RISK MEASUREMENT CRITERIA REPUTATION AND CUSTOMER CONFIDENCE. Impact Area Low Moderate High

L-1

Allegro Worksheet 1

Impact Area

RISK MEASUREMENT CRITERIA – REPUTATION AND CUSTOMER CONFIDENCE

Low

Moderate

High

Reputation

Reputation is minimally affected; little or no effort or expense is required to recover.

Reputation is damaged, and some effort and expense is required to recover.

Reputation is irrevocably destroyed or damaged.

Customer Loss

Less than _______% reduction in customers due to loss of confidence

_______to _______% reduction in customers due to loss of confidence

More than _______% reduction in customers due to loss of confidence

Other:

L-2

Allegro Worksheet 2

Impact Area

RISK MEASUREMENT CRITERIA – FINANCIAL

Low

Moderate

High

Operating Costs

Increase of less than _______% in yearly operating costs

Yearly operating costs increase by _______to _______%.

Yearly operating costs increase by more than _______%.

Revenue Loss

Less than _______% yearly revenue loss

_______to _______% yearly revenue loss

Greater than _______% yearly revenue loss

One-Time Financial Loss

One-time financial cost of less than $_______________

One-time financial cost of $_______________ to $_______________

One-time financial cost greater than $_______________

Other:

L-3

Allegro Worksheet 3

Impact Area

Staff Hours

Other:

Other:

Other:

RISK MEASUREMENT CRITERIA – PRODUCTIVITY

Low

Staff work hours are increased by less than _______% for _______to _______ day(s).

Moderate

Staff work hours are increased between _______% and _______% for _______to _______ day(s).

High

Staff work hours are increased by greater than _______% for _______to _______ day(s).

L-4

Allegro Worksheet 4

Impact Area

RISK MEASUREMENT CRITERIA – SAFETY AND HEALTH

Low

Moderate

High

Life

No loss or significant threat to customers’ or staff members’ lives

Customers’ or staff members’ lives are threatened, but they will recover after receiving medical treatment.

Health

Minimal, immediately treatable degradation in customers’ or staff members’ health with recovery within four days

Temporary or recoverable impairment of customers’ or staff members’ health

Permanent impairment of significant aspects of customers’ or staff members’ health

Safety

Safety questioned

Safety affected

Safety violated

Other:

Loss of customers’ or staff members’ lives

L-5

Allegro Worksheet 5

Impact Area

RISK MEASUREMENT CRITERIA – FINES AND LEGAL PENALTIES

Low

Moderate

High

Fines

Fines less than $_______________are levied.

Fines between $_______________and $_______________are levied.

Fines greater than $_______________are levied.

Lawsuits

Non-frivolous lawsuit or lawsuits less than $_______________ are filed against the organization, or frivolous lawsuit(s) are filed against the organization.

Non-frivolous lawsuit or lawsuits between $_______________ and $_______________are filed against the organization.

Non-frivolous lawsuit or lawsuits greater than $_______________ are filed against the organization.

No queries from government or other investigative organizations

Government or other investigative organization requests information or records (low profile).

Government or other investigative organization initiates a high-profile, in-depth investigation into organizational practices.

Investigations

Other:

L-6

Allegro Worksheet 6

Impact Area

RISK MEASUREMENT CRITERIA – USER DEFINED

Low

Moderate

High

L-7

Allegro Worksheet 7

IMPACT AREA PRIORITIZATION WORKSHEET

PRIORITY

IMPACT AREAS

Reputation and Customer Confidence

Financial

Productivity

Safety and Health

Fines and Legal Penalties

User Defined

L-8

Allegro Worksheet 8

CRITICAL INFORMATION ASSET PROFILE

(1) Critical Asset

(2) Rationale for Selection

(3) Description

What is the critical information asset?

Why is this information asset important to the organization?

What is the agreed-upon description of this information asset?

(4) Owner(s) Who owns this information asset?

(5) Security Requirements What are the security requirements for this information asset?

‰ Confidentiality

Only authorized personnel can view this information asset, as follows:

‰ Integrity

Only authorized personnel can modify this information asset, as follows:

This asset must be available for these personnel to do their jobs, as follows:

‰ Availability This asset must be available for _____ hours, _____ days/week, _____ weeks/year.

‰ Other

This asset has special regulatory compliance protection requirements, as follows:

(6) Most Important Security Requirement What is the most important security requirement for this information asset?

