanjutnya dilakukan identifikasi pada asset yang berinteraksi secara langsung dengan track and trace system. Di dalam tahap ini, dilakukan beberapa Information-Gathering Techniques (lihat tinjauan pustaka), dengan tujuan untuk mengumpulkan informasi yang relevant pada sistem IT dalam batasan operasional, sehingga dapat dilakukan pemberian range value pada asset-nya. Secara operasional, asset yang berinteraksi langsung dengan batasan track and trace system SBUPE dapat dilihat dalam Table IV.2. Tabel IV.2 Identifikasi Asset dan Valuasi

NO. ASSET

RANGE VALUE

DESCRIPTION

1

PC Desktop: client

HIGH

Hardware

2

PC Desktop: server

HIGH

Hardware

3

Barcode Reader

HIGH

Hardware

4

Printer

MEDIUM

Hardware

5

HUB Link

HIGH

Hardware

6

Operating System

MEDIUM

Software

7

Aplikasi Pos Express

HIGH

Software

8

Website

HIGH

Software

9

Database

HIGH

Software

10

Aplikasi Perkantoran

LOW

Software

11

Karyawan PT. Pos

HIGH

People

12

Karyawan Outsourching

HIGH

People

13

Data Elektronik

MEDIUM

Information

14

Resi Pengiriman

HIGH

Information

15

Juklak dan Juknis

LOW

Information

IV.3.2

Threat Pada Track and Trace System

Ancaman merupakan potensi untuk suatu threat-source tertentu terjadi pada suatu vulnerability, sebagai trigger eksploitasi kelemahan yang disengaja ataupun tidak disengaja. Threat-source tidak akan menghasilkan resiko jika tidak ada vulnerability yang digunakan. Tujuan dari langkah ini adalah untuk mengidentifikasi potensi dari threatsources dan penyusunan suatu daftar yang memaparkan ancaman potensi threat-sources sehingga dapat diterapkan pada sistem IT yang dievaluasi. Suatu threat-source digambarkan sebagai keadaan atau peristiwa dengan potensi yang menyebabkan

65

kerusakan pada suatu sistem IT. Pada umumnya, threat-sources berasal dari alam, manusia,

atau

lingkungan.

Prosedur

yang dilakukan

di

SBUPE,

pada

saat

mengidentifikasi threat untuk track and trace system adalah sebagai berikut: a. Berdasarkan asset yang telah diidentifikasi dan valuasinya, dilakukan pembuatan list/daftar kemungkinan threat yang terjadi, b. Dari list/daftar tersebut, didapatkan suatu kemungkinan beberapa threat, yang kemudian dilakukan pencarian keterkaitan atau kecocokan, antara semua kemungkinan vulnerability dan threat tersebut, c. Jika threat tersebut memiliki keterkaitan/kecocokan dengan suatu vulnerability yang dapat menghasilkan resiko, maka threat tersebut ditetapkan sebagai sumber threat pada list/daftar threat, d. Jika threat tersebut tidak memiliki keterkaitan/kecocokan dengan suatu vulnerability untuk menghasilkan resiko, maka lakukan penghapusan threat dari daftar/list tersebut, e. Lakukan pengulangan prosedur b, c, dan d untuk semua threat yang terdapat pada list/daftar threat, f. Berdasarkan prosedur yang telah dilakukan, akan dihasilkan suatu daftar resiko, g. Lakukan pengukuran resiko tersebut. Di dalam menentukan Likelihood Of Occurrence, selain didapatkan dari data survey organisasi yang memantau statistik kejadian suatu insiden atau berdasarkan pengalaman suatu organisasi, sumber yang dapat dijadikan referensi dalam pemberian nilai adalah hasil melalui Information-Gathering Techniques.Terdapat dua teknik yang dapat dipergunakan di SBUPE dalam melakukan analisis resiko di-track and trace system, yaitu On-site Interviews dan Document Review (lihat karakteristik sistem pada tinjauan pustaka). Likelihood Of Occurrence adalah kemungkinan banyaknya suatu threat yang terjadi dalam suatu kurun waktu, dimana dalam proses penentuannya sangat subyektif. Metode untuk menentukan value-nya dapat dilakukan dengan memberikan suatu rating secara kualitatif, sebagai berikut: [8]

66

•

High (3) = 71% - 100%

•

Medium (2) = 31% - 70%

•

Low (1) = 1% - 30%

Terdapat tiga aspek keamanan yang ditinjau terkait sistem SBUPE berdasarkan C.I.A triangle model, sebagai berikut: •

Confidentiality, harus dapat menjamin, bahwa hanya karyawan tertentu saja yang memiliki hak untuk dapat mengakses informasi tertentu.

•

Integrity, harus menjamin kelengkapan informasi dan menjaga dari korupsi, kerusakan, atau ancaman lain yang menyebabkannya perubahan dari aslinya.

•

Availability: adalah aspek keamanan informasi yang menjamin pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini adalah manusia atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi.

