Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016
ISSN : 2503-2844
MANAJEMEN RISIKO SISTEM INFORMASI PADA PERGURUAN TINGGI MENGGUNAKAN KERANGKA KERJA NIST SP 800-300 Ucu Nugraha Program Studi Sistem Informasi, Universitas Widyatama Jl. Cikutra No. 204A Bandung Email:
[email protected]
Abstrak Seringkali lembaga atau organisasi memanfaatkan teknologi informasi untuk menunjang keberlangsungan sistem informasi yang sedang berjalan. Bagi Perguruan tinggi, teknologi informasi merupakan salah satu komponen penting dalam pengelolaan sistem informasi, dimana keberhasilan pelayanan perguruan tinggi salah satunya bergantung kepada sejauh mana pengelolaan teknologi informasi yang sudah dilakukan. Akan tetapi tidak selamanya pemanfaatan teknologi informasi dalam pengelolaan sistem informasi sesuai dengan harapan, dalam penggunaannya muncul berbagai risiko yang dapat mengganggu keberlangsungan sistem informasi sehingga dapat mengakibatkan kerugian bagi perguruan tinggi. Risiko-risiko yang muncul tersebut perlu diatasi, supaya masalah yang ditimbulkan tidak mengakibatkan penggunaan teknologi informasi dapat menghambat kinerja sistem informasi yang akan merugikan perguruan tinggi. Kerugian dapat menimbulkan dampak material maupun inmaterial. Sehingga manajemen risiko sistem informasi sangat penting untuk diterapkan di Perguruan tinggi, karena dengan penerapan manajemen risiko diharapkan dapat mengurangi risiko yang akan terjadi pada sistem informasi. NIST SP 800-300 merupakan kerangka kerja yang digunakan dalam manajemen risiko sistem informasi, dimana dalam proses manajemen risiko NIST memberikan 3 tahapan yaitu penilaian risiko, peringanan risiko, dan evaluasi risiko. Hasil dari penilaian risiko yang dilakukan, diketahui terdapat 3 risiko yang dapat mengganggu keberlangsungan sistem informasi Perguruan tinggi, dan masingmasing risiko memiliki tingkat risiko, diantaranya tinggi, dan sedang. Hasil akhir dari kegiatan ini
berupa rekomendasi untuk mengurangi risiko yang akan terjadi pada sistem informasi. Keywords : Manajemen risiko, sistem informasi, NIST Abstract Often institution or organizations utilizing information technology to support the sustainability of the information systems that are running. For universities, information technology is one of the important components in the management of information system, where the success of the service of the college one of which depend on the extent to which the management of information technology that has been done. Bu not forever use of information technology in the management of information systems in line with expectations, the use of emerging risk that could disrupt the continuity of information systems can result in a lose for the collage. Risk that arise need to be addressed, so that the problems caused not result in the use of information technology can hinder system performance information that would be detrimental to college. Losses can be a material impact or immaterial. So that the risk management information system is essential to apply in college, because of the application of risk management is expected to reduce the risks that will occur in the information system. NIST SP 800-300 is a framework used in risk management information system, which in the risk management process NIST provides three stages, risk assessment, risk mitigation, and risk evaluation. The results of the risk assessment, it is known three are three risks that could disrupt the continuity of information systems college, and each has a risks level of risk, including the high and medium. The end 121
Ucu Nugraha Seminar Nasional Telekomunikasi dan Informatika 2016
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016
result of this activity in the form of recommendations to reduce the risk that will occur in the information system. Keywords: Risk management, information systems, NIST
I. PENDAHULUAN Pelayanan pendidikan, khususnya pelayanan akademik merupakan salah satu sektor vital pada perguruan tinggi karena merupakan proses bisnis utamanya. Pelayanan akademik yang cepat dan tepat tidak terlepas dari peranan sistem informasi yang ditunjang oleh teknologi informasi yang baik dan benar. Perguruan tinggi sebuah lembaga perguruan tinggi, dimana untuk mencapai tujuan bisnisnya, seringkali menggunakan Teknologi Informasi dalam mengelola informasi sebagai basis dalam penciptaan layanan yang berkualitas ataupun dalam optimalisasi proses bisnisnya. Meningkatnya tingkat ketergantungan organisasi pada sistem informasi sejalan dengan risiko yang mungkin timbul, sedangkan pihak universitas belum pernah melakukan penilaian risiko pada implementasi sistem informasi yang ada dengan menggunakan metode atau kerangka kerja tertentu. Salah satu risiko yang timbul adalah risiko keamanan informasi, dimana informasi menjadi suatu hal yang penting yang harus tetap tersedia dan dapat digunakan. Selain itu juga terjaga keberadaannya dari pihak yang tidak berwenang, baik dari pihak luar maupun dalam yang akan memanfaatkannya untuk kepentingan tertentu atau bahkan akan merusak informasi tersebut. Informasi merupakan sebuah aset penting bagi Perguruan tinggi ang perlu dilindungi dan diamankan, sehingga menjamin ketersediaan informasi yang berguna dan dapat dipercaya baik oleh lingkungan internal maupun eksternal.
