BAB IV ANALISIS RESIKO TEKNOLOGI INFORMASI
IV.1
Penerapan Alur Metode Analisis Resiko
Kombinasi antara studi literatur dengan studi lapangan yang telah dilakukan, dapat menghasilkan suatu cara di dalam melakukan analisis resiko pada penelitian ini, yaitu dengan mengadopsi beberapa langkah-langkah yang terdapat pada manajemen resiko, dengan melakukan penyesuaian kondisi yang terdapat pada organisasi SBUPE. IV.1.1
Penerapan Metode Kualitatif di SBUPE
Berikut ini, disajikan suatu alur yang dilakukan pada organisasi SBUPE untuk mengetahui tingkatan resiko secara kualitatif. Penjelasan mengenai alur tersebut, terdapat dalam sub Bab IV.2. Pengelompokan Asset
Profile SBUPE, proses bisnis, Identifikasi asset secara umum
Identifikasi Asset dan Valuasi Asset
Information-Gathering Techniques
Vulnerability pada track and trace
Threat pada track and trace system
Pengukuran Resiko Likelihood, Level Of Impact, Exposure Rating, Vulnerability Level
Tingkat Resiko
Gambar IV.1 Alur Penerapan Metode Kualitatif
61
IV.1.2
Penerapan Metode Kuantitatif di SBUPE
Berikut ini, disajikan suatu alur yang dilakukan pada organisasi SBUPE untuk mengetahui tingkatan resiko secara kuantitatif. Penjelasan mengenai alur tersebut, terdapat pada sub Bab IV.3 Profile SBUPE, proses bisnis, Identifikasi asset secara umum
Pengelompokan Asset
Account Officer
Identifikasi dan Valuasi Asset
Langkah pada kualitatif
Threat dan Vulnerability pada track and trace system
ARO
Information-Gathering Techniques
EF SLE ALE
Cost/benefit Analysis
T
Hasil Cost/ benefit < 1 ??
Y Kandidat safeguard diimplementasi
Gambar IV.2 Alur Penerapan Metode Kuantitatif
62
IV.2
Pengelompokkan Asset
Di dalam memperkirakan penilaian resiko untuk suatu sistem IT, langkah yang pertama adalah menggambarkan lingkup usahanya (scope of the effort). Pada langkah ini, batasanbatasan dari IT mulai diidentifikasi, bersama dengan sumber daya dan informasi yang menjadi dasar sistemnya. Karakter suatu sistem IT dikenali, untuk menetapkan ruang lingkup usaha penilaian resiko, menggambarkan batasan-batasan otorisasi operasional, dan menyediakan informasi yang penting untuk menjelaskan resiko, contohnya: hardware, software, konektifitas sistem, dan divisi yang bertanggung jawab atau dukungan personilnya. [3] Dari hasil analisis sistem seperti yang ditulis pada bab sebelumnya, didapatkan suatu tabulasi mengenai asset yang terdapat pada SBUPE secara umum. Pembuatan tabel ini, bertujuan untuk memudahkan pengelompokkan asset berdasarkan suatu kriteria (lihat tinjauan pustaka). Untuk pengelompokkan asset pada track and trace system terdiri dari: -
Information Asset, terdiri dari juklak, juknis, data keuangan perusahaan, data konsumen, dan data personil perusahaan,
-
Paper Document, terdiri dari surat izin usaha, kontrak kerja, resi pengiriman APE, dan PKS,
-
Software Asset, terdiri dari website, database, aplikasi perkantoran, sistem operasi, dan APE,
-
Physical Asset, terdiri dari gedung, PC Desktop, dan barcode reader/gun reader.
-
People, terdiri dari karyawan PT. Pos dan karyawan outsourching,
-
Service terdiri dari komunikasi track and trace system, listrik, jaringan komputer, telepon dan produk.
Nama-nama asset untuk klasifikasi tersebut di atas, dapat dilihat dalam Tabel IV.1 mengenai pengelompokkan asset yang terdapat pada SBUPE.
63
Tabel IV.1 Pengelompokkan Asset SBUPE NO 1
KLASIFIKASI ASSET Information Asset
NAMA ASSET ** Juklak Juknis Data keuangan perusahaan Data konsumen Data personil perusahaan
2
Paper Document
Surat izin usaha Kontrak kerja Resi pengirimam APE PKS
Aplikasi pos express Perjanjian kerja sama
Website Database Aplikasi perkantoran Sistem Operasi APE
Aplikasi pos express
3
4
Software Asset
Physical Asset
Gedung PC desktop Barcode reader / Gun reader Printer
5
People
Karyawan PT.Pos Karyawan Outsourcing
6
Service
Komunikasi T&T Listrik Jaringan Komputer Telepon Produk
KETERANGAN Petunjuk pelaksanaan Petunjuk teknis
Personal Computer
Track and trace
** Sumber: [21].
IV.3
Analisis Resiko Secara Kualitatif
Dari sekian banyak cara yang dapat digunakan untuk menganalisis resiko, terdapat dua metode dasar yang dapat digunakan yaitu penilaian secara kualitatif dan kuantitatif. Penilaian secara kualitatif dilakukan berdasarkan intuisi, sehingga pendekatan analisis resiko yang dilakukan relative sangat subyektif. Metode ini tidak menghasilkan pengukuran yang dapat menghitung spesifikasi besaran dari dampaknya, oleh karena itu pembuatan analisis cost-benefit mengenai rekomendasi pengendalian sulit diterapkan. Walaupun demikian metode dasar ini sangat diperlukan, untuk langkah awal analisis resiko secara kuantitatif.