Human dan Non-Human merupakan pelaku yang mempunyai potensi threat pada track and trace system dengan value berikut ini. Untuk hasil threat assesment yang terdapat pada sistemnya dapat dilihat dalam Tabel IV.3. Tabel IV.3 Threat Assesment Actor

Klasifikasi

1 2 3 4

Human Human Human Human

Deliberate Deliberate Deliberate Deliberate

5

Human Non Human Human Human

Deliberate Accidental

6 7 8 9 10 11 12

Human Human Non Human Human

Threat

Likelihood of occurrence

Administration failure Assault on an employee Blackmail Bomb/Terrorism Browsing of proprietary information Client/server failure

High Low Medium Low Medium

High Low

Deliberate Deliberate Deliberate Nature

Computer abuse Computer crime (cyber stalking) Credit card fraud Disgruntled employees Earthquake

Deliberate

Economic exploitation

Low

Deliberate

67

High

Low High Medium

Source

Information-Gathering Techniques

No

C

I

A

√ √ √ √

√ √ √

√

√

√ √

√

√

√

√

√

√

√ √

√ √

√

√

Tabel IV.3 (Lanjutan) Threat Assesment Actor

Klasifikasi

13 14

Human Human

Deliberate Deliberate

15 16 17 18 19

Human Human Human Human Human

Deliberate Deliberate Deliberate Deliberate Low

20 21

Human Human

Deliberate Low

22

Human

Deliberate

Human Non Human Human Human

Deliberate Deliberate

26 27 28 29

Human Human Human

Deliberate Deliberate Deliberate

30 31 32 33 34 35 36 37 38 39 40

Human Human Human Human Human Human Human Human Human Human Human

Deliberate Deliberate Deliberate Deliberate Deliberate Deliberate Deliberate

23 24 25

41

Human

Deliberate Accidental

Deliberate Deliberate Deliberate Deliberate

Deliberate

Threat

Likelihood of occurrence

C

I

A

√

√

√

√

√

√

Medium Medium Medium Medium Medium

√ √ √

√ √ √ √ √

Low Medium

√

Fraud and theft Fraudulent act (replay, impersonation, interception) Hacking Information bribery Information theft Information warfare Input of falsified, corrupted data Interception Intrusion on personal privacy Malicious code (virus, logic bomb, Trojan horse) Negligent persons Power failure

Medium Medium

Sabotage of data Sale of personal information Social engineering Spoofing System attack (distributed denial of service) System bugs System intrusion System penetration System sabotage System tampering Telecom fraud Terminated employees Theft of laptop/PC Theft of proprietary data Unauthorized access Unauthorized system access (access to classified, proprietary, and/or technology-related information) Web browser privacy

Medium Medium

68

Source

√

High Medium Medium

Low Low Medium Medium Medium Medium Low Low Low Low Medium Medium Medium Medium

Low

Information-Gathering Techniques

No

√

√ √ √ √ √

√ √

√ √ √

√

√

√

√

√

√

√

√

√

√ √

√ √

√

√

√ √ √ √ √ √

√ √ √ √ √

√ √ √

√ √

√

√

√

√

IV.3.3

Vulnerability Pada Track & Trace System

Vulnerability merupakan kelemahan yang ada pada asset dalam suatu organisasi. Vulnerability tidak menyebabkan rusaknya suatu asset, melainkan menciptakan suatu kondisi yang dapat mengakibatkan threat terjadi. Analisis suatu ancaman pada suatu sistem IT harus meliputi suatu analisis hubungan vulnerability dengan sistem lingkungannya. Tujuan dari langkah ini untuk mengembangkan daftar rincian vulnerability (kekurangan atau kelemahan) yang dapat dieksploitasi atau dimanfaatkan oleh potensi threat. Prosedur yang dilakukan di SBUPE, pada saat mengidentifikasi vulnerability untuk track and trace system adalah sebagai berikut. a. Berdasarkan asset yang telah diidentifikasi dan valuasinya, dilakukan pembuatan list/daftar kemungkinan vulnerability terjadi. b. Dari list/daftar tersebut, didapatkan suatu kemungkinan beberapa vulnerability, yang kemudian dilakukan pencarian keterkaitan atau kecocokan, antara semua kemungkinan threat dan vulnerability tersebut. c. Jika vulnerability tersebut memiliki keterkaitan/kecocokan dengan suatu threat yang dapat menghasilkan resiko, maka vulnerability tersebut termasuk di dalam list/daftar untuk vulnerability. d. Jika vulnerability tersebut tidak memiliki keterkaitan/kecocokan dengan suatu threat untuk menghasilkan resiko, maka lakukan penghapusan vulnerability dari daftar/list tersebut. e. Lakukan pengulangan prosedur b, c, dan d untuk semua vulnerability yang terdapat pada list/daftar vulnerability. f. Berdasarkan prosedur e yang telah dilakukan, akan dihasilkan suatu daftar resiko. g. Lakukan pengukuran resiko tersebut

69

Untuk hasil identifikasi vulnerability pada organisasi ini, dapat dilihat dalam Tabel IV.4. Tabel IV.4 Daftar Vulnerability pada Asset Organisasi

No. 1

2 3

4

5

6 7 8 9 10 11 12 13

14

15 16

Vulnerability Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. Pengubahan User Id atau password tidak dilakukan oleh unit processing Tidak adanya user interface dari aplikasi, untuk fasilitasitas pengubahan User Ide atau password Pemberian privileges untuk APE tidak dapat langsung dilakukan oleh supervisor, hanya dapat dilakukan oleh pihak pembuat aplikasi (divisi Teksisfo) Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Masih terjadi scanning barcode pada resi tidak dapat dibaca oleh Gun/Barcode Reader Tidak adanya pengawasan penggunaan barcode yang rusak/sobek Standard operating procedure dari juklak tidak dilaksanakan Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Tidak adanya keberlanjutan revisi untuk juklak beserta dokumentasinya Standard operating procedure dari juknis tidak dilaksanakan Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi APE dengan proses akuntansi Hak akses pada unit processing tidak terbatas dalam mengubah data konsumen pada database APE Data konsumen tidak tidak dirahasiakan, melainkan di-publish pada LAN.