II. TINJAUAN PUSTAKA Pengertian Risiko Definisi risiko menurut Stoneburner, seperti dikutip oleh Yaumi, menyebutkan bahwa risiko adalah dampak negatif yang diakibatkan dengan adanya kerentanan (vulnerability), berdasarkan
ISSN : 2503-2844
pertimbangan dari probabilitas maupun dampak kejadian. Dari beberapa pengertian yang telah disebutkan, risiko dapat diartikan sebagai dampak negatif dari suatu ancaman yang mengeksploitasi kerentanan yang apabila terjadi, akan merugikan (Yaumi, Surendro, dan Kridanto, 2012). Risiko adalah suatu ketidakpastian dimasa yang akan datang tentang kerugian yang harus dipikul oleh organisasi. Risiko mengandung tiga unsur pembentuk risiko, yaitu 1. Kemungkinan kejadian atau peristiwa 2. Dampak atau konsekuensi (jika terjadi, risiko akan membawa akibat atau konsekuensi) 3. Kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk probabilitas). Pada suatu instansi pendidikan, risiko bisa timbul dikarenakan oleh pihak eksternal dan pihak internal. Risiko yang berasal dari pihak eksternal diantaranya diberlakukannya peraturan perundangundangan baru, perkembangan teknologi, bencana alam dan gangguan keamanan. Sementara itu, risiko yang bersumber dari pihak internal diantaranya adanya keterbatasan dana operasional, sumber daya manusia yang tidak kompeten, peralatan yang tidak memadai, kebijakan prosedur yang tidak jelas, suasana kerja yang tidak kondusif, adanya unsur sabotase dari pegawai, dan sebagainya (Istiningrum, 2011). Pengertian Manajemen Risiko National Institute of Standards and Technology (NIST) merupakan organisasi pemerintahan di Amerika Serikat yang menyusun panduan pada bidang Teknologi Informasi. NIST telah mempublikasikan NIST Special Publication 800-30 yang berjudul “Risk Management Guide for Information Technology Systems“, manajemen risiko merupakan proses yang memungkinan pemimpin organisasi untuk dapat menyeimbangkan biaya operasional dan ekonomi yang dikeluarkan untuk mengurangi risiko dan mencapai keuntungan dengan melindungi sistem teknologi informasi dan data yang menudukung misi atau tujuan bisnis organisasi. Manajemen risiko merupakan suatu proses yang berkelanjutan dalam menilai, memitigasi, dan mengevaluasi risiko. Semua ini dilakukan untuk meningkatkan efektivitas biaya yang dikeluarkan oleh organisasi guna memastikan keamanan dari
122 Ucu Nugraha Seminar Nasional Telekomunikasi dan Informatika 2016
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016)
ISSN : 2503-2844
Bandung, 28 Mei 2016
sistem teknologi informasi yang digunakan. Sehingga dapat dipastikan aset teknologi informasi yang dimiliki oleh organisasi seluruhnya aman dari berbagai gangguan maupun ancaman yang dapat merusaknya, baik gangguan dan ancaman dari pihak internal maupun eksternal. Kerangka Kerja Manajemen Risiko Kerangka kerja yang merupakan kumpulan prosedur standar atau langkah-langkah dan dapat memberikan pemahaman dalam proses manajemen risiko, salah satunya adalah NIST, NIST mengeluarkan rekomendasi melalui publikasi khusus framework NIST SP 800-30 tentang Risk Management Guide For Information Technology System. Proses manajemen risiko