JURNAL TEKNIK POMITS Vol. 1, No. 1, (2012) 1-6
1
Manajemen Resiko Pada Pengelolaan Data Di Bagian Pengolahan Data PT. Petrokimi Gresik Aulia Febriyanti, Bekti Cahyo Hidayanto, S.Si., M.Kom Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS) Jl. Arief Rahman Hakim, Surabaya 60111 E-mail:
[email protected]
Abstrak— Pengelolaan data TI yang berbasis resiko menjadi bagian yang penting untuk menangani semua ancaman yang muncul dari sebuah sistem informasi. PT. Petrokimia Gresik melihat resiko sebagai faktor yang mempengaruhi kinerja perusahaan. Metode yang digunakan dalam mengelola resiko dimulai dari mengidentifikasi resiko, menilai resiko, serta membentuk strategi untuk mengelolanya melalui sumber daya yang tersedia. Hasil tugas akhir ini adalah resiko dan penilaiannya serta strategi mitigasinya. Kata Kunci—Kuesioner IPD Online, Kualitas Informasi, Kepuasan Pengguna.
I. PENDAHULUAN erkembangan bidang teknologi informasi pada era globalisasi Pmelaju dengan pesat sehingga teknologi informasi menjadi aset yang paling berharga. Saat ini perusahaan swasta maupun instansi pemerintah sangat bergantung dengan teknologi informasi (TI) untuk mencapai tujuan bisnisnya. TI juga digunakan untuk mendukung proses bisnis utama maupun pendukung yang ada pada perusahaan. PT. Petrokimia Gresik adalah salah satu BUMN yang memanfaatkan penggunaan teknologi informasi (TI) untuk menunjang kegiatan yang berkaitan dengan pengolahan data dan penyajian informasi. Semakin kompleksnya proses bisnis dan menuntut kecepatan serta akurasi dalam pengambilan keputusan, maka PT. Petrokimia Gresik membentuk departement yang menangani layanan yang berhubungan dengan TI yaitu Departement Teknologi Informasi (Tekinfo). Pengelolaan yang kurang baik pada teknologi informasi akan mengakibatkan kurang optimalnya proses bisnis yang bersifat kritis. Oleh karena itu, teknologi informasi harus dikelola dengan baik dengan mengacu pada standar tata kelola yang diakui internasional. Manajemen resiko merupakan salah satu elemen penting dalam bisnis perusahaan karena semakin berkembangnya zaman dapat meningkatkan kompleksitas. Penerapan manajemen risiko akan mempermudah penilaian terhadap kerugian yang akan dihadapi perusahaan yang dapat mempengaruhi pengolahan data perusahaan dan sebagai salah satu dasar penilaian dalam menetapkan strategi dan fokus pengolahan data. Adapun beberapa permasalahan yang akan diangkat dalam penelitian ini yaitu pertanyaan bersifat korelasional dan deskriptif. Berikut merupakan rumusan masalah dari penelitian yang dilakukan:
a. Resiko apa saja yang muncul selama proses pengelolaan data di Bidang Pengembangan TI di Tekinfo? b. Dampak apa saja yang di timbulkan bagi resiko pada proses pengelolaan data yang sudah teridentifikasi di Bidang Pengembangan TI di Tekinfo? Tujuan dari adanya penelitian ini antara lain: a. Mengidentifikasi resiko dan penilaian resiko pada pengolalaan data yang dilakukan oleh regu bidang Pengembangan TI.