70

Asset

Aplikasi Pos Ekspres

Resi pengirimam APE

Juklak

Juknis Data keuangan perusahaan Data konsumen

Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi

No. 17 18 19

20

21

22

23

24

25

26

27

28

29

30

31 32

Vulnerability Data personil melalui LAN dapat diakses dan tidak dilakukan batasan dalam pengungkapan informasi Hasil penilaian kecakapan personil tidak ditutupi, melainkan dipublish pada area LAN. Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini.

Asset Data personil perusahaan Surat izin usaha

Anggaran untuk melakukan pelatihan komputer (software/hardware) tidak ada dalam rencana kerja anggaran pada saat tahun berlangsung Tidak adanya pengawasan fisik terhadap web server secara langsung oleh unit ini, ditempatkan pada ruang server gedung pos Website bandung Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung Anggaran untuk melakukan pelatihan komputer (software/hardware) tidak ada dalam rencana kerja anggaran pada saat tahun berlangsung Tidak adanya pengawasan fisik terhadap server database secara langsung oleh unit ini, ditempatkan pada ruang server gedung pos Database bandung Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung Surat Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini. Kontrak kerja Antivirus yang sudah ter-install pada komputer, tidak di-update Aplikasi atau diperbaharui versi untuk database antivirus yang ada. perkantoran Standar operating procedure tidak dilaksanakan atau prosedur Sistem yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi Operasi pada organisasi. Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak Gedung diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan. PC desktop Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui versi untuk database antivirus yang ada. Unit ini tidak mempunyai personil khusus yang menangani kerusakan hardware/sotware.

71

Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi

No. 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51

52

Vulnerability Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Barcode pada paket/barang kiriman tidak dapat dibaca oleh Gun/barcode Reader Sensitive ketika scanning kertas barcode tidak stabil Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Tidak adanya cadangan pita printer Tidak adanya pembinaan rohani yang dilakukan secara berkala. Pelatihan hardware/software untuk mendukung operasional tidak dilakukan pada semua personil Sosialisasi/presentasi awal terhadap produk baru yang dihasilkan oleh organisasi tidak dilakukan. Pengembangan wawasan baru mengenai jasa kurir tidak dilakukan pada semua personil Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini. Tidak adanya pembinaan rohani yang dilakukan secara berkala. Pelatihan hardware/software untuk mendukung operasional tidak dilakukan pada semua personil Sosialisasi/presentasi awal terhadap produk baru yang dihasilkan oleh organisasi tidak dilakukan. Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil Tidak adanya kebijakan yang mengatur hak akses data/informasi jika terjadi pengungkapan informasi. Jika terjadi down pada server, maka komunikasi track and trace system dilakukan melalui pesawat telephone. UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Tidak adanya pengawasan penggunaan listrik Di dalam menggunakan suatu sumber daya pada unit ini, tidak ada prosedur khusus yang membuat pengawasan penggunaan semua sumber daya. Untuk arsitektur jaringan komputer unit ini tidak terpisah, masih digabungkan dengan unit kerja yang ada di gedung pos bandung.

72

Asset Barcode reader/ Gun reader Printer

Karyawan PT.Pos

PKS

Karyawan Outsourcing

Komunikasi T&T Listrik

Jaringan Komputer

Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi

No.

Vulnerability Asset Sambungan telephone yang terdapat pada unit ini, tidak menggunakan kode password atau lock Telephone Tidak ada pengawasan dalam penggunaan telepon Tidak ada penempatan khusus untuk posisi pesawat telepon, ada pada ruangan umum unit processing. Di dalam menggunakan suatu sumber daya produk pada unit ini, tidak ada prosedur khusus yang membuat pengawasan penggunaan semua sumber daya. Produk Jika tidak terdapat suatu kasus pada saat operasional, maka pengembangan produk tidak dilakukan Untuk pengembangan produknya, tidak melibatkan unit Pos Ekspress.

53 54 55

56

57 58

IV.3.4

Resiko Pada Track & Trace System

Dari hasil identifikasi threat dan vulnerability, akan didapatkan suatu resiko dengan melakukan keterkaitan dan kecocokan setiap threat dan vulnerability yang terjadi. Berikut ini disajikan suatu tabulasi (Tabel IV.5) hasil dari threat dan vulnerability yang menghasilkan suatu resiko pada organisasi atau unit ini. Ukuran dari suatu resiko berasal dari kombinasi antara exposure rating, level vulnerability, dan tingkat efektifitas safeguard. Secara sederhana, pengukuran resiko secara kualitatif dilakukan dengan memberikan skala high, medium, dan low. Pengukuran resiko dengan skala tersebut memiliki kekurangan, yaitu untuk resiko dengan exposure, vulnerability, dan safeguard yang bernilai high, akan memiliki hasil yang sama dengan resiko untuk exposure, vulnerability, dan safeguard yang bernilai low. Oleh karena itu, untuk tingkatan pengukuran resiko diberikan lima skala, yaitu: [8] •

High = 5

•

Moderately high = 4

•

Medium = 3

•

Low = 2

•

Very low = 1

Pada Tabel II.8, penentuan resiko dilakukan secara conservative dengan vulnerability level lebih berperan terhadap perubahan tingkat resiko, jika dibandingkan dengan safeguard effectiveness.

73

Tabel IV.5 Daftar Resiko di SBUPE THREAT

VULNERABILITY

RESIKO

Administration failure

Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi.

Pengubahan data

Client/server failure Computer abuse

Earthquake

Fraud and theft Fraudulent act (replay, impersonation, interception) Malicious code (virus, logic bomb, Trojan horse) Power failure

Theft of laptop/PC

Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui untuk versi database antivirus yang ada. UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan.