64
IV.3.1
Identifikasi dan Valuasi Asset
Dari hasil pengelompokan asset secara umum yang terdapat di SBUPE (Tabel IV.1), selanjutnya dilakukan identifikasi pada asset yang berinteraksi secara langsung dengan track and trace system. Di dalam tahap ini, dilakukan beberapa Information-Gathering Techniques (lihat tinjauan pustaka), dengan tujuan untuk mengumpulkan informasi yang relevant pada sistem IT dalam batasan operasional, sehingga dapat dilakukan pemberian range value pada asset-nya. Secara operasional, asset yang berinteraksi langsung dengan batasan track and trace system SBUPE dapat dilihat dalam Table IV.2. Tabel IV.2 Identifikasi Asset dan Valuasi
NO. ASSET
RANGE VALUE
DESCRIPTION
1
PC Desktop: client
HIGH
Hardware
2
PC Desktop: server
HIGH
Hardware
3
Barcode Reader
HIGH
Hardware
4
Printer
MEDIUM
Hardware
5
HUB Link
HIGH
Hardware
6
Operating System
MEDIUM
Software
7
Aplikasi Pos Express
HIGH
Software
8
Website
HIGH
Software
9
Database
HIGH
Software
10
Aplikasi Perkantoran
LOW
Software
11
Karyawan PT. Pos
HIGH
People
12
Karyawan Outsourching
HIGH
People
13
Data Elektronik
MEDIUM
Information
14
Resi Pengiriman
HIGH
Information
15
Juklak dan Juknis
LOW
Information
IV.3.2
Threat Pada Track and Trace System
Ancaman merupakan potensi untuk suatu threat-source tertentu terjadi pada suatu vulnerability, sebagai trigger eksploitasi kelemahan yang disengaja ataupun tidak disengaja. Threat-source tidak akan menghasilkan resiko jika tidak ada vulnerability yang digunakan. Tujuan dari langkah ini adalah untuk mengidentifikasi potensi dari threatsources dan penyusunan suatu daftar yang memaparkan ancaman potensi threat-sources sehingga dapat diterapkan pada sistem IT yang dievaluasi. Suatu threat-source digambarkan sebagai keadaan atau peristiwa dengan potensi yang menyebabkan
65
kerusakan pada suatu sistem IT. Pada umumnya, threat-sources berasal dari alam, manusia,
atau
lingkungan.
Prosedur
yang dilakukan
di
SBUPE,
pada
saat
mengidentifikasi threat untuk track and trace system adalah sebagai berikut: a. Berdasarkan asset yang telah diidentifikasi dan valuasinya, dilakukan pembuatan list/daftar kemungkinan threat yang terjadi, b. Dari list/daftar tersebut, didapatkan suatu kemungkinan beberapa threat, yang kemudian dilakukan pencarian keterkaitan atau kecocokan, antara semua kemungkinan vulnerability dan threat tersebut, c. Jika threat tersebut memiliki keterkaitan/kecocokan dengan suatu vulnerability yang dapat menghasilkan resiko, maka threat tersebut ditetapkan sebagai sumber threat pada list/daftar threat, d. Jika threat tersebut tidak memiliki keterkaitan/kecocokan dengan suatu vulnerability untuk menghasilkan resiko, maka lakukan penghapusan threat dari daftar/list tersebut, e. Lakukan pengulangan prosedur b, c, dan d untuk semua threat yang terdapat pada list/daftar threat, f. Berdasarkan prosedur yang telah dilakukan, akan dihasilkan suatu daftar resiko, g. Lakukan pengukuran resiko tersebut. Di dalam menentukan Likelihood Of Occurrence, selain didapatkan dari data survey organisasi yang memantau statistik kejadian suatu insiden atau berdasarkan pengalaman suatu organisasi, sumber yang dapat dijadikan referensi dalam pemberian nilai adalah hasil melalui Information-Gathering Techniques.Terdapat dua teknik yang dapat dipergunakan di SBUPE dalam melakukan analisis resiko di-track and trace system, yaitu On-site Interviews dan Document Review (lihat karakteristik sistem pada tinjauan pustaka). Likelihood Of Occurrence adalah kemungkinan banyaknya suatu threat yang terjadi dalam suatu kurun waktu, dimana dalam proses penentuannya sangat subyektif. Metode untuk menentukan value-nya dapat dilakukan dengan memberikan suatu rating secara kualitatif, sebagai berikut: [8]
66
•
High (3) = 71% - 100%
•
Medium (2) = 31% - 70%
•
Low (1) = 1% - 30%
Terdapat tiga aspek keamanan yang ditinjau terkait sistem SBUPE berdasarkan C.I.A triangle model, sebagai berikut: •
Confidentiality, harus dapat menjamin, bahwa hanya karyawan tertentu saja yang memiliki hak untuk dapat mengakses informasi tertentu.
•
Integrity, harus menjamin kelengkapan informasi dan menjaga dari korupsi, kerusakan, atau ancaman lain yang menyebabkannya perubahan dari aslinya.
•
Availability: adalah aspek keamanan informasi yang menjamin pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini adalah manusia atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi.
Human dan Non-Human merupakan pelaku yang mempunyai potensi threat pada track and trace system dengan value berikut ini. Untuk hasil threat assesment yang terdapat pada sistemnya dapat dilihat dalam Tabel IV.3. Tabel IV.3 Threat Assesment Actor
Klasifikasi
1 2 3 4
Human Human Human Human
Deliberate Deliberate Deliberate Deliberate
5
Human Non Human Human Human
Deliberate Accidental
6 7 8 9 10 11 12
Human Human Non Human Human
Threat
Likelihood of occurrence
Administration failure Assault on an employee Blackmail Bomb/Terrorism Browsing of proprietary information Client/server failure
High Low Medium Low Medium
High Low
Deliberate Deliberate Deliberate Nature
Computer abuse Computer crime (cyber stalking) Credit card fraud Disgruntled employees Earthquake
Deliberate
Economic exploitation
Low
Deliberate
67
High
Low High Medium
Source
Information-Gathering Techniques
No
C
I
A
√ √ √ √
√ √ √
√
√
√ √
√
√
√
√
√
√
√ √
√ √
√
√
Tabel IV.3 (Lanjutan) Threat Assesment Actor
Klasifikasi
13 14
Human Human
Deliberate Deliberate
15 16 17 18 19
Human Human Human Human Human
Deliberate Deliberate Deliberate Deliberate Low
20 21
Human Human
Deliberate Low
22
Human
Deliberate
Human Non Human Human Human
Deliberate Deliberate
26 27 28 29
Human Human Human
Deliberate Deliberate Deliberate
30 31 32 33 34 35 36 37 38 39 40
Human Human Human Human Human Human Human Human Human Human Human
Deliberate Deliberate Deliberate Deliberate Deliberate Deliberate Deliberate
23 24 25
41
Human
Deliberate Accidental
Deliberate Deliberate Deliberate Deliberate
Deliberate
Threat
Likelihood of occurrence
C
I
A
√
√
√
√
√
√
Medium Medium Medium Medium Medium
√ √ √
√ √ √ √ √
Low Medium
√
Fraud and theft Fraudulent act (replay, impersonation, interception) Hacking Information bribery Information theft Information warfare Input of falsified, corrupted data Interception Intrusion on personal privacy Malicious code (virus, logic bomb, Trojan horse) Negligent persons Power failure
Medium Medium
Sabotage of data Sale of personal information Social engineering Spoofing System attack (distributed denial of service) System bugs System intrusion System penetration System sabotage System tampering Telecom fraud Terminated employees Theft of laptop/PC Theft of proprietary data Unauthorized access Unauthorized system access (access to classified, proprietary, and/or technology-related information) Web browser privacy