II. TINJAUAN PUSTAKA A. Pengenalan Data Data menurut (Jogianto, 1991) adalah kenyataan yang menggambarkan suatu kejadian-kejadian dan kesatuan nyata. Pengolahan data (data processing) adalah manipulasi data kedalam bentuk yang lebih berarti berupa informasi, sedangkan informasi adalah hasil dari kegiatan-kegiatan pengolahan data yang memberikan bentuk yang lebih berarti dari suatu kegiatan atau peristiwa. B. Manajemen Resiko Manajemen resiko adalah proses pengukuran atau penilaian resiko serta pengembangan strategi pengelolaannya. Strategi yang dapat diambil antara lain adalah memindahkan resiko kepada pihak lain, menghindari resiko, mengurangi efek negatif resiko, dan menampung sebagian atau semua konsekuensi resiko tertentu. C. Penilaian Resiko Penilaian resiko (risk assessment) adalah proses yang digunakan untuk mengidentifikasi dan mengevaluasi resiko serta efek potensial yang terkait dengan proses bisnis. Manajemen resiko mengacu pada evaluasi sumber daya organisasi untuk mencapai tingkat keamanan tertentu. Pentingnya manajemen resiko berada dalam kemampuannya untuk memungkinkan mengidentifikasi dampak masa depan semua proyek dalam organisasi struktur resiko. Penilaian resiko melibatkan proses manajemen resiko yang diilustrasikan pada Gambar 1
JURNAL TEKNIK POMITS Vol. 1, No. 1, (2012) 1-6
2 a. Mencegah resiko muncul dengan memperkecil sumber resiko b. Memperkecil kerugian jika resiko tidak bisa dicegah c. Penggolongan dari kegiatan bisnis untuk membatasi jangkauan resiko III. METODE PENELITIAN
Gambar 1. Proses Manajemen Resiko
Selanjutnya, penelitian ini dilakuka n di Tekinfo PT. Petrokimia Gresik, Pada Gambar 3 ditunjukkan mengenai langkah-langkah pengerjaannya.
D. Mitigasi Mitigasi resiko adalah proses ketiga dari manajemen resiko, melibatkan, memprioritaskan, mengevaluasi, dan implementasi resiko dari proses penilaian resiko. Gambar 2.
Gambar 3. Alur Pelaksanaan Penelitian Gambar 2. Risk Mitigation
Pada Gambar 2 Risk matigation yang ada diatas adalah acuan dalam mengurangi resiko, sebagai berikut (Hismam, 2009): 1. Menerima resiko (Retain Risk) Perusahaan memutuskan untuk melanjutkan kegiatan seperti biasa dengan persetujuan umum untuk menerima sifat resiko yang terdiri dari: a. Analisa biaya dan keuntungan b. Alokasi yang besar 2. Mengalihkan resiko (Transferring Risk) Perusahaan memutuskan untuk mengalihkan resiko dari (contoh) satu unit bisnis kepada lainnya atau dari satu area bisnis ke kelompok ketiga. Contohnya: a. Asuransi b. Menggunakan pengendalian (pembendungan, meneruskan kedepannya, dan lain-lain) 3. Menghindari resiko (Avoiding Risk) Perusahaan memutuskan untuk menghindari atau mencegah resiko dengan tidak mengerjakan proyek atau melakukan beberapa aktivitas bisnis yang mempunyai kemungkinan resiko yang besar, jika mereka melakukan itu. Resiko yang bisa dihindari adalah resiko mempunyai: a. Tujuan yang tidak sama dengan visi perusahaan b. Mempunyai kerugian keuangan, sosial dan strategi yang besar untuk organisasi c. Tidak ada peraturan perlindungan proyek d. Dampak yang melibihi batas 4. Mengendalikan resiko (Controlling Risk) Perusahaan bisa mengendalikan sumber dan mencoba untuk mengurangi resiko sebelum resiko tersebut terjadi, seperti:
IV. HASIL PENILITIAN DAN ANALISA DATA A. Identifikasi Resiko Pada dasarnya, identifikasi resiko dilakukan untuk mencari resiko dan kerentanan dari pelaksanaan proses yang berdampak pada bisnis, sehingga dapat diketahui pengendalian untuk mengurangi kemungkinan terjadinya resiko. Langkah dalam menentukan identifikasi resiko adalah sebagai berikut: Melakukan identifikasi ancaman (threat) terhadap sistem informasi sebagai aset instansi dan dampak bisnis terkait dengan ancaman tersebut. Melakukan identifikasi terhadap kelemahan (vulnerability) yang dapat memicu terjadinya ancaman (threat). Tabel 1 Identifikasi Aset
Kategori Jaringan Infrastruktur Perangkat keras
Perangkat lunak
Manusia Data
Sumber Resiko Sumberdaya Teknologi wireless, jaringan VPN. Yang mendukung jaringan struktur seperti fasiltias Komputer server dan client, printer, scanner, keyboard, mouse, switch, router, kabel LAN Sistem informasi: BP- LPSE, SMEP, SIEVAP, SIPPD, SIKAP. website 38 SKPD, server hosting. administrator, user sistem, seluruh karyawan, staf keamanan server, teknis. Data penting yang di perusahaan T.Petrokimia Gresik adalah data sumber daya manusia, data anggaran, data inventori, data pengadaan, data keuangan,
JURNAL TEKNIK POMITS Vol. 1, No. 1, (2012) 1-6 data pemesanan. penghapusan media, penyimpan data,
Prosedur
Tabel 1 Setelah teridentifikasi semua aset yang ada dalam katiannya dengan pengolaan data di perusahaan PT. Petrokimia Gresik, langkah selanjutnya ialah mengidentifikasi ancaman (threat) yang mengancam keberadaan pengelolaan data sebagai aset berharga perusahaan. Petir yang menyambar
3
Terjadinya hubungan arus pendek
Kebakaran
Tidak ada larangan bebas merokok
Tidak adanya alat pemadam kebakaran
Gambar 4 Mengidentifikasi Penyebab Resiko pada Kebakaran
Gambar 4 menjelaskan tentang resiko kebakaran. Munculnya kebakaran dari sumber resiko hardware, jaringan, software, manusia, infrastruktur dan data. Resiko pada kebakaran dapat menyebabkan kerusakan atau hilangnya suatu data di mana tempat kebakaran itu terjadi. Kebakaran ini disebabkan oleh terjadinya hubungan arus pendek, tidak adanya alat pemadam kebakaran, tidak ada larangan bebas merokok, petir yang menyambar.