** Hasil perhitungan pada Tabel IV.6

74

Kerusakan data elektronik

TINGKAT/ NILAI ** Moderately high(4)

High(5)

Pencurian Asset Informasi High(5)

Kerusakan akibat api atau air

Medium(3)

Pencurian High(5)

Pengungkapan informasi secara tidak tepat

Terinfeksi virus

Medium(3)

High(5)

Kegagalan hardware/software

Moderately high(4)

Pencurian

Very low(1)

Tabel IV.5 (Lanjutan) Daftar Resiko di SBUPE THREAT

VULNERABILITY

Unauthorized access Unauthorized system access (access to classified, proprietary, and/or technologyrelated information)

RESIKO

Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung

TINGKAT/ NILAI **

Penyalahgunaan data

Medium(3)

Hak akses illegal

Very low(1)

** Hasil perhitungan pada Tabel IV.6

IV.3.5

Pengukuran Resiko

Di dalam proses pengukuran resiko secara kualitatif, nilai likelihood didapatkan dari Information-Gathering Techniques berdasarkan tabel IV.3. Sedangkan untuk menentukan nilai skala high = 3, medium = 2, dan low = 1, dapat dilihat dari Tabel II.4. Untuk menentukan nilai Level of impact, estimasinya berdasarkan threat pada Tabel IV.5. Kemudian, untuk skala high, medium, dan low, dapat lihat Tabel pada II.5. Berdasarkan nilai likelihood dan impact, kemudian dilakukan penentuan exposure rating dengan referensi Tabel II.10. Vulnerability berdasarkan estimasi dengan berpedoman pada threat (action) yang dihasilkannya. Risk level matrik dalam Tabel II.7 dapat dijadikan referensi untuk memberikan penilaian resiko. Untuk pemberian nilai resiko pada laporan ini, menggunakan pengembangan dari Tabel II.8, dimana nilai resikonya berdasarkan pada exposure rating, vulnerability level, dan safeguard effectiveness.

75

Earthquake Fraud and theft Fraudulent act (replay, impersonation, interception) Malicious code (virus, logic bomb, Trojan horse) Power failure Theft of laptop/PC Unauthorized access Unauthorized system access (access to classified, proprietary, and/or technologyrelated information)

Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui untuk versi database antivirus yang ada. UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan. Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung

76

Vulberability Level

Computer abuse

Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi.

Exposure Rating

Administration failure Client/server failure

Vulnerability

Level Of Impact

Threat

Likelihood

Tabel IV.6 Pengukuran Resiko

3

2

8

1

4

3

3

9

3

5

3

2

8

3

5

2

2

6

2

3

2

1

3

3

5

2

2

6

2

3

3

3

9

3

5

2

2

6

3

4

2

1

3

1

1

2

2

6

2

3

2

1

3

1

1

Risk

IV.4

Analisis Resiko Secara Kuantitatif

Untuk melakukan suatu analisis resiko secara kuantitatif, perlu menentukan hubungan suatu nilai dari kerugian-kerugian potensial dengan proses yang tertunda, kerusakan properti, atau data. Kemudian perlu juga dilakukan perkiraan kemungkinan kejadian dari kegagalan resiko, sehingga akhirnya dapat diperhitungkan perkiraan kerugian pertahunnya. [10]. IV.4.1 Identifikasi dan Valuasi Asset Studi mengenai identifikasi, valuasi asset (secara subyektif), threat, dan vulnerability assessment telah dilakukan pada prosedur analisis resiko secara kualitatif. Selanjutnya, pada prosedur kuantitatif dilakukan perhitungan yang mengarah pada analisis cost-benefit dengan menggunakan value berupa suatu besaran satuan mata uang (rupiah). Berdasarkan data-data dari hasil analisis sistem yang sedang terjadi di SBUPE dan formula perhitungan analisis resiko secara kuantitatif, didapatkan hasil seperti dalam Tabel IV.7, dengan hasil perhitungan asset dari unit Account Officer yang sudah bernilai tangible. Tabel IV.7 Identifikasi dan Valuasi Aset

unit

NILAI SATUAN (Rp.) ** 6,800,000.00

NILAI TOTAL (Rp.)** 54,400,000.00

1

unit

13,850,000.00

13,850,000.00

9

unit

950,000.00

8,550,000.00

Printer Epson LQ1170

3

unit

875,000.00

2,625,000.00

5

Hub/ Switch ATi 16 port 10/ 100

2

unit

600,000.00

1,200,000.00

6

Operating System Microsoft E85-02667

8

paket

2,800,000.00

22,400,000.00

7

Aplikasi Pos Express

1

paket

5,000,000.00

5,000,000.00

8

Website

1

paket

4,000,000.00

4,000,000.00

9

Database

1

paket

10

Aplikasi Perkantoran

1

paket

2,000,000.00

2,000,000.00

11

Karyawan Pos

16

orang

2,500,000.00

40,000,000.00

12

Karyawan Outsourching

18

orang

900,000.00

16,200,000.00

No.

NAMA ASET

1

8

3

PC Desktop: client IBM PC 300 GL PC Desktop: server IBM System X3250 Barcode Reader NEC

4

2

JUMLAH

** Sumber: Peraturan Dinas No. 6 (Akuntansi)

77

-

-

Tabel IV.7 (Lanjutan) Identifikasi dan Valuasi Aset No.