Medium Medium
68
Source
√
High Medium Medium
Low Low Medium Medium Medium Medium Low Low Low Low Medium Medium Medium Medium
Low
Information-Gathering Techniques
No
√
√ √ √ √ √
√ √
√ √ √
√
√
√
√
√
√
√
√
√
√ √
√ √
√
√
√ √ √ √ √ √
√ √ √ √ √
√ √ √
√ √
√
√
√
√
IV.3.3
Vulnerability Pada Track & Trace System
Vulnerability merupakan kelemahan yang ada pada asset dalam suatu organisasi. Vulnerability tidak menyebabkan rusaknya suatu asset, melainkan menciptakan suatu kondisi yang dapat mengakibatkan threat terjadi. Analisis suatu ancaman pada suatu sistem IT harus meliputi suatu analisis hubungan vulnerability dengan sistem lingkungannya. Tujuan dari langkah ini untuk mengembangkan daftar rincian vulnerability (kekurangan atau kelemahan) yang dapat dieksploitasi atau dimanfaatkan oleh potensi threat. Prosedur yang dilakukan di SBUPE, pada saat mengidentifikasi vulnerability untuk track and trace system adalah sebagai berikut. a. Berdasarkan asset yang telah diidentifikasi dan valuasinya, dilakukan pembuatan list/daftar kemungkinan vulnerability terjadi. b. Dari list/daftar tersebut, didapatkan suatu kemungkinan beberapa vulnerability, yang kemudian dilakukan pencarian keterkaitan atau kecocokan, antara semua kemungkinan threat dan vulnerability tersebut. c. Jika vulnerability tersebut memiliki keterkaitan/kecocokan dengan suatu threat yang dapat menghasilkan resiko, maka vulnerability tersebut termasuk di dalam list/daftar untuk vulnerability. d. Jika vulnerability tersebut tidak memiliki keterkaitan/kecocokan dengan suatu threat untuk menghasilkan resiko, maka lakukan penghapusan vulnerability dari daftar/list tersebut. e. Lakukan pengulangan prosedur b, c, dan d untuk semua vulnerability yang terdapat pada list/daftar vulnerability. f. Berdasarkan prosedur e yang telah dilakukan, akan dihasilkan suatu daftar resiko. g. Lakukan pengukuran resiko tersebut
69
Untuk hasil identifikasi vulnerability pada organisasi ini, dapat dilihat dalam Tabel IV.4. Tabel IV.4 Daftar Vulnerability pada Asset Organisasi
No. 1
2 3
4
5
6 7 8 9 10 11 12 13
14
15 16
Vulnerability Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. Pengubahan User Id atau password tidak dilakukan oleh unit processing Tidak adanya user interface dari aplikasi, untuk fasilitasitas pengubahan User Ide atau password Pemberian privileges untuk APE tidak dapat langsung dilakukan oleh supervisor, hanya dapat dilakukan oleh pihak pembuat aplikasi (divisi Teksisfo) Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Masih terjadi scanning barcode pada resi tidak dapat dibaca oleh Gun/Barcode Reader Tidak adanya pengawasan penggunaan barcode yang rusak/sobek Standard operating procedure dari juklak tidak dilaksanakan Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Tidak adanya keberlanjutan revisi untuk juklak beserta dokumentasinya Standard operating procedure dari juknis tidak dilaksanakan Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi. Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi APE dengan proses akuntansi Hak akses pada unit processing tidak terbatas dalam mengubah data konsumen pada database APE Data konsumen tidak tidak dirahasiakan, melainkan di-publish pada LAN.
70
Asset
Aplikasi Pos Ekspres
Resi pengirimam APE
Juklak
Juknis Data keuangan perusahaan Data konsumen
Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi
No. 17 18 19
20
21
22
23
24
25
26
27
28
29
30
31 32
Vulnerability Data personil melalui LAN dapat diakses dan tidak dilakukan batasan dalam pengungkapan informasi Hasil penilaian kecakapan personil tidak ditutupi, melainkan dipublish pada area LAN. Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini.
Asset Data personil perusahaan Surat izin usaha
Anggaran untuk melakukan pelatihan komputer (software/hardware) tidak ada dalam rencana kerja anggaran pada saat tahun berlangsung Tidak adanya pengawasan fisik terhadap web server secara langsung oleh unit ini, ditempatkan pada ruang server gedung pos Website bandung Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung Anggaran untuk melakukan pelatihan komputer (software/hardware) tidak ada dalam rencana kerja anggaran pada saat tahun berlangsung Tidak adanya pengawasan fisik terhadap server database secara langsung oleh unit ini, ditempatkan pada ruang server gedung pos Database bandung Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung Surat Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini. Kontrak kerja Antivirus yang sudah ter-install pada komputer, tidak di-update Aplikasi atau diperbaharui versi untuk database antivirus yang ada. perkantoran Standar operating procedure tidak dilaksanakan atau prosedur Sistem yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi Operasi pada organisasi. Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak Gedung diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan. PC desktop Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui versi untuk database antivirus yang ada. Unit ini tidak mempunyai personil khusus yang menangani kerusakan hardware/sotware.
71
Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi
No. 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51
52
Vulnerability Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Barcode pada paket/barang kiriman tidak dapat dibaca oleh Gun/barcode Reader Sensitive ketika scanning kertas barcode tidak stabil Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Tidak adanya cadangan pita printer Tidak adanya pembinaan rohani yang dilakukan secara berkala. Pelatihan hardware/software untuk mendukung operasional tidak dilakukan pada semua personil Sosialisasi/presentasi awal terhadap produk baru yang dihasilkan oleh organisasi tidak dilakukan. Pengembangan wawasan baru mengenai jasa kurir tidak dilakukan pada semua personil Tidak adanya dokumentasi yang langsung dilakukan oleh unit ini. Tidak adanya pembinaan rohani yang dilakukan secara berkala. Pelatihan hardware/software untuk mendukung operasional tidak dilakukan pada semua personil Sosialisasi/presentasi awal terhadap produk baru yang dihasilkan oleh organisasi tidak dilakukan. Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil Tidak adanya kebijakan yang mengatur hak akses data/informasi jika terjadi pengungkapan informasi. Jika terjadi down pada server, maka komunikasi track and trace system dilakukan melalui pesawat telephone. UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Tidak adanya pengawasan penggunaan listrik Di dalam menggunakan suatu sumber daya pada unit ini, tidak ada prosedur khusus yang membuat pengawasan penggunaan semua sumber daya. Untuk arsitektur jaringan komputer unit ini tidak terpisah, masih digabungkan dengan unit kerja yang ada di gedung pos bandung.