‰ Confidentiality

‰ Integrity

‰ Availability

‰ Other

L-9A

Allegro Worksheet 9a

INFORMATION ASSET RISK ENVIRONMENT MAP (TECHNICAL) INTERNAL

CONTAINER DESCRIPTION

OWNER(S)

1.

2.

3.

4.

EXTERNAL CONTAINER DESCRIPTION

1.

2.

3.

4.

OWNER(S)

L-9B

Allegro Worksheet 9b

INFORMATION ASSET RISK ENVIRONMENT MAP (PHYSICAL) INTERNAL

CONTAINER DESCRIPTION

OWNER(S)

1.

2.

3.

4.

EXTERNAL CONTAINER DESCRIPTION

1.

2.

3.

4.

OWNER(S)

L-9C

Allegro Worksheet 9c

INFORMATION ASSET RISK ENVIRONMENT MAP (PEOPLE) INTERNAL PERSONNEL

NAME OR ROLE/RESPONSIBILITY

DEPARTMENT OR UNIT

1.

2.

3.

4.

EXTERNAL PERSONNEL CONTRACTOR, VENDOR, ETC.

1.

2.

3.

4.

ORGANIZATION

L-10

Allegro - Worksheet 10

INFORMATION ASSET RISK WORKSHEET

Information Asset Area of Concern

(1) Actor Who would exploit the area of concern or threat?

Threat

(2) Means How would the actor do it? What would they do?

(3) Motive

Information Asset Risk

What is the actor’s reason for doing it?

(4) Outcome

‰ Disclosure

‰ Destruction

What would be the resulting effect on the information asset?

‰ Modification

‰ Interruption

(5) Security Requirements How would the information asset’s security requirements be breached?

(6) Probability

‰ High

‰ Medium

‰ Low

What is the likelihood that this threat scenario could occur?

(7) Consequences What are the consequences to the organization or the information asset owner as a result of the outcome and breach of security requirements?

(8) Severity How severe are these consequences to the organization or asset owner by impact area?

Impact Area

Value

Reputation & Customer Confidence Financial Productivity Safety & Health Fines & Legal Penalties User Defined Impact Area

Relative Risk Score

Score

PENILAIAN RISIKO SISTEM INFORMASI PADA BINA NUSANTARA MENGGUNAKAN METODE OCTAVE ALLEGRO

GROUP FIELD PROJECT Welly 1022200770 Mikewati 1022200814

Program Pascasarjana Ilmu Komputer PROGRAM STUDI MAGISTER MANAJEMEN SISTEM INFORMASI JENJANG S2 UNIVERSITAS BINA NUSANTARA JAKARTA 2011  

PENILAIAN RISIKO SISTEM INFORMASI PADA BINA NUSANTARA MENGGUNAKAN METODE OCTAVE ALLEGRO

Mikewati, Welly, dan Ford Lumban Gaol

LAPORAN TEKNIS

 

Jakarta 26 Januari 2012 Menyetujui:

Ford Lumban Gaol, S.Si, M.Kom, Dr  

PENILAIAN RISIKO SISTEM INFORMASI PADA BINA NUSANTARA MENGGUNAKAN METODE OCTAVE ALLEGRO

ABSTRAK

Penggunaan teknologi sistem informasi dalam perusahaan akan menimbulkan risiko –risiko. Tujuan penulisan thesis ini adalah mendukung manajemen risiko sistem informasi dalam perusahaan dengan melakukan sebuah penilaian risiko sistem informasi dengan menggunakan metode OCTAVE Allegro. Pengunaan metode OCTAVE Allegro dalam analisis risiko akan menghasilkan rencana mitigasi dan strategi keamanan bagi perusahaan. Rencana mitigasi dan strategi keamanan ini diharapkan dapat mendukung manajemen risiko sistem informasi dalam perusahaan dan meminimalisir kerusakan yang mungkin dapat ditimbulkan dari ancaman – ancaman yang ada. Kata kunci: Penilaian risiko sistem informasi, OCTAVE Allegro

ABSTRACT

The use of information system technology within an enterprise will create risks. The goal of this thesis is to support information system risk management within the enterprise by doing information system risk assessment using OCTAVE Allegro. The use of OCTAVE Allegro on risks analysis will create mitigation plans and security strategies to the enterprise. This mitigation plans and security strategies are expected to support risk management within the enterprise and minimize the damage that may result from threats that exist. Keywords: Information System Risk Assessment, OCTAVE Allegro