NAMA ASET

JUMLAH

13

Data Elektronik

1

14

Resi Pengiriman

1

15

Juklak dan Juknis

1

unit Paket (500 lembar) bundel

NILAI SATUAN (Rp.) ** 20,000,000.00

NILAI TOTAL (Rp.)** 20,000,000.00

1,000,000.00

1,000,000.00

20,000,000.00

20,000,000.00

** Sumber: Peraturan Dinas No. 6 (Akuntansi)

IV.4.2 Threat dan Vulnerability Assessment Pada kuantitatif, nilai ARO (Annualized Rate Of Occurrence) dipergunakan untuk perkiraan atau estimasi frekuensi sebuah resiko yang dapat terjadi dalam statu periode tertentu, seperti yang diperlihatkan Dalam Tabel IV.8. Misalnya sebagai berikut. •

Jika suatu threat terjadi sebanyak 1 kali dalam 8 tahun, maka ARO yang terjadi adalah 1/8 = 0.13.

•

Jika pencurian terjadi sebanyak 1 kali dalam 12 tahun, maka ARO yang terjadi adalah 1/12 = 0.08.

•

Jika pencurian terjadi sebanyak 1 kali dalam 4 tahun, maka ARO yang terjadi adalah 1/4 = 0.25. Tabel IV.8 Kemungkinan terjadi threat berdasarkan ARO

Klasifikasi Deliberate Deliberate

Human

Non-human

Deliberate Accidental Deliberate Deliberate Deliberate Deliberate Nature Accidental Accidental

Threat Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technologyrelated information) Administration failure Fraud and theft Computer abuse Theft of laptop/PC Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure

78

ARO 1 1 6

1 0.13 0.13 0.08 0.25 0.25 6 0.25

Source

Information-Gathering Techniques

Actor

C I √ √

A

√

√

√

√

√

√ √ √ √

√ √ √ √

√

√

√ √

√ √ √

Exposure rating (EF) yang dimiliki setiap asset nilainya berbeda terhadap suatu threat, sehingga terdapat asset yang invulnerable terhadap threat dan terdapat pula asset yang sangat vulnerable terhadap threat. Persentase penilaian suatu asset loss yang disebabkan oleh identifikasi threat, pemberian estimasi ranges-nya diantara 0% sampai 100%, lihat Tabel II.11 mengenai estimasi nilai EF. Dalam menentukan value estimasinya, Information-Gathering Techniques yang dilakukan pada SBUPE dapat dijadikan referensi suatu estimasi presentase untuk exposure rating. Berikut ini, diperlihatkan suatu tabulasi mengenai pemetaan nilai asset terhadap ARO serta exposure rating-nya. (Tabel IV.9)

79

Power failure 0.25

Client/server failure 6

Earthquake 0.25

Fraudulent act (replay, impersonation, interception) 0.25

Theft of laptop/PC 0.08

Computer abuse 0.13

Fraud and theft 0.13

Administration failure 1

Unauthorized system access (access to classified, proprietary, and/or technologyrelated information)

Malicious code (virus, logic bomb, Trojan horse)

Unauthorized access

6

54,400,000 13,850,000 8,550,000 2,625,000 1,200,000 22,400,000 5,000,000 4,000,000 2,000,000 40,000,000 16,200,000 20,000,000 1,000,000 20,000,000

1

VALUE

1

ASET PC Desktop: client IBM PC 300 GL PC Desktop: server IBM System X3250 Barcode Reader NEC Printer Epson LQ1170 Hub/ Switch ATi 16 port 10/ 100 Operating System Microsoft E85-02667 Aplikasi Pos Express Website Database Aplikasi Perkantoran Karyawan Pos Karyawan Outsourching Data Elektronik Resi Pengiriman Juklak dan Juknis

ARO

THREAT

Tabel IV.9 Exposure Rating

40% 20% 0% 0% 0% 20% 20% 20% 0% 0% 0% 0% 40% 20% 0%

60% 40% 0% 0% 0% 80% 60% 40% 0% 40% 0% 0% 20% 0% 0%

40% 40% 0% 0% 0% 40% 20% 0% 20% 0% 20% 20% 0% 20% 0%

20% 20% 0% 0% 0% 60% 60% 0% 0% 40% 0% 0% 60% 20% 0%

40% 40% 0% 0% 0% 0% 0% 0% 0% 0% 60% 60% 40% 0% 0%

20% 20% 20% 0% 0% 0% 20% 0% 0% 0% 40% 40% 20% 0% 0%

80% 80% 80% 80% 80% 80% 40% 80% 80% 60% 60% 60% 40% 0% 0%

80% 80% 0% 0% 0% 0% 80% 0% 40% 0% 0% 0% 80% 0% 0%

80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80%

60% 60% 60% 60% 60% 40% 40% 40% 40% 40% 0% 0% 80% 0% 0%

20% 20% 0% 0% 20% 20% 20% 20% 20% 20% 0% 0% 20% 0% 0%

80

Single Loss Expectancy (SLE) adalah nilai kerugian terhadap asset bila sebuah resiko yang teridentifikasi terjadi. Formula untuk menghitung SLE adalah Asset Value x Exposure factor, sehingga data-data SLE yang terdapat pada Tabel IV.10 berasal dari nilai total (rupiah) suatu asset dengan nilai EF pada tabel exposure rating. Contoh perhitungan untuk SLE pada SBUPE dijelaskan di bawah ini. Diketahui: •

Asset dengan nama PC Desktop client IBM PC 300 GL,

•

Nilai total dari asset sebesar Rp.54.400.000.00,

•

EF untuk asset tersebut berdasarkan tabel exposure rating adalah 40%.

Dengan formula perhitungan SLE maka didapatkan hasil sebesar Rp.21.760.000.00. Untuk hasil perhitungan lengkap semua nilai SLE, dapat dilihat pada tabel IV.9 mengenai Single Loss Expectancy.