72
Asset Barcode reader/ Gun reader Printer
Karyawan PT.Pos
PKS
Karyawan Outsourcing
Komunikasi T&T Listrik
Jaringan Komputer
Tabel IV.4 (Lanjutan) Daftar Vulnerability pada Asset Organisasi
No.
Vulnerability Asset Sambungan telephone yang terdapat pada unit ini, tidak menggunakan kode password atau lock Telephone Tidak ada pengawasan dalam penggunaan telepon Tidak ada penempatan khusus untuk posisi pesawat telepon, ada pada ruangan umum unit processing. Di dalam menggunakan suatu sumber daya produk pada unit ini, tidak ada prosedur khusus yang membuat pengawasan penggunaan semua sumber daya. Produk Jika tidak terdapat suatu kasus pada saat operasional, maka pengembangan produk tidak dilakukan Untuk pengembangan produknya, tidak melibatkan unit Pos Ekspress.
53 54 55
56
57 58
IV.3.4
Resiko Pada Track & Trace System
Dari hasil identifikasi threat dan vulnerability, akan didapatkan suatu resiko dengan melakukan keterkaitan dan kecocokan setiap threat dan vulnerability yang terjadi. Berikut ini disajikan suatu tabulasi (Tabel IV.5) hasil dari threat dan vulnerability yang menghasilkan suatu resiko pada organisasi atau unit ini. Ukuran dari suatu resiko berasal dari kombinasi antara exposure rating, level vulnerability, dan tingkat efektifitas safeguard. Secara sederhana, pengukuran resiko secara kualitatif dilakukan dengan memberikan skala high, medium, dan low. Pengukuran resiko dengan skala tersebut memiliki kekurangan, yaitu untuk resiko dengan exposure, vulnerability, dan safeguard yang bernilai high, akan memiliki hasil yang sama dengan resiko untuk exposure, vulnerability, dan safeguard yang bernilai low. Oleh karena itu, untuk tingkatan pengukuran resiko diberikan lima skala, yaitu: [8] •
High = 5
•
Moderately high = 4
•
Medium = 3
•
Low = 2
•
Very low = 1
Pada Tabel II.8, penentuan resiko dilakukan secara conservative dengan vulnerability level lebih berperan terhadap perubahan tingkat resiko, jika dibandingkan dengan safeguard effectiveness.
73
Tabel IV.5 Daftar Resiko di SBUPE THREAT
VULNERABILITY
RESIKO
Administration failure
Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi.
Pengubahan data
Client/server failure Computer abuse
Earthquake
Fraud and theft Fraudulent act (replay, impersonation, interception) Malicious code (virus, logic bomb, Trojan horse) Power failure
Theft of laptop/PC
Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui untuk versi database antivirus yang ada. UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan.
** Hasil perhitungan pada Tabel IV.6
74
Kerusakan data elektronik
TINGKAT/ NILAI ** Moderately high(4)
High(5)
Pencurian Asset Informasi High(5)
Kerusakan akibat api atau air
Medium(3)
Pencurian High(5)
Pengungkapan informasi secara tidak tepat
Terinfeksi virus
Medium(3)
High(5)
Kegagalan hardware/software
Moderately high(4)
Pencurian
Very low(1)
Tabel IV.5 (Lanjutan) Daftar Resiko di SBUPE THREAT
VULNERABILITY
Unauthorized access Unauthorized system access (access to classified, proprietary, and/or technologyrelated information)
RESIKO
Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung
TINGKAT/ NILAI **
Penyalahgunaan data
Medium(3)
Hak akses illegal
Very low(1)
** Hasil perhitungan pada Tabel IV.6
IV.3.5
Pengukuran Resiko
Di dalam proses pengukuran resiko secara kualitatif, nilai likelihood didapatkan dari Information-Gathering Techniques berdasarkan tabel IV.3. Sedangkan untuk menentukan nilai skala high = 3, medium = 2, dan low = 1, dapat dilihat dari Tabel II.4. Untuk menentukan nilai Level of impact, estimasinya berdasarkan threat pada Tabel IV.5. Kemudian, untuk skala high, medium, dan low, dapat lihat Tabel pada II.5. Berdasarkan nilai likelihood dan impact, kemudian dilakukan penentuan exposure rating dengan referensi Tabel II.10. Vulnerability berdasarkan estimasi dengan berpedoman pada threat (action) yang dihasilkannya. Risk level matrik dalam Tabel II.7 dapat dijadikan referensi untuk memberikan penilaian resiko. Untuk pemberian nilai resiko pada laporan ini, menggunakan pengembangan dari Tabel II.8, dimana nilai resikonya berdasarkan pada exposure rating, vulnerability level, dan safeguard effectiveness.
75
Earthquake Fraud and theft Fraudulent act (replay, impersonation, interception) Malicious code (virus, logic bomb, Trojan horse) Power failure Theft of laptop/PC Unauthorized access Unauthorized system access (access to classified, proprietary, and/or technologyrelated information)
Antivirus yang sudah ter-install pada komputer, tidak di-update atau diperbaharui untuk versi database antivirus yang ada. UPS yang sudah terinstalasi pada unit ini, pemeliharaannya tidak dilaksanakan. Untuk lokasi umum yang strategis dalam melaksanakan fungsi operasional, tidak dilengkapi dengan suatu TV camera untuk pemantauan. Tidak adanya pelaksanaan rekonsiliasi keuangan pada setiap unit operasional yang berhubungan langsung antara resi dengan proses akuntansi Unit ini tidak mempunyai personil khusus yang menangani masalah teknis harware/software/networking, masih ditangani oleh divisi IT gedung pos Bandung
76
Vulberability Level
Computer abuse
Pengembangan wawasan mengenai jasa kurir tidak dilakukan pada semua personil Prosedur dan hasil keputusan pengadaan barang tidak sesuai dengan spesifikasi kebutuhan operasional Standar operating procedure tidak dilaksanakan atau prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada APE. Kerjasama dengan pihak asuransi yang ada pada unit ini, tidak diperbaharui/tidak mencakup untuk kondisi sumber daya terkini. Tidak adanya keberlanjutan revisi untuk juknis beserta dokumentasinya Prosedur yang ada tidak dapat mengantisipasi kondisi terkini yang terjadi pada organisasi.