PENDAHULUAN Latar Belakang Dewasa ini penggunaan teknologi informasi dalam perusahaan merupakan hal yang umum. Dalam penggunaannya, penggunaan teknologi informasi akan memunculkan risiko risiko. Pengelolaan terhadap risiko – risiko ini merupakan hal yang perlu diperhatikan. Salah satu langkah awal perusahaan dalam mengelola risiko – risiko ini, perusahaan dapat melakukan pengukuran terhadap risiko teknologi informasi (penilaian risiko). Banyak metode yang dapat digunakan untuk melakukan penilaian risiko. Metode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) merupakan salah satu metode yang dapat digunakan oleh perusahaan sebagai acuan untuk melakukan penilaian risiko. Metode OCTAVE sendiri memiliki tiga varian, yaitu OCTAVE, OCTAVE-S, dan OCTAVE Allegro. Metode yang digunakan dalam penulisan ini adalah metode OCTAVE Allegro, dimana metode ini merupakan modifikasi dari metode OCTAVE. Perbedaan yang mendasar dari OCTAVE dan OCTAVE Allegro adalah bahwa pendekatan OCTAVE Allegro lebih ditujukan secara spesifik kepada aset informasi dan data yang mendukung informasi tersebut.

Rumusan Permasalahan Rumusan permasalahan yang mendasari dilakukannya penilaian risiko pada Bina Nusantara adalah : 1. Belum pernah diadakannya penilaian risiko pada Bina Nusantara yang menyebabkan kesulitan dalam menilai seberapa besar dampak dari risiko yang muncul.

2. Belum adanya kebijakan formal terkait keamanan teknologi informasi. Hal ini menimbulkan lambannya tindakan yang harus diambil untuk mencegah risiko yang mungkin terjadi dan penanggulangannya. 3. Kesulitan dalam mengkomunikasikan pentingnya nilai dari aset informasi yang dimiliki karena tidak adanya dokumentasi atau data - data yang mendukung.

Tujuan dan manfaat Tujuan penulisan ini adalah membantu Bina Nusantara dalam mengevaluasi risiko – risiko terkait dengan aset informasi serta melindungi risiko – risiko tersebut dengan merancang strategi perlindungan.

Manfaat yang ingin dicapai dalam penelitian ini adalah: •

Mengelola penilaian risiko secara mandiri (self directed) bagi organisasi.

•

Mengidentifikasi risiko keamanan yang dapat menghambat visi dan misi organisasi.

•

Membuat keputusan terbaik untuk risiko – risiko tersebut.

•

Membuat strategi perlindungan yang dirancang secara khusus untuk mengurangi risiko keamanan informasi yang memiliki prioritas tertinggi.

•

Merancang kebutuhan dan regulasi.

•

Pihak manajemen dapat secara efektif mengkomunikasikan nilai - nilai penting informasi keamanan informasi.

Ruang Lingkup 1. Penilaian risiko dilakukan pada IT Directorate Bina Nusantara.

2. Penilaian risiko dilakukan pada operasional Bina Nusantara dengan berfokus pada perlindungan aset informasi yang penting . 3. Metode yang digunakan dalam melakukan

penilaian risiko adalah metode

OCTAVE Allegro.

Kerangka pikir Kerangka pikir dalam penelitian ini dapat digambarkan seperti dibawah:

 

Gambar 7. Kerangka Pikir

1. Studi pendahuluan Pada tahap ini, didefinisikan latar belakang dari penelitian. Tahap ini dimulai dengan mendiskusikan ide penelitian terhadap perwakilan dari Bina Nusantara dan apa saja yang akan dilakukan dengan tesis ini. Langkah selanjutnya adalah mempelajari struktur organisasi Bina Nusantara, mempelajari proses bisnis Bina