81

0.25

Power failure

6

Client/server failure

0.25

Earthquake

0.25

Fraudulent act (replay, impersonation, interception)

0.08

Theft of laptop/PC

0.13

Computer abuse

0.13

Fraud and theft

1

Administration failure

Unauthorized system access (access to classified, proprietary, and/or technology-related information) 6

Malicious code (virus, logic bomb, Trojan horse) 1

Unauthorized access 1

ARO

THREAT

Tabel IV.10 Single Loss Expectancy

PC Desktop: client IBM PC 300 GL

54,400,000

21,760,000

32,640,000

21,760,000

10,880,000

21,760,000

10,880,000

43,520,000

43,520,000

43,520,000

32,640,000

10,880,000

PC Desktop: server IBM System X3250

13,850,000

2,770,000

5,540,000

5,540,000

2,770,000

5,540,000

2,770,000

11,080,000

11,080,000

11,080,000

8,310,000

2,770,000

Barcode Reader NEC

8,550,000

-

-

-

-

-

1,710,000

6,840,000

-

6,840,000

5,130,000

-

Printer Epson LQ1170

2,625,000

-

-

-

-

-

-

2,100,000

-

2,100,000

1,575,000

-

Hub/ Switch ATi 16 port 10/ 100

1,200,000

-

-

-

-

-

-

960,000

-

960,000

720,000

240,000

22,400,000

4,480,000

17,920,000

8,960,000

13,440,000

-

-

17,920,000

-

17,920,000

8,960,000

4,480,000

Aplikasi Pos Express

5,000,000

1,000,000

3,000,000

1,000,000

3,000,000

-

1,000,000

2,000,000

4,000,000

4,000,000

2,000,000

1,000,000

Website

4,000,000

800,000

1,600,000

-

-

-

-

3,200,000

-

3,200,000

1,600,000

800,000

0

-

-

-

-

-

-

-

-

-

-

400,000

ASET

Operating System Microsoft E85-02667

Database

VALUE

2,000,000

-

800,000

-

800,000

-

-

1,200,000

-

1,600,000

800,000

40,000,000

-

-

8,000,000

-

24,000,000

16,000,000

24,000,000

-

32,000,000

-

-

Karyawan Outsourching

16,200,000

-

-

3,240,000

-

9,720,000

6,480,000

9,720,000

-

12,960,000

-

-

Data Elektronik

20,000,000

8,000,000

4,000,000

-

12,000,000

8,000,000

4,000,000

8,000,000

16,000,000

16,000,000

16,000,000

4,000,000

Resi Pengiriman

1,000,000

200,000

-

200,000

200,000

-

-

-

-

800,000

-

-

20,000,000

-

-

-

-

-

-

-

-

16,000,000

-

-

Aplikasi Perkantoran Karyawan Pos

Juklak dan Juknis

82

Annualized Loss Expectancy (ALE) adalah nilai estimasi kerugian pertahun terhadap asset, jika sebuah resiko yang teridentifikasi terjadi. Formula untuk menghitung ALE adalah Single Loss Expectancy x Annualized Rate of Occurrence, sehingga data-data ALE yang terdapat Tabel IV.11 berasal dari SLE dalam Tabel IV.10 dengan nilai ARO suatu threat yang terjadi. Contoh perhitungan untuk ARO pada SBUPE dijelaskan di bawah ini. Diketahui: •

Asset dengan nama PC Desktop client IBM PC 300 GL,

•

Nilai total dari asset sebesar Rp.54.400.000.00,

•

EF untuk asset tersebut berdasarkan tabel exposure rating adalah 40%,

•

Mempunyai nilai SLE sebesar Rp.21.760.000.00,

•

Dari tabel IV.7 didapatkan nilai ARO-nya adalah 1.

Dengan menggunakan formula perhitungan ARO, maka didapatkan hasil sebesar Rp.21.760.000,00 Untuk hasil perhitungan lengkap semua nilai ARO, dapat dilihat pada Tabel IV.11 mengenai Annualized Loss Expectancy.

83

Juklak dan Juknis

6

21,760,000

32,640,000

130,560,000

10,880,000

2,828,800

1,414,400

3,481,600

10,880,000

10,880,000

195,840,000

2,720,000

13,850,000

2,770,000

5,540,000

33,240,000

2,770,000

720,200

360,100

886,400

2,770,000

2,770,000

49,860,000

692,500

8,550,000

-

-

-

-

-

222,300

547,200

-

1,710,000

30,780,000

-

2,625,000

-

-

-

-

-

-

168,000

-

525,000

9,450,000

-

1,200,000

-

-

-

-

-

-

76,800

-

240,000

4,320,000

60,000

22,400,000

4,480,000

17,920,000

53,760,000

13,440,000

-

-

1,433,600

-

4,480,000

53,760,000

1,120,000

5,000,000

1,000,000

3,000,000

6,000,000

3,000,000

-

130,000

160,000

1,000,000

1,000,000

12,000,000

250,000

4,000,000

800,000

1,600,000

-

-

-

-

256,000

-

800,000

9,600,000

200,000

-

-

-

-

-

-

-

-

-

-

-

2,000,000

-

800,000

-

800,000

-

-

96,000

-

400,000

4,800,000

100,000

40,000,000

-

-

48,000,000

-

3,120,000

2,080,000

1,920,000

-

8,000,000

-

-

16,200,000

-

-

19,440,000

-

1,263,600

842,400

777,600

-

3,240,000

-

-

20,000,000

8,000,000

4,000,000

-

12,000,000

1,040,000

520,000

640,000

4,000,000

4,000,000

96,000,000

1,000,000

1,000,000

200,000

-

1,200,000

200,000

-

-

-

-

200,000

-

-

-

20,000,000

Total

39,010,000

65,500,000

292,200,000

43,090,000

84

-

-

-

8,972,600

5,569,200

10,443,200

18,650,000

4,000,000 42,245,000

0.25

0.25

Power failure

Client/server failure

0.25

Earthquake

0.08

Fraudulent act (replay, impersonation, interception)