terdapat 3 tahapan yaitu penilaian risiko (risk assessment), peringanan risiko (risk mitigation), dan evaluasi risiko (risk evaluation). Sumber Ancaman Sumber ancaman yang memungkinkan dapat mengganggu kinerja sistem informasi, yaitu ancaman dari alam, ancaman dari lingkungan, ancaman dari manusia, dan ancaman dari proses dan teknologi. Penelitian Manajemen Risiko Penelitian sebelumnya yang terkait dengan manajemen risiko dibidang pendidikan yaitu mengenai manajemen risiko sistem informasi akademik pada perguruan tinggi mengunakan metode octave allegro. Tujuan dari penelitian tersebut untuk mengidentifikasi, menganalisis, mengelola risiko sistem informasi akademik. Mengembangkan strategi keamanan sistem informasi untuk meningkatkan keamanan sistem informasi, dan membuat kebijakan manajemen risiko yang mendukung misi dan prioritas organisasi untuk mengurangi dampak kerugian akibat kerusakan sistem informasi. Perbedaan dengan penelitian yang sebelumnya terletak pada risiko yang dikelola hanya seputar sistem informasi akademik saja, sedangkan pada penelitian sekarang ini risiko yang dikelola mencakup seluruh sistem informasi yang ada pada perguruan tinggi tersebut, diantaranya sistem informasi akademik, keuangan, kepegawaian, alumni, perpustakaan, dosen online dan nilai online.
III. METODE PENELITIAN Metode penelitian yang digunakan yaitu metode kualitatif dengan pendekatan studi kasus. Proses pengumpulan data pada penelitian ini dilakukan dengan cara wawancara dan observasi. Pengkajin utama dalam manajemen risiko sistem informasi ini menggunakan kerangka kerja NIST SP 300-80 sebagai panduan prosedur manajemen risiko. Tahap pertama adalah melakukan penilaian risiko, dalam penilaian risiko (risk assessment) ini terdapat 9 tahapan (karakteristik sistem, identifikasi ancaman, identifikasi kerentanan, analisa kontrol, kemungkinan yang menentukan, analisa dampak, risiko yang menentukan, rekomendasi kontrol, dokumentasi hasil). Tahap kedua dan ketiga adalah peringanan risiko (risk mitigation) dan evaluasi risiko (risk evaluation). Teknik Pengumpulan Data Teknik dalam pengumpulan data dilakukan dengan cara melakukan penggalian informasi dari pihak-pihak yang terlibat dalam sistem informasi tersebut, penggalian informasi dilakukan dengan wawancara yang mendalam dan observasi. Teknik Analisis Data Setelah semua data terkumpul terkumpul dengan lengkap, selanjutnya data diolah dan dianalisis secara kualitatif dengan memperhatikan fakta-fakta yang terjadi dilapangan berdasarkan variabel yang sudah ditentukan, kemudian dimasukkan kedalam tahapan analisis. WAWANCARA
RISK ASSESSMENT
OBSERVASI
RISK MITIGATION
EVALUATION AND ASSESSMENT
KESIMPULAN
Gambar 1. Metode penelitian
123 Ucu Nugraha Seminar Nasional Telekomunikasi dan Informatika 2016
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016
IV. HASIL DAN PEMBAHASAN Penilaian Risiko Proses penilaian risiko (risk assessment) dilakukan dengan beberapa tahapan, sesuai dengan Proses penilaian risiko (risk assessment) dilakukan dengan beberapa tahapan, sesuai dengan kerangka kerja NIST SP800-30. Tahapan-tahapan tersebut sebagai berikut: 1.