Nusantara dan mempelajari sistem informasi Bina Nusantara. Selain itu, dilakukan pencarian artikel yang berkaitan dengan manajemen risiko sistem informasi melalui buku-buku, internet dan juga melalui dosen pembimbing tesis. Dari ide yang muncul, didiskusikan dengan dosen pembimbing dan ide - ide tersebut digunakan pada tahapan berikutnya, yaitu perumusan masalah. 2. Perumusan Masalah Pada tahapan ini, dilakukan identifikasi permasalahan yang akan dibahas. Identifikasi dan perumusan permasalahan dilakukan agar sasaran penelitian tidak keluar dari alur yang dibuat. 3. Tujuan dan Manfaat yang Ingin Dicapai Pada tahapan ini tim menentukan tujuan dan manfaat yang ingin dicapai dari penelitian yang akan dilakukan. 4. Studi Kepustakaan Setelah semua proses di dalam

studi pendahuluan dilakukan, proses

selanjutnya adalah pembelajaran literatur yang berhubungan dengan penilaian risiko. Studi literatur ini dilakukan agar dapat menghasilkan suatu acuan dasar yang dapat digunakan dalam penelitian. Studi literatur dilakukan melalui jurnal-jurnal, buku-buku dan juga melalui internet. 5. Pengumpulan data Bersamaan dengan studi kepustakaan yang dilakukan, peneliti melakukan pengumpulan data dengan cara: a. Observasi Mengamati kegiatan – kegiatan yang berhubungan dengan risiko TI pada IT Directorate dan business unit atau directorate yang terkait secara langsung. Di dalam observasi ini juga dilakukan pengumpulan dokumen – dokumen yang

terkait dengan risiko TI yang ada pada Bina Nusantara, khususnya pada IT Directorate. Contoh dokumen pada studi dokumentasi dapat berupa dokumen kebijakan (misalnya, dokumentasi, arahan), dokumentasi sistem (misalnya, buku petunjuk, desain sistem dan persyaratan dokumen), dan dokumentasi yang berkaitan dengan keamanan (misalnya, laporan audit sebelumnya, laporan penilaian risiko, hasil tes sistem, rencana keamanan sistem, kebijakan keamanan) yang dapat memberikan informasi yang baik mengenai kontrol keamanan yang digunakan oleh dan direncanakan untuk sistem TI. b. Wawancara Melakukan pengumpulan data yang dilakukan dengan bertanya dan mendengarkan jawaban langsung dari narasumber. 6. Analisis Menggunakan Metode OCTAVE Allegro Terdapat empat tahapan utama dalam metode OCTAVE Allegro, yaitu: a. Membangun drivers b. Membuat profil aset c. Mengidentifikasi ancaman d. Mengidentifikasi dan mengurangi risiko Lebih jelasnya mengenai metode OCTAVE Allegro, akan dibahas pada sub bab 3.4. 7. Rekomendasi Kebijakan Manajemen Risiko Rekomendasi dan kebijakan manajemen risiko dijelaskan pada sub bab 3.4, metode OCTAVE Allegro langkah 8. Dalam penelitian ini penulis melakukan penelitian kualitatif dimana pada akhir pembahasan nantinya penulis memberikan hasil berupa pendekatan pengurangan risiko sesuai dengan hasil yang diberikan oleh metode OCTAVE Allegro.

RANGKUMAN HASIL PEMBAHASAN Hasil rangkuman yang dibuat berdasarkan 8 langkah OCTAVE Allegro yang ada. Dari tiap – tiap langkah yang ada, akan dijabarkan hasil apa saja yang didapat. Langkah 1 – Membangun Kriteria Pengukuran Risiko Dalam langkah 1, ada dua aktivitas yaitu penentuan impact area dan penentuan skala prioritas pada impact area yang telah ditentukan. Dari lima impact area yang ditentukan (reputasi dan kepercayaan pelanggan, finansial, produktivitas, keamanan dan kesehatan, dan denda dan penalti), diperoleh hasil sebagai berikut: Impact area - Reputasi dan kepercayaan pelanggan Dampak terhadap reputasi dan kepercayaan pelanggan dikategorikan high (tinggi) jika reputasi terkena dampak sangat buruk hingga hampir tidak dapat diperbaiki Dampak terhadap kerugian pelanggan dikategorikan high (tinggi) jika terjadi lebih dari 10% pengurangan pelanggan yang diakibatkan hilangnya kepercayaan Impact area - Finansial Dampak terhadap biaya operasional dikategorikan high (tinggi) jika terjadi peningkatan lebih dari 10% pada biaya operasional per tahun Dampak terhadap revenue loss dikategorikan high (tinggi) jika terjadi lebih dari 10% per tahun revenue loss Dampak terhadap one-time financial loss dikategorikan high (tinggi) jika terjadi lebih dari Rp.100.000.000,Impact area - Produktivitas