Theft of laptop/PC

Computer abuse

Fraud and theft

Administration failure

Unauthorized system access (access to classified, proprietary, and/or technology-related information)

Malicious code (virus, logic bomb, Trojan horse)

Unauthorized access

0.13

Resi Pengiriman

0.13

Website

Data Elektronik

1

Aplikasi Pos Express

Karyawan Outsourching

6

Hub/ Switch ATi 16 port 10/ 100 Operating System Microsoft E85-02667

Karyawan Pos

1

Printer Epson LQ1170

Aplikasi Perkantoran

54,400,000

VALUE

Barcode Reader NEC

Database

1

ASET PC Desktop: client IBM PC 300 GL PC Desktop: server IBM System X3250

ARO

THREAT

Tabel IV.11. Annualized Loss Expectancy

466,410,000

6,142,500

IV.4.3 Analisis Cost dan benefit Safeguard cost/benefit analysis adalah analisis cost/benefit terhadap langkah-langkah penanganan resiko yang telah dimiliki, bagi setiap resiko yang teridentifikasi. Nilai safeguard suatu perusahaan/organisasi = (ALE sebelum implemantasi safeguard) – (ALE setelah implementasi safeguard) – (biaya tahunan safeguard). Nilai tersebut, kemudian dibandingkan dengan cost dalam mengimplementasikan safeguard. Dari perbandingan nilainya, akan dapat di analisis bahwa kandidat safeguard yang dapat diimplementasikan adalah safeguard dengan perbandingan cost dan benefitnya lebih kecil dari 1. [8]. Nilai ALE pada Tabel IV.11 merupakan nilai prediksi, jika resiko-resiko yang diidentifikasikan terjadi pada SBUPE. Kemudian, untuk langkah selanjutnya dalam mengantisipasi resiko-resiko tersebut, dapat dilakukan dengan beberapa cara, yaitu: •

Menurunkan Mengurangi tingkat resiko menuju arah yang acceptable level,

•

Menghindari tingkat resiko yang ada pada sistem,

•

Menerima resiko yang ada,

•

Men-transfer resiko ke pihak lain.

Secara teknisnya, hal-hal tersebut di atas dapat dilakukan dengan cara, sebagai berikut:[8] 1. Mengimplementasikan produk-produk keamanan yang mampu menurunkan tingkat resiko dengan dengan mempertimbangkan perbandingan cost dan benefit-nya, 2. Mengimplementasikan prosedur-prosedur atau policy, baik itu dalam monitoring, mencegah, mengurangi, ataupun me-respond resiko yang telah terjadi, 3. Melimpahkan resiko yang ada kepada pihak lain, seperti asuransi, 4. Mengabaikan resiko-resiko yang terjadi. Berikut ini, disajikan tabulasi mengenai estimasi dari safeguard effectiveness, dengan cara membuat safeguard untuk suatu vulnerability yang ada pada Tabel IV.4. Prosedur untuk mengisikan hasil dari semua tabulasi di bawah ini, sama dengan yang dilakukan pada prosedur untuk tabel menghitung EF, SLE, dan ALE sebelum implementasi safeguard. Pada tabulasi ini akan menghasilkan ALE setelah implementasi safeguard, sehingga akan didapatkan nilai Safeguard cost/benefit analysis yang terjadi pada SBUPE. (Tabel IV.15) 85

Fraud and theft

Computer abuse

Theft of laptop/PC

Fraudulent act (replay, impersonation, interception)

Earthquake

Client/server failure

Power failure

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

Antivirus

30,000,000

0%

85%

0%

0%

0%

0%

0%

0%

0%

0%

0%

Membuat SOP

40,000,000

85%

85%

85%

85%

85%

85%

85%

85%

85%

Pelatihan komputer

50,000,000

0%

80%

80%

85%

0%

0%

0%

0%

0%

75%

0%

Rekonsiliasi keuangan

70,000,000

0%

0%

0%

0%

85%

0%

85%

0%

0%

0%

0%

Prosedur penggunaan

10,000,000

0%

0%

0%

0%

0%

60%

0%

0%

0%

0%

0%

CCTV

22,000,000

0%

0%

0%

0%

0%

0%

80%

0%

0%

0%

0%

70,000,000 110,000,000

0% 0%

0% 0%

0% 0%

0% 0%

0% 0%

0% 0%

0% 0%

60% 0%

0% 80%

0% 0%

0% 0%

Pengadaan barang

81,275,000

0%

0%

0%

0%

0%

0%

0%

0%

0%

80%

0%

Pemeliharaan UPS

15,000,000

0%

0%

0%

0%

0%

0%

0%

0%

0%

80%

90%

Pembinaan SDM (berkala)

Membuat kebijakan hak akses data/informasi Asuransi

Malicious code (virus, logic bomb, Trojan horse)

75%

SAFEGUARD

Unauthorized access

150,000,000

THREAT

Administration failure

Unauthorized system access (access to classified, proprietary, and/or technology-related information)

Tabel IV.12 safeguard effectiveness

ANNUAL COST

86

85%

85%

Power failure

Client/server failure

Earthquake

Fraudulent act (replay, impersonation, interception)

Theft of laptop/PC

Computer abuse

Fraud and theft

Administration failure

Unauthorized system access (access to classified, proprietary, and/or technology-related information)

Unauthorized access

THREAT SAFEGUARD Pembinaan SDM (berkala)