Karakteristik sistem
Karakteristik sistem yang meliputi sistem informasi, diantaranya perangkat keras, perangkat lunak, data dan informasi, dan sumber daya manusia yang mendukung sistem informasi. Sumber daya perangkat keras meliputi PC yang digunakan untuk client dengan perangkat lunak program aplikasi, Windows XP profesional SP sebagai sistem operasinya. Sedangkan perangkat lunak pada server menggunakan SQL Server. Data dan informasi meliputi data masukan data mahasiswa, data dosen, data nilai, data transaksi keuangan, data karyawan, dan data alumni. Sumber daya manusia disini yaitu operator, operator terbagi menjadi dua, operator dimasing-masing bagian dan administrator sistem. 2.
Identifikasi ancaman
Berikut beberapa sumber ancaman yang teridentifikasi dapat mengganggu sistem informasi pada Perguruan tinggi, diantaranya password, keamanan sistem, backup server hang. 3.
Identifikasi kerentanan
Beberapa kerentanan yang teridentifikasi diantaranya yaitu keamanan sistem, penggunaan password yang jarang diganti, dan account yang sudah tidak aktif tidak langsung dihapus, ini rentan sekali terhadap pencurian data yang dilakukan oleh orang dalam maupun luar untuk disalah gunakan. 4.
Analisa kontrol
ISSN : 2503-2844
data dan pemulihan sistem, 6. Pengerasan sistem, 7. Perlindungan dari kode berbahaya, 8. Manajemen account, 9. Manajemen password, 10. Keamanan gedung, 11. Deteksi ancaman, 12. Memonitor keamanan dan logging, 13. Manajemen lisensi perangkat lunak. Hasil dari analisa kontrol, maka dapat diketahui potensi ancaman yang akan mengakibatkan sumber risiko diantaranya: 1. Password, 2. keamanan sistem, 3. backup server hang. 5.
Kemungkinan yang menentukan
Hasil dari analisis kontrol dijadikan sebagai bahan acuan dalam penentuan kemungkinan risiko. Penetuan kemungkinan ini untuk menentukan besaran tingkat kemungkinan yang akan terjadi terhadap risiko yang telah teridentifikasi. Tingkat kemungkinan terbagi menjadi 3 kategori yaitu 1. Tinggi, sumber ancaman yang memiliki motivasi tinggi yang dapat merugikan organisasi, hal ini terjadi karena pengendalian untuk mencegah kerentanan dilakukan tidak efektif. 2. Sedang, sumber ancaman memiliki motivasi yang mampu merugikan organisasi, tetapi organisasi masih dapat melakukan kontrol yang mana mampu menghambat keberhasilan dari kerentanan yang ada. 3. Rendah, sumber ancaman yang memiliki motivasi kurang atau rendah, kontrol digunakan untuk mencegah atau mengurangi suatu kerentanan yang akan terjadi pada organisasi. Kemungkinan risiko yang menentukan dapat diidentifikasi sebagai berikut 1. Password memiliki tingkat kemungkinan risiko sedang, 2. Keamanan sistem memiliki tingkat kemungkinan risiko tinggi, 3. Backup server hang memiliki tingkat kemungkinan risiko tinggi. 6.
Analisa dampak
Berdasarkan kemungkinan risiko yang dapat mengancam keberlangsungan sistem informasi, maka dampak risikonya dapat dilihat pada tabel berikut ini:
Analisa kontrol dalam penilaian risiko belum terdokumentasi sepenuhnya, pengenalan risiko hanya sebatas pada pengetahuan dan kesadaran beberapa operator pengguna sistem. Analisa kontrol dimungkinkan dapat digunakan dalam penilaian risiko, diantaranya meliputi: 1. Peran keamanan teknologi informasi dan tanggung jawab, 2. Klasifikasi data sensitif, 3. Perencanaan kelangsungan operasional, 4. Perencanaan pemuliahan bencana teknologi informasi, 5. Backup 124 Ucu Nugraha Seminar Nasional Telekomunikasi dan Informatika 2016
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016)
ISSN : 2503-2844
Bandung, 28 Mei 2016
Tabel 1. Dampak Risiko Jenis Risiko
Dampak
Password
Keamanan sistem
Backup server hang
7.