Exposure Rating
Administration failure Client/server failure
Vulnerability
Level Of Impact
Threat
Likelihood
Tabel IV.6 Pengukuran Resiko
3
2
8
1
4
3
3
9
3
5
3
2
8
3
5
2
2
6
2
3
2
1
3
3
5
2
2
6
2
3
3
3
9
3
5
2
2
6
3
4
2
1
3
1
1
2
2
6
2
3
2
1
3
1
1
Risk
IV.4
Analisis Resiko Secara Kuantitatif
Untuk melakukan suatu analisis resiko secara kuantitatif, perlu menentukan hubungan suatu nilai dari kerugian-kerugian potensial dengan proses yang tertunda, kerusakan properti, atau data. Kemudian perlu juga dilakukan perkiraan kemungkinan kejadian dari kegagalan resiko, sehingga akhirnya dapat diperhitungkan perkiraan kerugian pertahunnya. [10]. IV.4.1 Identifikasi dan Valuasi Asset Studi mengenai identifikasi, valuasi asset (secara subyektif), threat, dan vulnerability assessment telah dilakukan pada prosedur analisis resiko secara kualitatif. Selanjutnya, pada prosedur kuantitatif dilakukan perhitungan yang mengarah pada analisis cost-benefit dengan menggunakan value berupa suatu besaran satuan mata uang (rupiah). Berdasarkan data-data dari hasil analisis sistem yang sedang terjadi di SBUPE dan formula perhitungan analisis resiko secara kuantitatif, didapatkan hasil seperti dalam Tabel IV.7, dengan hasil perhitungan asset dari unit Account Officer yang sudah bernilai tangible. Tabel IV.7 Identifikasi dan Valuasi Aset
unit
NILAI SATUAN (Rp.) ** 6,800,000.00
NILAI TOTAL (Rp.)** 54,400,000.00
1
unit
13,850,000.00
13,850,000.00
9
unit
950,000.00
8,550,000.00
Printer Epson LQ1170
3
unit
875,000.00
2,625,000.00
5
Hub/ Switch ATi 16 port 10/ 100
2
unit
600,000.00
1,200,000.00
6
Operating System Microsoft E85-02667
8
paket
2,800,000.00
22,400,000.00
7
Aplikasi Pos Express
1
paket
5,000,000.00
5,000,000.00
8
Website
1
paket
4,000,000.00
4,000,000.00
9
Database
1
paket
10
Aplikasi Perkantoran
1
paket
2,000,000.00
2,000,000.00
11
Karyawan Pos
16
orang
2,500,000.00
40,000,000.00
12
Karyawan Outsourching
18
orang
900,000.00
16,200,000.00
No.
NAMA ASET
1
8
3
PC Desktop: client IBM PC 300 GL PC Desktop: server IBM System X3250 Barcode Reader NEC
4
2
JUMLAH
** Sumber: Peraturan Dinas No. 6 (Akuntansi)
77
-
-
Tabel IV.7 (Lanjutan) Identifikasi dan Valuasi Aset No.
NAMA ASET
JUMLAH
13
Data Elektronik
1
14
Resi Pengiriman
1
15
Juklak dan Juknis
1
unit Paket (500 lembar) bundel
NILAI SATUAN (Rp.) ** 20,000,000.00
NILAI TOTAL (Rp.)** 20,000,000.00
1,000,000.00
1,000,000.00
20,000,000.00
20,000,000.00
** Sumber: Peraturan Dinas No. 6 (Akuntansi)
IV.4.2 Threat dan Vulnerability Assessment Pada kuantitatif, nilai ARO (Annualized Rate Of Occurrence) dipergunakan untuk perkiraan atau estimasi frekuensi sebuah resiko yang dapat terjadi dalam statu periode tertentu, seperti yang diperlihatkan Dalam Tabel IV.8. Misalnya sebagai berikut. •
Jika suatu threat terjadi sebanyak 1 kali dalam 8 tahun, maka ARO yang terjadi adalah 1/8 = 0.13.
•
Jika pencurian terjadi sebanyak 1 kali dalam 12 tahun, maka ARO yang terjadi adalah 1/12 = 0.08.
•
Jika pencurian terjadi sebanyak 1 kali dalam 4 tahun, maka ARO yang terjadi adalah 1/4 = 0.25. Tabel IV.8 Kemungkinan terjadi threat berdasarkan ARO
Klasifikasi Deliberate Deliberate
Human
Non-human
Deliberate Accidental Deliberate Deliberate Deliberate Deliberate Nature Accidental Accidental
Threat Unauthorized access Malicious code (virus, logic bomb, Trojan horse) Unauthorized system access (access to classified, proprietary, and/or technologyrelated information) Administration failure Fraud and theft Computer abuse Theft of laptop/PC Fraudulent act (replay, impersonation, interception) Earthquake Client/server failure Power failure
78
ARO 1 1 6
1 0.13 0.13 0.08 0.25 0.25 6 0.25
Source
Information-Gathering Techniques
Actor
C I √ √
A
√
√
√
√
√
√ √ √ √
√ √ √ √
√
√
√ √
√ √ √
Exposure rating (EF) yang dimiliki setiap asset nilainya berbeda terhadap suatu threat, sehingga terdapat asset yang invulnerable terhadap threat dan terdapat pula asset yang sangat vulnerable terhadap threat. Persentase penilaian suatu asset loss yang disebabkan oleh identifikasi threat, pemberian estimasi ranges-nya diantara 0% sampai 100%, lihat Tabel II.11 mengenai estimasi nilai EF. Dalam menentukan value estimasinya, Information-Gathering Techniques yang dilakukan pada SBUPE dapat dijadikan referensi suatu estimasi presentase untuk exposure rating. Berikut ini, diperlihatkan suatu tabulasi mengenai pemetaan nilai asset terhadap ARO serta exposure rating-nya. (Tabel IV.9)
79
Power failure 0.25
Client/server failure 6
Earthquake 0.25
Fraudulent act (replay, impersonation, interception) 0.25
Theft of laptop/PC 0.08
Computer abuse 0.13
Fraud and theft 0.13
Administration failure 1