Malicious code (virus, logic bomb, Trojan horse)

Tabel IV.13 SLE dari implementasi

ANNUAL COST 150,000,000

112,500,000

-

-

-

-

-

-

-

-

-

-

Antivirus

30,000,000

-

25,500,000

-

-

-

-

-

-

-

-

-

Membuat SOP

40,000,000

34,000,000

34,000,000

34,000,000

34,000,000

34,000,000

34,000,000

34,000,000

34,000,000

34,000,000

34,000,000

34,000,000

Pelatihan komputer

50,000,000

-

40,000,000

40,000,000

42,500,000

-

-

-

-

-

37,500,000

-

Rekonsiliasi keuangan

70,000,000

-

-

-

-

59,500,000

-

59,500,000

-

-

-

-

Prosedur penggunaan

10,000,000

-

-

-

-

-

6,000,000

-

-

-

-

-

CCTV Membuat kebijakan hak akses data/informasi

22,000,000

-

-

-

-

-

-

17,600,000

-

-

-

-

70,000,000

-

-

-

-

-

-

-

42,000,000

-

-

-

110,000,000

-

-

-

-

-

-

-

-

88,000,000

-

-

Pengadaan barang

81,275,000

-

-

-

-

-

-

-

-

-

65,020,000

-

Pemeliharaan UPS

15,000,000

-

-

-

-

-

-

-

-

-

12,000,000

13,500,000

Asuransi

87

Pembinaan SDM (berkala)

150,000,000

0.25

Power failure

Client/server failure

Earthquake 0.25

6

Fraudulent act (replay, impersonation, interception) 0.25

Theft of laptop/PC 0.08

1

Computer abuse

Administration failure

6

0.13

Unauthorized system access (access to classified, proprietary, and/or technology-related information)

-

Fraud and theft

Malicious code (virus, logic bomb, Trojan horse) 1

112,500,000

0.13

Unauthorized access 1

ANNUAL COST

ASET

ARO

THREAT

Tabel IV.14 ALE dari implementasi

-

-

-

-

-

-

-

-

-

-

-

-

-

-

-

-

-

-

8,500,000

8,500,000

204,000,000

-

-

225,000,000

-

-

-

-

-

-

-

-

-

-

-

-

-

-

-

-

-

Antivirus

30,000,000

-

25,500,000

Membuat SOP

40,000,000

34,000,000

34,000,000

204,000,000

34,000,000

Pelatihan komputer

50,000,000

-

40,000,000

240,000,000

42,500,000

Rekonsiliasi keuangan

70,000,000

-

-

-

-

Prosedur penggunaan

10,000,000

-

-

-

-

-

780,000

CCTV Membuat kebijakan hak akses data/informasi

22,000,000

-

-

-

-

-

-

70,000,000

-

-

-

-

-

-

-

110,000,000

-

-

-

-

-

-

-

-

Pengadaan barang

81,275,000

-

-

-

-

-

-

-

-

-

390,120,000

Pemeliharaan UPS

15,000,000

-

-

-

-

-

-

-

-

-

72,000,000

3,375,000

891,120,000

11,875,000

Asuransi

total

648,275,000

146,500,000

99,500,000

444,000,000

76,500,000

88

4,420,000 7,735,000

12,155,000

4,420,000 -

5,200,000

2,720,000 4,760,000 1,408,000

8,888,000

10,500,000

19,000,000

22,000,000

30,500,000

8,500,000 -

-

Malicious code (virus, logic bomb, Trojan horse)

Unauthorized system access (access to classified, proprietary, and/or technology-related information)

Administration failure

Fraud and theft

Computer abuse

Theft of laptop/PC

Fraudulent act (replay, impersonation, interception)

Earthquake

Client/server failure

Power failure

Pembinaan SDM (berkala)

-1.6

-0.8

-0.1

-0.9

-1.0

-1.0

-1.0

-0.9

-0.9

0.3

-1.0

Antivirus

-0.9

-1.7

0.1

-0.9

-1.0

-1.0

-1.0

-0.9

-0.9

0.7

-1.0

Membuat SOP

-1.9

-1.9

-6.1

-1.9

-1.1

-1.1

-1.1

-1.2

-1.2

-5.3

-1.2

Pelatihan computer

-1.0

-1.8

-5.8

-1.9

-1.0

-1.0

-1.0

-1.0

-1.0

-5.3

-1.0

Rekonsiliasi keuangan

-1.0

-1.0

-1.0

-1.0

-1.1

-1.0

-1.1

-1.0

-1.0

-0.9

-1.0

Prosedur penggunaan

-0.6

0.8

4.4

0.3

-1.0

-1.1

-0.9

-1.0

-0.6

4.4

-0.9

CCTV

-1.0

-0.9

-0.7

-0.9

-1.0

-1.0

-1.1

-1.0

-1.0

-0.5

-1.0

Membuat kebijakan hak akses data/informasi Asuransi

-1.0

-1.0

-1.0

-1.0

-1.0

-1.0

-1.0

-1.2

-1.0

-0.9

-1.0

-1.0

-1.0

-1.0

-1.0

-1.0

-1.0

-1.0

-1.0

-1.2

-1.0

-1.0

Pengadaan barang

-1.0

-1.0

-1.0

-1.0

-1.0

-1.0

-1.0

-1.0

-1.0

-5.7

-1.0

Pemeliharaan UPS

-1.0

-1.0

2.2

-1.0

-0.8

-0.9

-0.9

-1.0

-0.5

-5.8

-1.2

THREAT

Unauthorized access

Tabel IV.15 Cost/benefit analysis

SAFEGUARD

89