Dampak terhadap jam kerja karyawan dikategorikan high (tinggi) jika jam kerja karyawan meningkat lebih dari 10% dari 7 sampai dengan 14 hari Impact area - Keamanan dan Kesehatan Dampak terhadap kehidupan dikategorikan high (tinggi) jika terjadi hilangnya nyawa pelanggan atau karyawan Dampak terhadap kesehatan dikategorikan high (tinggi) jika terjadi penurunan permanen dari kesehatan pelanggan atau karyawan Dampak terhadap Keselamatan dikategorikan high (tinggi) jika keselamatan pelanggan atau karyawan terganggu Impact area - Denda dan Penalti Denda dikategorikan high (tinggi) jika bernilai lebih dari Rp.100.000.000,Tuntutan Hukum dikategorikan high (tinggi) jika tuntutan dengan nilai lebih dari Rp.100.000.000,- akan dikenakan kepada Bina Nusantara. Investigasi dikategorikan high (tinggi)

jika pemerintah atau organisasi

investigasi lainnya akan memulai penyelidikan yang lebih mendalam terhadap praktek Bina Nusantara terkait dengan tuntutan. Dari kelima impact area tersebut, reputasi dan kepercayaan pelanggan merupakan prioritas yang paling pertama diikuti oleh finansial, denda dan penalti, produktivitas, serta keamanan dan kesehatan.

Langkah 2 – Mengembangkan Information Asset Profile Aset informasi yang berhasil diidentifikasikan sebanyak 17, namun dari 17 aset tersebut didapatkan 9 aset informasi kritikal yaitu profil dosen, profil mahasiswa, jadwal kuliah mahasiswa, jadwal mengajar dosen, transaksi nilai mahasiswa, konten

materi kuliah, transaksi pembayaran uang kuliah, absensi kelas, dan kehadiran dosen. Pertimbangan – pertimbangan dalam memilih aset informasi kritikal tersebut adalah: ‐

Aset Informasi yang penting bagi Bina Nusantara

‐

Aset informasi yang digunakan dalam kegiatan operasional sehari – hari

‐

Aset informasi yang jika hilang, dapat mengganggu kemampuan Bina Nusantara untuk mencapai tujuan dan misi perusahan

Ada tiga kebutuhan keamanan, yaitu confidentiality, integrity, dan availability. Dari profil aset informasi ini, kebutuhan keamanan yang paling penting, mayoritas terletak pada integrity. Hal ini dikarenakan aset informasi harus dapat dipertanggungjawabkan kebenarannya untuk digunakan dalam berbagai kegiatan operasional di Bina Nusantara. Di bawah ini merupakan contoh dari profil aset untuk profil mahasiswa.

Profil mahasiswa Mahasiswa mempunyai peran penting dalam proses bisnis yang ada pada core process Binus. Profil mahasiswa sendiri digunakan hamper di setiap proses yang ada di Binus itu sendiri. Profil mahasiswa yang dicatat dan digunakan merupakan data yang dimulai saat mahasiswa tersebut telah melalui proses penerimaan mahasiswa baru, hingga pada akhirnya mahasiswa tersebut lulus.

Description

Aset ini terdiri dari data diri mahasiswa, seperti nomor pendaftaran, nomor induk mahasiswa, nama, alamat, agama, tahun angkatan, email, no hp, dsb

Owner

Manajer, IS Dev Univ (ext.2310)

Security Requirements

Informasi mengenai profil mahasiswa bersifat privasi bagi mahasiswa, sehingga dijaga agar tidak disalah gunakan oleh pihak yang tidak bertanggung jawab. Informasi ini hanya diberikan akses ke pihak-pihak tertentu untuk tujuan membantu mahasiswa. Contohnya: admisi, jurusan, kemahasiswaan, alumni, binuscareer, biro nilai, web parent, dsb.

Confidentiality

Critical Asset Rationale for Selection

Integrity Availability Most Important Security Requirement

Informasi ini harus diisi, namun terbuka kemungkinan untuk merubah data oleh mahasiswa tersebut lewat binusmaya atau dibantu oleh SRSC. Contoh perubahan profil mahasiswa: ganti no hp, ganti alamat. Informasi ini harus tersedia bagi mahasiswa, layanan mahasiswa, binus career, jurusan, kemahasiswaan, alumni, binuscareer, biro nilai, web parent, dsb. Integrity Alasan: profil mahasiswa haruslah benar dan up to date karena profil mahasiswa ini banyak digunakan untuk berbagai keperluan saat perkuliahan berlangsung, seperti penagihan dan pelunasan pembayaran, beasiswa, sertifikat seminar yang diadakan di lingkungan Bina Nusantara, Penjadwalan kuliah dan ujian, serta untuk keperluan wisuda. Jika data ini sejak awal salah, maka akan berpengaruh ke banyak area.