Akses database oleh pihak yang tidak terotorisasi
Tidak ada sistem perlindungan yang diaktifkan seperti IDS, firewall, antivirus, internet filtering, anti spam
Hacking
Kehilangan dokumen sumber
Gambar 7 Mengidentifikasi Penyebab Resiko pada Hacking
Gambar 7 menjelaskan tentang hacking. Muncunlnya hacking dari sumber resiko software, jaringan, dan data. Resiko pada hacking dapat menyebabkan hilang atau bocornya data perusahaan ke tangan orang yang tidak berhak mengetahui data perusahaan tersebut. Hacking ini disebabkan oleh akses database oleh pihak yang tidak terotorisasi, tidak ada sistem perlindungan yang diaktifkan. Data 100% tidak berhasil di back up
Kehilangan sebagian data yang tidak berhasil di back up dan restore Restore data 100% tidak berhasil
Gambar 8 Mengidentifikasi Penyebab Resiko pada kehilangan sebagian data yang tidak berhasil di back up dan restore
Penyalahgunaan hak akses
Kinerja personil rendah
Gambar 8 menjelaskan tentang kehilangan sebagian data yang tidak berhasil di back up dan restore dapat menyebabkan data 100% tidak berhasil di back up, restore data 100% tidak berhasil. Data yang tidak berhasil di back up dan restore ini disebabkan oleh terkena virus dan orang yang tidak kurang hati-hati menjalani tugas.
Kesalahan entry data
Human eror
Kerusakan data dalam media penyimpanan
Personil yang tidak terampil
Ketergantungan pada personil tertentu
Gambar 5 Mengidentifikasi Penyebab Resiko pada Human Eror
Gambar 5 menjelaskan tentang resiko human eror. Munculnya human eror dari sumber resiko manusia, data dan software. Resiko pada human eror dapat menyebabkan kesalahan input atau pengolahan data yang tidak sesuai. Human eror ini disebabkan oleh kesalahan entry data, personil yang tidak terampil, penyalahgunaan hak ases, ketergantungan pada personil tertentu, kinerja personil rendah, kerusakan data dalam media penyimpanan. Lemahnya sistem proteksi
Kehilangan data akibat virus
Virus
Terjadi perubahan data akibat virus
Kegagalan operasi sofware
Gambar 6 Mengidentifikasi Penyebab Resiko pada Virus
Gambar 6 menjelaskan tentang resiko virus. Munculnya virus dari sumber resiko software, jaringan, dan data. Resiko pada virus dapat menyebabkan kerusakan dan hilangnya data, sistem mencari eror. Virus ini disebabkan oleh data yang ada di proses data akan kehilangan akibat virus.
Tidak menerapkan mekanisme Tidak ada pencatatan log fail-safe-design pada pada source code program sistem informasi Debugging dan Reverse Enggineering Tidak mekanisme perlindungan algoritma pada saat debugging
Gambar 9 Mengidentifikasi Penyebab Resiko pada debugging dan reverse enggineering
Gambar 9 menjelaskan tentang debugging dan reverse enggineering. Munculnya debugging dan reverse enggineering dari sumber resiko data dan software. Dapat menyebabkan tidak ada pencatatan log pada source code program, Tidak mekanisme perlindungan algoritma pada saat debugging, Tidak menerapkan mekanisme fail-safe-design pada sistem informasi, proses bisnis terhenti. Debugging dan Reverse Enggineering ini disebabkan oleh perubahan struktur sistem informasi. B. Penilaian Resiko Pada tahap ini dilakukan penilaian resiko dan mengetahui tingkat resiko dan dampak yang ditimbulkan hal tersebut akan berpengaruh besar terhadap pengolahan data Teknologi Informasi. Pada penilaian resiko ini nantinya akan mempresentasikan hasil resiko yang didapatkan menjadi tiga kategori utaman, yaitu high, low, atau medium.