Unauthorized system access (access to classified, proprietary, and/or technologyrelated information)
Malicious code (virus, logic bomb, Trojan horse)
Unauthorized access
6
54,400,000 13,850,000 8,550,000 2,625,000 1,200,000 22,400,000 5,000,000 4,000,000 2,000,000 40,000,000 16,200,000 20,000,000 1,000,000 20,000,000
1
VALUE
1
ASET PC Desktop: client IBM PC 300 GL PC Desktop: server IBM System X3250 Barcode Reader NEC Printer Epson LQ1170 Hub/ Switch ATi 16 port 10/ 100 Operating System Microsoft E85-02667 Aplikasi Pos Express Website Database Aplikasi Perkantoran Karyawan Pos Karyawan Outsourching Data Elektronik Resi Pengiriman Juklak dan Juknis
ARO
THREAT
Tabel IV.9 Exposure Rating
40% 20% 0% 0% 0% 20% 20% 20% 0% 0% 0% 0% 40% 20% 0%
60% 40% 0% 0% 0% 80% 60% 40% 0% 40% 0% 0% 20% 0% 0%
40% 40% 0% 0% 0% 40% 20% 0% 20% 0% 20% 20% 0% 20% 0%
20% 20% 0% 0% 0% 60% 60% 0% 0% 40% 0% 0% 60% 20% 0%
40% 40% 0% 0% 0% 0% 0% 0% 0% 0% 60% 60% 40% 0% 0%
20% 20% 20% 0% 0% 0% 20% 0% 0% 0% 40% 40% 20% 0% 0%
80% 80% 80% 80% 80% 80% 40% 80% 80% 60% 60% 60% 40% 0% 0%
80% 80% 0% 0% 0% 0% 80% 0% 40% 0% 0% 0% 80% 0% 0%
80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80%
60% 60% 60% 60% 60% 40% 40% 40% 40% 40% 0% 0% 80% 0% 0%
20% 20% 0% 0% 20% 20% 20% 20% 20% 20% 0% 0% 20% 0% 0%
80
Single Loss Expectancy (SLE) adalah nilai kerugian terhadap asset bila sebuah resiko yang teridentifikasi terjadi. Formula untuk menghitung SLE adalah Asset Value x Exposure factor, sehingga data-data SLE yang terdapat pada Tabel IV.10 berasal dari nilai total (rupiah) suatu asset dengan nilai EF pada tabel exposure rating. Contoh perhitungan untuk SLE pada SBUPE dijelaskan di bawah ini. Diketahui: •
Asset dengan nama PC Desktop client IBM PC 300 GL,
•
Nilai total dari asset sebesar Rp.54.400.000.00,
•
EF untuk asset tersebut berdasarkan tabel exposure rating adalah 40%.
Dengan formula perhitungan SLE maka didapatkan hasil sebesar Rp.21.760.000.00. Untuk hasil perhitungan lengkap semua nilai SLE, dapat dilihat pada tabel IV.9 mengenai Single Loss Expectancy.
81
0.25
Power failure
6
Client/server failure
0.25
Earthquake
0.25
Fraudulent act (replay, impersonation, interception)
0.08
Theft of laptop/PC
0.13
Computer abuse
0.13
Fraud and theft
1
Administration failure
Unauthorized system access (access to classified, proprietary, and/or technology-related information) 6
Malicious code (virus, logic bomb, Trojan horse) 1
Unauthorized access 1
ARO
THREAT
Tabel IV.10 Single Loss Expectancy
PC Desktop: client IBM PC 300 GL
54,400,000
21,760,000
32,640,000
21,760,000
10,880,000
21,760,000
10,880,000
43,520,000
43,520,000
43,520,000
32,640,000
10,880,000
PC Desktop: server IBM System X3250
13,850,000
2,770,000
5,540,000
5,540,000
2,770,000
5,540,000
2,770,000
11,080,000
11,080,000
11,080,000
8,310,000
2,770,000
Barcode Reader NEC
8,550,000
-
-
-
-
-
1,710,000
6,840,000
-
6,840,000
5,130,000
-
Printer Epson LQ1170
2,625,000
-
-
-
-
-
-
2,100,000
-
2,100,000
1,575,000
-
Hub/ Switch ATi 16 port 10/ 100
1,200,000
-
-
-
-
-
-
960,000
-
960,000
720,000
240,000
22,400,000
4,480,000
17,920,000
8,960,000
13,440,000
-
-
17,920,000
-
17,920,000
8,960,000
4,480,000
Aplikasi Pos Express
5,000,000
1,000,000
3,000,000
1,000,000
3,000,000
-
1,000,000
2,000,000
4,000,000
4,000,000
2,000,000
1,000,000
Website
4,000,000
800,000
1,600,000
-
-
-
-
3,200,000
-
3,200,000
1,600,000
800,000
0
-
-
-
-
-
-
-
-
-
-
400,000
ASET
Operating System Microsoft E85-02667
Database
VALUE
2,000,000
-
800,000
-
800,000
-
-
1,200,000
-
1,600,000
800,000
40,000,000
-
-
8,000,000
-
24,000,000
16,000,000
24,000,000
-
32,000,000
-
-
Karyawan Outsourching
16,200,000
-
-
3,240,000
-
9,720,000
6,480,000
9,720,000
-
12,960,000
-
-
Data Elektronik
20,000,000
8,000,000
4,000,000
-
12,000,000
8,000,000
4,000,000
8,000,000
16,000,000
16,000,000
16,000,000
4,000,000
Resi Pengiriman
1,000,000
200,000
-
200,000
200,000
-
-
-
-
800,000
-
-
20,000,000
-
-
-
-
-
-
-
-
16,000,000
-
-
Aplikasi Perkantoran Karyawan Pos
Juklak dan Juknis
82
Annualized Loss Expectancy (ALE) adalah nilai estimasi kerugian pertahun terhadap asset, jika sebuah resiko yang teridentifikasi terjadi. Formula untuk menghitung ALE adalah Single Loss Expectancy x Annualized Rate of Occurrence, sehingga data-data ALE yang terdapat Tabel IV.11 berasal dari SLE dalam Tabel IV.10 dengan nilai ARO suatu threat yang terjadi. Contoh perhitungan untuk ARO pada SBUPE dijelaskan di bawah ini. Diketahui: •
Asset dengan nama PC Desktop client IBM PC 300 GL,
•
Nilai total dari asset sebesar Rp.54.400.000.00,
•
EF untuk asset tersebut berdasarkan tabel exposure rating adalah 40%,
•
Mempunyai nilai SLE sebesar Rp.21.760.000.00,
•
Dari tabel IV.7 didapatkan nilai ARO-nya adalah 1.