Langkah 3 – Identifikasi Information Asset Containers Information asset container terbagi menjadi tiga, yaitu technical, physical, dan people dimana masing-masing mempunyai sisi internal dan eksternal. Dari 9 critical asset information, yang paling banyak mempunyai container adalah profil mahasiswa. Profil mahasiswa diakses, disimpan, atau dikirim melalui dua database, tiga belas aplikasi, dua jenis kontainer fisik, dan staff – staff dari sembilan unit kerja.

Langkah 4 – Identifikasi Areas of Concern Profil mahasiswa juga mempunyai area of concern yang paling banyak. Dari area of concern tersebut, yang paling sering adalah bug/error pada aplikasi dan pemanfaatan celah keamanan lewat aplikasi baik pihak dalam maupun luar, serta kesalahan saat deploy aplikasi.

Langkah 5 – Identifikasi Threat Scenarios Areas of concern kemudian diperluas menjadi threat scenario yang mendetailkan lebih jauh mengenai property dari threat. Properti dari threat antara lain, actor, means, motives, outcome, dan security requirement. Di bawah ini merupakan salah satu contoh threat scenarios dari profil mahasiswa.

Area Of Concern Dikarenakan jumlah profil mahasiswa yang banyak, terjadi kesalahan dalam peng-inputan data oleh staff SRSC 1

Threat Properties staff SRSC 1.Actor Staff menggunakan aplikasi 2.Means stusi Terjadi karena human error 3.Motives (accindental) Modification, Interruption 4.Outcome Penambahan validasi – 5.Security validasi terhadap field-field Requirements yang diinput oleh Staff

Langkah 6 – Identifikasi Risiko Langkah ini bertujuan untuk menentukan bagaimana threat scenario yang telah dicatat dapat memberikan dampak bagi perusahaan dimulai dengan mereview risk measurement criteria, fokus terhadap bagaimana definisi dampak high (tinggi) , medium, dan low untuk perusahaan. Kemudian relative risk score akan dihitung. Relative risk score dapat digunakan untuk menganalisa risiko dan membantu organisasi untuk memutuskan strategi terbaik dalam menghadapi risiko. Setiap area of concern tiap information asset yang telah didefinisikan, dipertimbangkan konsekuensi yang mungkin terjadi. Konsekuensi tersebut mempunyai impact area yang dinilai tingkat value-nya yang kemudian diberikan score. Score diperoleh melalui perkalian priority dengan value dari impact area. Cara menghitung score dapat dilihat di tabel di bawah ini. Impact Areas

Priority

Low

Moderate

High

(1)

(2)

(tinggi) (3)

Reputasi dan kepercayaan pelanggan Finansial Produktivitas

5 4 2

5 4 2

10 8 4

30 12 6

Keamanan dan Kesehatan Denda dan Penalti

1 3

1 3

2 6

3 9

Langkah 7 – Analisis Risiko Di bawah ini adalah salah satu setiap area of concern dari information asset yang telah didefinisikan dan dipertimbangkan konsekuensi yang mungkin terjadi berdasarkan relative risk score. Dari hasil pengamatan, rata-rata yang paling besar scorenya adalah Reputation & Customer Confidence.

Area Of Concern Dikarenakan jumlah profil mahasiswa yang banyak, terjadi kesalahan dalam peng-inputan data oleh staff SRSC

Risk Staff SRSC harus mendatakan ulang data-data yang salah lewat aplikasi atau bantuan dari Consequences staff IT sehingga banyak waktu yang terbuang untuk menginputnya.