JURNAL TEKNIK POMITS Vol. 1, No. 1, (2012) 1-6
Gambar10. Rumus Penilaian Resiko
1) Dampak Analisa dampak merupakan langkah untuk menentukan besaran dari resiko yang memberi dampak terhadap sistem secara keseluruhan. Tabel 2 Level Dampak
Level 1 2-3 4-5
4 Gambar 6 menjelaskan penilaian resiko, dengan peringkat atas Tinggi, Sedang, dan Rendah. Tabel 7 mendefinisikan nilai dari resiko dan untuk mengetahui setiap level. Tabel 7 Definisi Level Penilaian Resiko
Risk Level
Rendah
Nilai Dampak Rendah Sedang Tinggi Sedang
Tabel 2 menjelaskan nilai level dampak, sedangkan Tabel 3 mendefinisikan level dari dampak. Tabel 3 Definisi Level Dampak
Level
Definisi Tidak memiliki pengaruh, sehingga aktivitas terlaksana. Pengaruh kecil, terhadap kelangsungan aktivitas. Sehingga aktivitas masih terlaksana Pengaruh sangat besar, sehingga aktivitasnya tidak terlaksana.
Rendah Sedang Tinggi
2) Probabilitas Probabilitas adalah terkait penyebab resiko ( kondisi dari unsur / komponen / obyek dalam pelaksanaan aktivitas). Probabilitas bahwa ancaman yang disebabkan oleh ancaman yang akan terjadi terhadap kerentanan.
Tinggi
Dengan demikian Tabel 8 menjelaskan penilaian resiko terhadap pengolahan data yang ada di Tekinfo. Resiko
Resiko
Tabel 4 Level Probabilitas
Level 1 2-3 4-5
Nilai probabilitas Tidak Terjadi (< 20%) Jarang (20%-80%) Terjadi (> 80%)
Tabel 4 ini adalah nilai level probabilitas, disebabkan oleh ancaman yang akan terjadi terhadap kerentanan. Sedangkan Tabel 5 mendefinisikan level probabilitas yaitu tidak terjadi, jarang, dan sering terjadi. Level Tidak Terjadi
Jarang
Sering Terjadi
Resiko
Resiko
Definisi Kondisi dari sumber resiko tersebut sudah baik sehingga resiko tersebut kecil kemungkinan atau tidak terjadi. ( < 20% )
Resiko
Kondisi dari sumber resiko tersebut tidak terlalu buruk sehingga kemungkinan terjadinya resiko tersebut. (20%-80%)
Resiko
Tabel 6 Nilai Resiko
Level 1- 3 4-8 9-14
Resiko
Tabel 5 Definisi Level probabilitas
Kondisi dari sumber resiko tersebut sudah buruk sehingga resiko tersebut pasti terjadi. (>80%)
Nilai resiko Rendah Sedang Tinggi
Resiko deskripsi dan tindakan yang diperlukan Jika observasi digambarkan sebagai resiko rendah, menentukan apakah tindakan perbaikan masih diperlukan atau memutuskan untuk menerima resiko. Jika observasi dinilai sebagai resiko sedang, tindakan perbaikan yang dibutuhkan dan rencana harus dikembangkan untuk memasukkan tindakan dalam jangka waktu yang wajar. Jika pengamatan atau temuan dievaluasi sebagai resiko tinggi, ada kuat perlu untuk langkahlangkah korektif. Sebuah sistem yang ada dapat terus beroperasi, tapi rencana tindakan perbaikan harus diletakkan di tempat sesegera mungkin.