Dengan menggunakan formula perhitungan ARO, maka didapatkan hasil sebesar Rp.21.760.000,00 Untuk hasil perhitungan lengkap semua nilai ARO, dapat dilihat pada Tabel IV.11 mengenai Annualized Loss Expectancy.
83
Juklak dan Juknis
6
21,760,000
32,640,000
130,560,000
10,880,000
2,828,800
1,414,400
3,481,600
10,880,000
10,880,000
195,840,000
2,720,000
13,850,000
2,770,000
5,540,000
33,240,000
2,770,000
720,200
360,100
886,400
2,770,000
2,770,000
49,860,000
692,500
8,550,000
-
-
-
-
-
222,300
547,200
-
1,710,000
30,780,000
-
2,625,000
-
-
-
-
-
-
168,000
-
525,000
9,450,000
-
1,200,000
-
-
-
-
-
-
76,800
-
240,000
4,320,000
60,000
22,400,000
4,480,000
17,920,000
53,760,000
13,440,000
-
-
1,433,600
-
4,480,000
53,760,000
1,120,000
5,000,000
1,000,000
3,000,000
6,000,000
3,000,000
-
130,000
160,000
1,000,000
1,000,000
12,000,000
250,000
4,000,000
800,000
1,600,000
-
-
-
-
256,000
-
800,000
9,600,000
200,000
-
-
-
-
-
-
-
-
-
-
-
2,000,000
-
800,000
-
800,000
-
-
96,000
-
400,000
4,800,000
100,000
40,000,000
-
-
48,000,000
-
3,120,000
2,080,000
1,920,000
-
8,000,000
-
-
16,200,000
-
-
19,440,000
-
1,263,600
842,400
777,600
-
3,240,000
-
-
20,000,000
8,000,000
4,000,000
-
12,000,000
1,040,000
520,000
640,000
4,000,000
4,000,000
96,000,000
1,000,000
1,000,000
200,000
-
1,200,000
200,000
-
-
-
-
200,000
-
-
-
20,000,000
Total
39,010,000
65,500,000
292,200,000
43,090,000
84
-
-
-
8,972,600
5,569,200
10,443,200
18,650,000
4,000,000 42,245,000
0.25
0.25
Power failure
Client/server failure
0.25
Earthquake
0.08
Fraudulent act (replay, impersonation, interception)
Theft of laptop/PC
Computer abuse
Fraud and theft
Administration failure
Unauthorized system access (access to classified, proprietary, and/or technology-related information)
Malicious code (virus, logic bomb, Trojan horse)
Unauthorized access
0.13
Resi Pengiriman
0.13
Website
Data Elektronik
1
Aplikasi Pos Express
Karyawan Outsourching
6
Hub/ Switch ATi 16 port 10/ 100 Operating System Microsoft E85-02667
Karyawan Pos
1
Printer Epson LQ1170
Aplikasi Perkantoran
54,400,000
VALUE
Barcode Reader NEC
Database
1
ASET PC Desktop: client IBM PC 300 GL PC Desktop: server IBM System X3250
ARO
THREAT
Tabel IV.11. Annualized Loss Expectancy
466,410,000
6,142,500
IV.4.3 Analisis Cost dan benefit Safeguard cost/benefit analysis adalah analisis cost/benefit terhadap langkah-langkah penanganan resiko yang telah dimiliki, bagi setiap resiko yang teridentifikasi. Nilai safeguard suatu perusahaan/organisasi = (ALE sebelum implemantasi safeguard) – (ALE setelah implementasi safeguard) – (biaya tahunan safeguard). Nilai tersebut, kemudian dibandingkan dengan cost dalam mengimplementasikan safeguard. Dari perbandingan nilainya, akan dapat di analisis bahwa kandidat safeguard yang dapat diimplementasikan adalah safeguard dengan perbandingan cost dan benefitnya lebih kecil dari 1. [8]. Nilai ALE pada Tabel IV.11 merupakan nilai prediksi, jika resiko-resiko yang diidentifikasikan terjadi pada SBUPE. Kemudian, untuk langkah selanjutnya dalam mengantisipasi resiko-resiko tersebut, dapat dilakukan dengan beberapa cara, yaitu: •
Menurunkan Mengurangi tingkat resiko menuju arah yang acceptable level,
•
Menghindari tingkat resiko yang ada pada sistem,
•
Menerima resiko yang ada,
•
Men-transfer resiko ke pihak lain.
Secara teknisnya, hal-hal tersebut di atas dapat dilakukan dengan cara, sebagai berikut:[8] 1. Mengimplementasikan produk-produk keamanan yang mampu menurunkan tingkat resiko dengan dengan mempertimbangkan perbandingan cost dan benefit-nya, 2. Mengimplementasikan prosedur-prosedur atau policy, baik itu dalam monitoring, mencegah, mengurangi, ataupun me-respond resiko yang telah terjadi, 3. Melimpahkan resiko yang ada kepada pihak lain, seperti asuransi, 4. Mengabaikan resiko-resiko yang terjadi. Berikut ini, disajikan tabulasi mengenai estimasi dari safeguard effectiveness, dengan cara membuat safeguard untuk suatu vulnerability yang ada pada Tabel IV.4. Prosedur untuk mengisikan hasil dari semua tabulasi di bawah ini, sama dengan yang dilakukan pada prosedur untuk tabel menghitung EF, SLE, dan ALE sebelum implementasi safeguard. Pada tabulasi ini akan menghasilkan ALE setelah implementasi safeguard, sehingga akan didapatkan nilai Safeguard cost/benefit analysis yang terjadi pada SBUPE. (Tabel IV.15) 85
Fraud and theft
Computer abuse
Theft of laptop/PC
Fraudulent act (replay, impersonation, interception)
Earthquake
Client/server failure
Power failure
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
Antivirus
30,000,000
0%
85%
0%
0%
0%
0%
0%
0%
0%
0%
0%
Membuat SOP
40,000,000
85%
85%
85%
85%
85%
85%
85%
85%
85%
Pelatihan komputer