1 Severity

Impact Area Reputation & Customer Confidence Financial Productivity Safety & Health Fines & Legal Penalties Relative Risk Score

Value Med

Score 10

Low High (tinggi) Low Low

4 6 1 3 24

Langkah 8 – Pemilihan Mitigation Approach Dari pengelompokan risiko yang ada, selanjutnya diambil langkah mitigasi risiko – risiko tersebut. Pembagian pengambilan langkah mitigasi dikelompokkan menjadi:

Relative Risk Matrix Risk Score 30 to 45

16 to 29

0 to 15

POOL 1

POOL 2

POOL

Mitigation Approach

1

Mitigate

2

Defer/Mitigate

3

Accept

POOL3

Berikut ini merupakan contoh mitigasi risiko atas area of concern. Risk Mitigation

1

Area of Concern Action Container Staff IT

2

Area of Concern Action Container Aplikasi siskul Staff AOC Staff AOC

Staff IT yang dapat memasukkan malicious code Mitigate Control Mengadakan training secara regular terhadap staff mengenai tanggung jawab dalam melindungi information asset.

Penyebaran hak akses(password) terhadap aplikasi siskul yang dapat mengakses data dosen oleh staff AOC yang memiliki akses Mitigate Control Dibuat pergantian password secara berkala. Dilakukan penyuluhan terhadap staff AOC mengenai pentingnya keamanan password. Jika terjadi kesalahan dalam input data, maka staff yang bersangkutan akan dikenakan sanksi.

KESIMPULAN DAN SARAN Kesimpulan Dari penilaian yang dilakukan pada Bina Nusantara, maka diperoleh kesimpulan sebagai berikut: 1. Bina Nusantara belum pernah melakukan evaluasi untuk menilai aset infomasi yang sifatnya kritikal serta ancaman dan risiko yang mungkin terjadi. 2. Bina Nusantara belum pernah membuat perencanaan pengurangan risiko untuk mengurangi risiko-risiko yang mungkin terjadi. 3.

OCTAVE Allegro merupakan suatu evaluasi risiko keamanan informasi yang sifatnya self-directed yang memungkinan organisasi untuk membuat keputusan dalam perlindungan informasi berdasarkan risiko terhadap confidentiality, integrity, dan availability dari aset informasi kritikal.

4. Untuk membuat keputusan perlindungan informasi yang paling terbaik, sangat

penting untuk mengidentifikasikan ancaman atas aset kritikal. Secara kolektif, semua sumber dari ancaman didokumentasikan dalam threat profile. Threat profile dapat digunakan untuk mengidentifikasikan serangkaian threat terhadap setiap critical asset. Jika organisasi mengerti ancaman dari aset kritikal, maka langkah selanjutnya akan sangat mudah untuk mengerti risiko terhadap organisasi dan mengambil langkah-langkah untuk mengurangi risiko tersebut.  5. Hasil dari serangkaian langkah dalam penilaian risiko di Bina Nusantara adalah: • Langkah 1 – Membangun Kriteria Pengukuran Risiko: Menentukan impact area dari Bina Nusantara. Impact area yang dipilih adalah reputasi dan kepercayaan pelanggan, financial, produktivitas, keamanan dan kesehatan, dan denda dan penalti.

Dari masing-masing impact area ini, diberikan penilaian kondisi seperti apakah impact area tersebut dikatakan low, medium, dan high. Selain itu, masing-masing impact area diberikan skala prioritas. Reputasi dan kepercayaan

pelanggan

merupakan prioritas terbesar yang dipilih karena jika reputasi dan kepercayaan pelanggan terjaga atau meningkat, maka customer akan menyebarkannya dari mulut ke mulut sehingga membuka peluang untuk lebih banyak mahasiswa yang masuk ke Bina Nusantara. • Langkah 2 – Mengembangkan Information Asset Profile: Untuk menentukan aset informasi apa saja yang kritikal bagi Bina Nusantara, assessment dilakukan dengan berfokus kepada core process dari binus itu sendiri. Awalnya aset-aset penting didefinisikan bersama dengan Manajer IS Dev Univ. Dari kumpulan aset penting tersebut, aset informasi kritikal yang berhasil diidentifikasikan dalam penulisan ini adalah: Profil dosen, Profil mahasiswa, Jadwal kuliah mahasiswa, Jadwal mengajar dosen, Transaksi nilai mahasiswa, Konten materi kuliah, Transaksi pembayaran uang kuliah, Absensi Kelas, dan Kehadiran dosen. • Langkah 3 – Identifikasi Information Asset Containers: Information asset containers dimana aset informasi kritikal Bina Nusantara tersebut disimpan, dipindahkan, atau diproses diidentifikasikan dengan membagi container dalam kategori technical, physical, dan people. • Langkah 4 – Identifikasi Areas of Concern: Areas of concern diidentifikasikan dengan melihat container yang telah diidentifikasikan di langkah sebelumnya. • Langkah 5 – Identifikasi Threat Scenarios: Areas of concern diperluas menjadi threat scenario yang mendetailkan lebih jauh mengenai property dari threat.