Tabel 8 Penilaian Resiko Probabilitas kejadian Dampak kejadian Nilai resiko Kategori resiko: SEDANG Probabilitas kejadian Human eror Dampak kejadian Nilai resiko Kategori resiko: SEDANG Probabilitas kejadian Hacking Dampak kejadian Nilai resiko Kategori resiko: TINGGI Virus Probabilitas kejadian Dampak kejadian Nilai resiko Kategori resiko: TINGGI Probabilitas kejadian Remote control Dampak kejadian Nilai resiko Kategori resiko: TINGGI Kehilangan sebagian Probabilitas kejadian data yang tidak Dampak kejadian berhasil di back up Nilai resiko dan restore Kategori resiko: TINGGI Debugging dan Probabilitas kejadian reverse engineering Dampak kejadian Nilai resiko Kategori resiko: TINGGI Kebakaran
1 5 5 2 3 6 3 4 12 3 4 12 3 4 12 3 4 12
2 5 10
Dari hasil penilaian resiko diatas adalah resiko tersebut ada karena pada umumnya terdapat kelemahan dalam hal dokumentasi, kurangnya dokumentasi tertulis pada setiap aktifitas, sehingga menimbulkan data atau informasi, kurang tersalurkan dengan baik.
JURNAL TEKNIK POMITS Vol. 1, No. 1, (2012) 1-6 C. Mitigasi Penanganan resiko yang akan diimplementasikan di perusahaan harus mempertimbangkan ketersediaan sumber daya yang ada, sehingga penerapan teknik mitigasi resiko yang dapat berjalan secara efektif, efisien dan optimal. Tabel 9 Stategi Mitigasi Resiko
Kebakaran
Strategi mitigasi Membuat disaster recovery plan. Membangun Data Center Disaster Recovery Center yang kuat dan tahan terhadap bencana alam. Melakukan backup dan restorasi data. Resiko Virus
Strategi mitigasi Mengelompokkan data berdasarkan kegunaannya secara jelas lalu membuat backupnya. Menggunakan antivirus yang berlisensi. Membuat file log yang mencakup history dari sebuah data. Resiko Human eror
Strategi mitigasi Melakukan pelatihan kepada pegawai. Membuat pembatasan hak akses sesuai dengan tingkat kepentingannya. Melalukan pengawasan secara internal terhadap apa yang dikerjakan. Resiko Hacking
5 Strategi mitigasi Mengaktifkan password pada setiap aktivitas yang membutuhkan kerahasiaan, sehingga kemungkinan terjadinya pencurian data lebih kecil. Mengaktifkan firewall. Menggunakan program utilitas untuk perlindungan software seperti intrusion detection system. Resiko Remote control
Strategi mitigasi Mengaktifkan password pada setiap aktivitas yang membutuhkan kerahasiaan, sehingga kemungkinan terjadinya pencurian data lebih kecil. Resiko Kehilangan sebagian data yang tidak berhasil di back up dan restore
Strategi mitigasi Melakukan back up ulang. Mengganti media penyimpan data dan melakukan back up ulang secara manual. Resiko Debugging dan reverse engineering
Strategi mitigasi Menggunakan teknik enkripsi dan dekripsi yang kuat selama kode dieksekusi pada saat fungsi sistem informasi dijalankan. Mengatur kode sehingga tidak mudah dilakukan debugging oleh pihak yang tidak berhak. Menerapkan mekanisme fail-safe-design pada pembuatan kode. Mekanisme pencatatan log setiap pengembang harus diberlakukan. Mendefinisikan data sensitif yang harus diamankan.
Tabel 9 menjelaskan tentang hasil dari manejemen resiko yang telah dianalisa. Data yang sudah teridentifikasi resiko, penilaian resiko dari hasil identifikasi resiko tersebut, dan mengevaluasi sumber dan penyebabnya, serta membentuk strategi dengan menangani resiko dan melakukan perbaikan Resiko Kebakaran
Sumber Resiko Hardware, jaringan, manusia, infrastruktur, dan data
Human eror
Manusia, data, dan sofware
Virus
Sofware, jaringan, dan data
• • • •
Tabel 9 Hasil Dampak Terjadinya hubungan arus pendek Tidak adanya alat pemadam kebakaran Tidak ada larangan bebas merokok Petir yang menyambar
Penilaian Sedang
Strategi MItigasi Membuat disaster recovery plan. Membangun Data Center Disaster Recovery Center yang kuat dan tahan terhadap bencana alam. Melakukan backup dan restorasi data.