50,000,000
0%
80%
80%
85%
0%
0%
0%
0%
0%
75%
0%
Rekonsiliasi keuangan
70,000,000
0%
0%
0%
0%
85%
0%
85%
0%
0%
0%
0%
Prosedur penggunaan
10,000,000
0%
0%
0%
0%
0%
60%
0%
0%
0%
0%
0%
CCTV
22,000,000
0%
0%
0%
0%
0%
0%
80%
0%
0%
0%
0%
70,000,000 110,000,000
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
60% 0%
0% 80%
0% 0%
0% 0%
Pengadaan barang
81,275,000
0%
0%
0%
0%
0%
0%
0%
0%
0%
80%
0%
Pemeliharaan UPS
15,000,000
0%
0%
0%
0%
0%
0%
0%
0%
0%
80%
90%
Pembinaan SDM (berkala)
Membuat kebijakan hak akses data/informasi Asuransi
Malicious code (virus, logic bomb, Trojan horse)
75%
SAFEGUARD
Unauthorized access
150,000,000
THREAT
Administration failure
Unauthorized system access (access to classified, proprietary, and/or technology-related information)
Tabel IV.12 safeguard effectiveness
ANNUAL COST
86
85%
85%
Power failure
Client/server failure
Earthquake
Fraudulent act (replay, impersonation, interception)
Theft of laptop/PC
Computer abuse
Fraud and theft
Administration failure
Unauthorized system access (access to classified, proprietary, and/or technology-related information)
Unauthorized access
THREAT SAFEGUARD Pembinaan SDM (berkala)
Malicious code (virus, logic bomb, Trojan horse)
Tabel IV.13 SLE dari implementasi
ANNUAL COST 150,000,000
112,500,000
-
-
-
-
-
-
-
-
-
-
Antivirus
30,000,000
-
25,500,000
-
-
-
-
-
-
-
-
-
Membuat SOP
40,000,000
34,000,000
34,000,000
34,000,000
34,000,000
34,000,000
34,000,000
34,000,000
34,000,000
34,000,000
34,000,000
34,000,000
Pelatihan komputer
50,000,000
-
40,000,000
40,000,000
42,500,000
-
-
-
-
-
37,500,000
-
Rekonsiliasi keuangan
70,000,000
-
-
-
-
59,500,000
-
59,500,000
-
-
-
-
Prosedur penggunaan
10,000,000
-
-
-
-
-
6,000,000
-
-
-
-
-
CCTV Membuat kebijakan hak akses data/informasi
22,000,000
-
-
-
-
-
-
17,600,000
-
-
-
-
70,000,000
-
-
-
-
-
-
-
42,000,000
-
-
-
110,000,000
-
-
-
-
-
-
-
-
88,000,000
-
-
Pengadaan barang
81,275,000
-
-
-
-
-
-
-
-
-
65,020,000
-
Pemeliharaan UPS
15,000,000
-
-
-
-
-
-
-
-
-
12,000,000
13,500,000
Asuransi
87
Pembinaan SDM (berkala)
150,000,000
0.25
Power failure
Client/server failure
Earthquake 0.25
6
Fraudulent act (replay, impersonation, interception) 0.25
Theft of laptop/PC 0.08
1
Computer abuse
Administration failure
6
0.13
Unauthorized system access (access to classified, proprietary, and/or technology-related information)
-
Fraud and theft
Malicious code (virus, logic bomb, Trojan horse) 1
112,500,000
0.13
Unauthorized access 1
ANNUAL COST
ASET
ARO
THREAT
Tabel IV.14 ALE dari implementasi
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
8,500,000
8,500,000
204,000,000
-
-
225,000,000
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Antivirus
30,000,000
-
25,500,000
Membuat SOP
40,000,000
34,000,000
34,000,000
204,000,000
34,000,000
Pelatihan komputer
50,000,000
-
40,000,000
240,000,000
42,500,000
Rekonsiliasi keuangan
70,000,000
-
-
-
-
Prosedur penggunaan
10,000,000
-
-
-
-
-
780,000
CCTV Membuat kebijakan hak akses data/informasi
22,000,000
-
-
-
-
-
-
70,000,000
-
-
-
-
-
-
-
110,000,000
-
-
-
-
-
-
-
-
Pengadaan barang
81,275,000
-
-
-
-
-
-
-
-
-
390,120,000
Pemeliharaan UPS
15,000,000
-
-
-
-
-
-
-
-
-
72,000,000
3,375,000
891,120,000
11,875,000
Asuransi
total
648,275,000
146,500,000
99,500,000
444,000,000
76,500,000
88
4,420,000 7,735,000
12,155,000
4,420,000 -
5,200,000
2,720,000 4,760,000 1,408,000
8,888,000
10,500,000
19,000,000
22,000,000
30,500,000
8,500,000 -
-
Malicious code (virus, logic bomb, Trojan horse)
Unauthorized system access (access to classified, proprietary, and/or technology-related information)
Administration failure
Fraud and theft
Computer abuse
Theft of laptop/PC
Fraudulent act (replay, impersonation, interception)
Earthquake
Client/server failure
Power failure
Pembinaan SDM (berkala)
-1.6
-0.8
-0.1
-0.9
-1.0
-1.0
-1.0
-0.9
-0.9
0.3
-1.0
Antivirus
-0.9
-1.7
0.1
-0.9
-1.0
-1.0
-1.0
-0.9
-0.9
0.7
-1.0
Membuat SOP
-1.9
-1.9
-6.1
-1.9
-1.1
-1.1
-1.1
-1.2
-1.2
-5.3
-1.2
Pelatihan computer
-1.0
-1.8
-5.8
-1.9
-1.0
-1.0
-1.0
-1.0
-1.0
-5.3
-1.0
Rekonsiliasi keuangan
-1.0
-1.0
-1.0
-1.0
-1.1
-1.0
-1.1
-1.0
-1.0
-0.9
-1.0
Prosedur penggunaan
-0.6
0.8
4.4
0.3
-1.0
-1.1
-0.9
-1.0
-0.6
4.4
-0.9
CCTV
-1.0
-0.9
-0.7
-0.9
-1.0
-1.0
-1.1
-1.0
-1.0
-0.5
-1.0
Membuat kebijakan hak akses data/informasi Asuransi
-1.0
-1.0
-1.0
-1.0
-1.0
-1.0
-1.0
-1.2
-1.0
-0.9
-1.0
-1.0
-1.0
-1.0
-1.0
-1.0
-1.0
-1.0
-1.0
-1.2
-1.0
-1.0
Pengadaan barang
-1.0
-1.0
-1.0
-1.0
-1.0
-1.0
-1.0
-1.0
-1.0
-5.7
-1.0
Pemeliharaan UPS
-1.0
-1.0
2.2
-1.0
-0.8
-0.9
-0.9
-1.0
-0.5
-5.8
-1.2
THREAT
Unauthorized access
Tabel IV.15 Cost/benefit analysis
SAFEGUARD
89