c. Tingkat Dampak
a. Sulit dalam mengantisipasi berbagai sumber ancaman b. Memperbanyak history log yang dapat memperlambat kinerja sistem a. Masuknya virus dan menggangu data-data sensitif b. Kemampuan perlindungan data menjadi terganggu a. Hilangnya data dan informasi bereputasi b. Aset informasi terganggu
Password
0.5 (sedang)
Keamanan sistem Backup server hang
8.
1.0 (tinggi) 1.0 (tinggi)
50 (sedang) 100 (tinggi) 100 (tinggi)
9. Tinggi
Nilai Risiko
Tingkat Risiko
25
Seda-ng
100
Tinggi
100
Tinggi
Rekomendasi kontrol
Rekomendasi kontrol dapat dilihat pada tabel berikut ini: Tabel 3. Rekomendasi Kontrol Jenis Risiko Keamanan sistem
Tingkat Risiko Tinggi
Rekomendasi a.
b. c. Backup hang
server
Tinggi
a. b.
b.
Tinggi
Tabel 2. Penentuan Risiko
Nilai Dam-pak
a.
c.
Penentuan risiko ini bertujuan untuk menilai tingkat risiko terhadap sistem, untuk menilai tingkat risiko ini mengacu kepada kemungkinan risiko dan dampak risiko yang sudah ditentukan. Risiko yang menentukan dapat dilihat pada tabel berikut ini:
Nilai Kemungkinan
Sedang
Sedang
Risiko yang menentukan
Jenis Risiko
Password
Memasang anti virus dan sejenisnya, firewall, dan memberi deepfreeze Meng-update anti virus secara berkala Memodifikasi security system Menyediakan server cadangan Data selalu di-backup secara periodik
Penyimpanan data secara cloud computing Perubahan password secara berkala Pengaturan dalam pembuatan password Penghapusan password terhadap account yang sudah tidak aktif bekerja
Dokumentasi hasil
Hasil dari penilaian risiko didokumentasikan berupa profil risiko yang dapat mengancam keberlangsungan sistem informasi, dan solusi pencegahan melalui rekomendasi kontrol sebagai tindak lanjut proses berikutnya melalui kegiatan mitigasi risiko. Peringanan Risiko (Risk Mitigation) Tahapan ini merupakan tindakan peringanan terhadap risiko yang sudah terdokumentasi. Hasil dari penilaian risiko ini berupa profil risiko dengan berbagai rekomendasi yang sekiranya dapat menjadi solusi dalam proses meringankan risiko yang sesuai dengan kebutuhan sistem informasi. Kegiatan mitigasi risiko ini meliputi prioritas aksi ini dilakukan dengan mengacu kehasil akhir penilaian risiko, seperti yang tertera pada tabel 3. Dimana risiko yang memiliki tingkat tertinggi yang harus dijadikan sebagai prioritas utama dalam proses peringanan risiko. Selain itu proses peringanan risiko ini juga harus menyesuaikan dengan biaya dan keuntungan yang akan timbul dalam upaya meminimalisir risiko yang sudah teridentifikasi dan hasil rekomendasi yang akan dilaksanakan. Peringanan risiko ini diharapkan dapat mengatasi permasalahan yang mengganggu terhadap keberlangsungan sistem informasi pada perguruan tinggi tersebut, diantaranya rusaknya file-file penting yang diakibatkan oleh virus, pencurian data dan informasi oleh pihak-pihak yang tidak berwenang, serta kehilangan data dan informasi yang diakibatkan adanya gangguan pada server. Evaluasi Risiko (Risk Evaluation) Tahap terakhir dalam manajemen risiko sistem informasi Perguruan tinggi dengan kerangka kerja NIST SP 800-30 adalah evaluasi risiko. Perguruan tinggi harus melaksanakan evaluasi risiko ini secara periodik, sehingga sistem informasi pada perguruan
125 Ucu Nugraha Seminar Nasional Telekomunikasi dan Informatika 2016
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016
tinggi tersebut akan berjalan dengan baik sesuai harapan. Kegiatan rutin yang dilaksanakan secara periodik adalah proses backup data, selain itu adanya penambahan dan penyesuaian fitur-fitur baru yang diharapkan mampu meningkatkan kehandalan sistem informasi menjadi bagian dari evaluasi dalam kegiatan manajemen risiko sistem informasi.