• • • • • •
Kesalahan entry data Personil yang tidak terampil Ketergantungan pada personil tertentu Penyalahgunaan hak akses Kinerja personil rendah Kerusakan data dalam media penyimpanan
Sedang
• • • •
Kegagalan operasi sofware Kehilangan data akibat virus Terjadi perubahan data akibat virus Lemahnya sistem protektif
Tinggi
Hacking
Sofware, jaringan,
• Akses database oleh pihak yang tidak
Tinggi
Melakukan pelatihan kepada pegawai. Membuat pembatasan hak akses sesuai dengan tingkat kepentingannya. Melakukan pengawasan secara internal terhadap apa yang dikerjakan. Mengelompokkan data berdasarkan kegunaannya secara jelas lalu membuat backupnya. Menggunakan antivirus yang berlisensi. Membuat file log yang mencakup history dari sebuah data. Mengatifkan password pada setiap
JURNAL TEKNIK POMITS Vol. 1, No. 1, (2012) 1-6 dan data
6
terotorisasi • Kehilangan dokumen sumber • Tidak ada sistem perlindungan yang diaktifkan seperti IDS, firewall, • antivirus, internet filtering, anti spam
Sofware, jaringan, dan data
• Akses database oleh pihak yang tidak terotorisasi • Kehilangan data apabila password diketahui orang lain
Tinggi
Kehilangan sebagian data yang tidak berhasil di back up dan restore
Tinggi
• Restore data 100% tidak berhasil • Data 100% tidak berhasil di back up
Tinngi
Debugging dan Reverse Enggineering
Data dan software
• Tidak ada pencatatan log pada source code program. • Tidak mekanisme perlindungan algoritma pada saat debugging. • Tidak menerapkan mekanisme fail-safedesign pada sistem informasi
Sedang
Remote control
V. PENUTUP A. Kesimpulan Berdasarkan pengamatan yang telah dilakukan dalam penelitian ini, maka dapat disimpulkan bahwa pada proses pengolahan data dihasilkan resiko – resiko yang sudah teridentifikasi. Mengidentifikasi resiko dan penilaian resiko pada pengolalaan data yang dilakukan oleh Tekinfo. Risiko yang ada dalam proses pengelolaan keamanan sistem informasi sebagai berikut: kebakaran, virus, human eror, hacking, Kehilangan sebagian data yang tidak berhasil di back up dan restore,debugging dan reverse engineering. Sehingga diperoleh informasi berupa identifikasi ancaman yang berpotensial untuk menciptakan resiko bagi TI beserta dampak yang akan dihasilkan, dan mitigasi dengan menangani resiko. B. Saran Saran yang dapat dipertimbangkan untuk pengembangan penelitian selanjutnya adalah perlu adanya prosedur kontrol keamanan terdokumentasi di Tekinfo PT. Petrokimia Gresik yang dapat dijadikan acuan dalam menangani setiap masalah yang terkait dengan pengolahan data, sehingga mempermudah dalam mencari solusi jika terlibat permasalahan keamanan, mempermudah pemantauan terhadap aktivitas pengelolaan data.
aktivitas yang membutuhkan kerahasiaan, sehingga kemungkinan terjadinya pencurian data lebih kecil. Mengatifkan firewall. Menggunakan program utilitas untuk perlindungan software seperti intrusion detection system. Mengaktifkan password pada setiap aktivitas yang membutuhkan kerahasiaan, sehingga kemungkinan terjadinya pencurian data lebih kecil. Melakukan back up ulang. Mengganti media penyimpan data dan melakukan back up ulang secara manual.
Menggunakan teknik enkripsi dan dekripsi yang kuat selama kode dieksekusi pada saat fungsi sistem informasi dijalankan. Mengatur kode sehingga tidak mudah dilakukan debugging oleh pihak yang tidak berhak. Menerapkan mekanisme fail-safedesign pada pembuatan kode. Mekanisme pencatatan log setiap pengembang harus diberlakukan. Mendefinisikan data sensitif yang harus diamankan
VI. DAFTAR PUSTAKA Biro Diklat. 2010. Internal Document. Petrokimia Gresik Jogianto, H M. (1991). analisa dan desain sistem informasi. yogyakarta: andi offset. AIRMIC, ALARM, IRM: 2002. A Risk Management Standard NIST Special Publication 800-30. Risk Management Guide for Information Technology Systems. July 2002 Carnaghan, C. (2005, October 28). Business process modeling approaches in the context of process level audit risk assessment . Wikipedia 2012. Januari. Risk Management
Elky Steve. 2006. May. An Introduction to Information System Risk Management Hisham, M. Haddad, Brunil, D. Romero. (2009). Asset Identification for SecurTIy Risk Assesment in Web Application. International Journal Of Software Engineering, IJSE, II.