• Langkah 6 – Identifikasi Risiko: Langkah ini bertujuan untuk menentukan bagaimana threat scenario yang telah dicatat dalam dapat memberikan dampak bagi perusahaan. • Langkah 7 – Analisis Risiko: Pada tahap ini, pengukuran secara kualitatif dilakukan dengan menghitung score untuk setiap risiko pada information asset. • Langkah 8 – Pemilihan Mitigation Approach: Menentukan tindakan-tindakan yang dapat dilakukan untuk memitigasi setiap risiko.

Saran Saran yang dapat diusulkan dalam penelitian ini adalah sebagai berikut: 1. Membuat peraturan yang tertulis mengenai tanggung jawab dalam menjaga keamanan informasi dan sanksi bagi yang melanggar serta melakukan sosialisasi mengenai peraturan tersebut secara bertahap kepada karyawan Bina Nusantara. 2. Membuat simulasi secara visual untuk memudahkan karyawan untuk mengerti bagaimana pentingnya aset informasi, ancaman dan risiko yang mungkin terjadi, serta konsekuensi yang harus mereka hadapi bila terjadi. 3. Melakukan evaluasi keamanan informasi kembali dengan menggunakan Octave Allegro secara berkala, misalnya satu tahun sekali. 4. Untuk penulisan berikutnya, ruang lingkup penulisan dapat menggunakan area lain di IT Directorate Bina Nusantara, seperti bagian school, function, atau bisnis unit yang lain, seperti marketing dan HRD.  

DAFTAR PUSTAKA  

Christopher Alberts, A. D. (2002). Managing Information Security Risks: The OCTAVE Approach . Addison Wesley.  

Conner, B., Noonan, T., & Holleyman II, R. (2004). Information Security Governance: Toward a Framework for Action. (Business Software Alliance).  

Gary Stoneburner, A. G. (2002). Risk Management Guide for Information Technology Systems . Computer Security Division Information Technology Laboratory National Institute of Standards and Technology.  

Jake Kouns, D. M. (2010). Information Technology Risk Management In Enterprise Enviroments. New Jersey: John Wiley & Sons.  

McLeod Jr.,R., Schell, G. (2004). Sistem Informasi Manajemen, edisi ke-8. Terjemahan Widyantoro, Agus, PT. Indeks, Jakarta.

Marie Wright, Third generation risk management practices, Computer Fraud & Security, Volume 1999, Issue 2, February 1999, Pages 9-12, ISSN 1361-3723, 10.1016/S13613723(99)80005-0.

Michael E. Whitman and Herbert J.Mattord (2010). Management of Information Security,3rd Edition. Thomson-Course Technology.

Mulyadi. (1997). Sistem Akuntansi, edisi ke-3, cetakan ke-2. Bagian Penerbitan Sekolah Tinggi Ilmu Ekonomi YKPN, Yogyakarta.

O’Brien, James. (2006). Pengantar Sistem Informasi – Perspektif Bisnis dan Manajerial, edisi ke-12. Terjemahan Fitriasari,D., dan Deny Arnos Kwary. Salemba Empat. Jakarta.

Schwartz, M. , “Computer security: Planning to protect corporate assets,” Journal of Business Strategy, vol. 11(1), pp. 38-41, 1990.

Saint-Germain, R. “Information security management best practice based on ISO/IEC 17799,” The Information Management Journal, vol. August 2005, pp. 60-66, 2005.

Van de Haar, H., & von Solms, R. (2003, April). Deriving Information Security Control Profiles for an Organization. Computers & Security, 22 (3), 233 – 244.

Technical Department of ENISA Section Risk Management. (2006). Risk Management: Implementation principles and Inventories for Risk Management/Risk Assessment methods and tools . ENISA.  

Wilkinson, J. W. (1995). Sistem Akuntansi dan Informasi, jilid ke-1, edisi ke-2, cetakan ke-4. Terjemahan Sinaga, M. Erlangga. Jakarta.

Woody, C. (2006). Applying OCTAVE: Practitioners Report . Carnegie Mellon University.