V. KESIMPULAN DAN SARAN Berdasarkan hasil dan pembahasan maka dapat diperoleh kesimpulan sebagai berikut: 1.
2.
3.
4.
Hasil dari penilaian risiko didapat beberapa sumber ancaman yang dapat menimbulkan risiko pada sistem informasi, diantaranya keamanan sistem yang memiliki tingkat risiko tinggi, backup server hang yang memiliki tingkat risiko tinggi, dan password yang memiliki tingkat risiko sedang. Proses peringanan risiko yang dilakukan di Perguruan tinggi, dengan menambah server sebagai cadangan, untuk mengantisipasi kerusakan server dan dapat melindungi datadata sensitif. Evaluasi kegiatan manajemen risiko sistem informasi Perguruan tinggi belum dilaksanakan sesuai prosedur yang sudah ditetapkan. Untuk menghindari ancaman yang dapat menimbulkan risiko terhadap sistem informasi baru dilaksanakan secara rutin proses backup data saja. Manajemen risiko dengan menggunakan kerangka kerja NIST SP 300-80, dapat mendeskripsikan profil risiko yang dapat mengancam keberlangsungan sistem informasi.
Atas dasar kesimpulan diatas, maka saran yang dapat disampaikan sebagai berikut: 1.
Untuk menghindari ancaman yang berdampak negatif terhadap sistem informasi ini maka diperlukan suatu dokumentasi mengenai hasil penilaian risiko, peringanan risiko, dan evaluasi risiko.
2.
Penelitian manajemen risiko berikutnya diharapkan lebih spesifik terhadap manajemen risiko dibidang keamanan sistem yang berkaitan dengan sistem informasi berbasis online atau berkenaan dengan sistem cloud computing.
ISSN : 2503-2844
REFERENSI Alter, Steven. (1992). Information System: A Management Perspective. The Benjamin/Cummings Publishing Company, Inc. Haag, Stephen., Cummings, Maeve., Dawkins, James. (2000). Management Information Systems for the Information Age. 2nd Edition, Irwin/MacGraw-Hill. Harris, Tarigan, dan Mawlan. (2012). Analisis Manajemen Risiko pada Implementasi Sistem Informasi Keamanan di PT. Pupuk Sriwidjaja dengan Framework COBIT 4.1. STMIK GI MDP. Istiningrum. (2011). Implementasi Penilaian Risiko dalam Menunjang Pencapaian Tujuan Instansi Pendidikan. UNY. Jakaria, Dirgahayu, dan Hendrik. (2013). Manajemen Risiko Sistem Informasi Akademik pada Perguruan tinggi Menggunakan Metode Octave Allegro. SNATI Yogyakarta. Maulana, dan Supangkat. (2006). Pemodelan Framework Manajemen Risiko Teknologi Informasi untuk perusahaan di Negara berkembang. ITB. Stoneburner, A. Goguen and A. Feringa. (2002) “Risk Management Guide for Information Technology System”, Recommedation of National Institute of Standards and Technology Special Publication 800-30. Ward, J., and Peppard, J. (2003). Strategic Planning for Information Systems. 3 Edition. John Wiley & Sons, Ltd., USA. Yaumi, dan Surendro. (2012). Model Manajemen Risiko pada Penerapan Cloud Computing untuk Sistem Informasi di Perguruan tinggi Menggunakan Framework COSO ERM dan FMEA (studi kasus: ITB). ITB.
126 Ucu Nugraha Seminar Nasional Telekomunikasi dan Informatika 2016