UNIVERSITAS INDONESIA
PERENCANAAN MANAJEMEN RISIKO KEAMANAN INFORMASI: STUDI KASUS APLIKASI MODUL KEKAYAAN NEGARA DIREKTORAT JENDERAL KEKAYAAN NEGARA KEMENTERIAN KEUANGAN
KARYA AKHIR
SIGIT PRASETYO 1206194902
FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JULI 2014
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
UNIVERSITAS INDONESIA
PERENCANAAN MANAJEMEN RISIKO KEAMANAN INFORMASI: STUDI KASUS APLIKASI MODUL KEKAYAAN NEGARA DIREKTORAT JENDERAL KEKAYAAN NEGARA KEMENTERIAN KEUANGAN
KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi
SIGIT PRASETYO 1206194902 HALAMAN JUDUL
FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JULI 2014
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
HALAMAN PERNYATAAN ORISINALITAS
ii
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
HALAMAN PENGESAHAN
iii
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
KATA PENGANTAR Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa, karena atas berkat dan rahmat-Nya, penulis dapat menyelesaikan Karya Akhir ini. Penulisan Karya Akhir dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer – Universitas Indonesia. Penulis menyadari bahwa, tanpa bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada penyusunan karya akhir ini, sangatlah sulit bagi penulis untuk menyelesaikannya. Oleh karena itu, penulis mengucapkan terimakasih kepada: 1. Bapak Yudho Giri Sucahyo M.Kom., Ph.D dan Muh. Kasfu Hammi S.Kom., MTI selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan dalam penyusunan Karya Akhir ini. 2. Dosen Penguji yang telah menguji dan memberikan saran dan perbaikan pada Karya Akhir ini. 3. Direktorat Jenderal Kekayaan Negara (DJKN) yang telah memberikan bantuan beasiswa. 4. Istri tercinta, Andry Muji Asbiyanti, yang telah memberikan pengertian, perhatian, dukungan, dan semangat yang telah diberikan pada penulis. 5. Kedua orang tua tercinta, yang telah memberikan dukungan, doa, dan perhatian yang telah diberikan kepada penulis. 6. Staf di Magister Teknologi Informasi, yang telah membantu kelancaran perkuliahan dan Karya Akhir. 7. Teman – teman di MTI 2012SA, yang telah membantu melewati masa kuliah. Akhir kata, semoga Allah SWT membalas semua kebaikan dan bantuan yang telah diberikan dengan pahala yang berlipat ganda. Semoga Karya Akhir ini memberikan manfaat bagi pengembangan ilmu pada umumnya dan bagi penulis pada khususnya. Jakarta, 16 Juni 2014 Penulis
iv
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS
v
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
ABSTRAK
Nama : Sigit Prasetyo Program Studi : Magister Teknologi Informasi Judul Karya Akhir : Perencanaan Manajemen Risiko Keamanan Informasi: Studi Kasus Aplikasi Modul Kekayaan Negara Direktorat Jenderal Kekayaan Negara Kementerian Keuangan Kementerian Keuangan khususnya Direktorat Jenderal Kekayaan Negara (DJKN) merupakan salah satu organisasi yang bertugas untuk melakukan pengelolaan barang milik negara dan melakukan peningkatan pelayanan terhadap stakeholder dengan menggunakan teknologi informasi sebagai elemen pendukungnya. Untuk mewujudkan database nilai kekayaan negara yang kredibel sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat, dan dapat digunakan untuk proses pengambilan keputusan bagi pimpinan Kementerian Keuangan maka dibutuhkan suatu perencanaan manajemen risiko keamanan informasi terhadap sistem informasi utama yang mendukung proses bisnis DJKN. Penelitian ini bertujuan untuk menyusun perencanaan manajemen risiko keamanan informasi untuk DJKN khususnya terhadap aplikasi yang mendukung proses bisnis utama yaitu aplikasi Modul KN dengan menggunakan framework ISO 27005 dan ISO 27002 untuk penanganan pengurangan risiko. Hasil yang didapat dari penelitian ini adalah perencanaan manajemen risiko keamanan informasi yang berupa dokumen penanganan risiko, rekomendasi kontrol untuk mengurangi risiko dan penerimaan risiko yang berisi tentang keputusan penanganan risiko serta penanggung jawab penanganan risiko. Kata Kunci : Manajemen Risiko, Keamanan Informasi, ISO 27005, ISO 27002
vi
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
ABSTRAC
Name Program of Study Topic
: Sigit Prasetyo : Magister Teknologi Informasi : Information Security Risk Management Planning: A Case Study at Application Module of State Asset, Directorate General of State Asset, Ministry of Finance
Ministry of Finance in particular the Directorate General of State Asset (DJKN) is one organization that is tasked to undertake the management of state asset and improved services to stakeholders using information technology as a supporting element . To realize the value database of state asset into a credible executive information intact, timely, accurate and can be used for decision making process for the leadership of the Ministry of Finance then needed an information security risk management plan to the main information systems that support business processes DJKN . This research aimed to develop an information security risk management plan for DJKN particularly to applications that support key business processes that called state assets module applications using the framework of ISO 27005 and ISO 27002 for risk reduction management. The results obtained from this research is the information security risk management plan that contains the document mitigation risk, control recommendations to reduce risk and acceptance of risk which contains risk management decisions also the person in charge of mitigation risk. Key Words :
Risk Management, Information Security, ISO 27005, ISO 27002
vii
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
DAFTAR ISI
HALAMAN JUDUL .............................................................................................. i HALAMAN PERNYATAAN ORISINALITAS ................................................ ii HALAMAN PENGESAHAN .............................................................................. iii KATA PENGANTAR .......................................................................................... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI.......................... v KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS .............................. v ABSTRAK ............................................................................................................ vi ABSTRAC............................................................................................................ vii DAFTAR ISI ....................................................................................................... viii DAFTAR GAMBAR ............................................................................................. x DAFTAR TABEL ................................................................................................ xi BAB I PENDAHULUAN ...................................................................................... 1 1.1 Latar Belakang .............................................................................................. 1 1.2 Perumusan Masalah ..................................................................................... 10 1.3 Pertanyaan Penelitian .................................................................................. 11 1.4 Tujuan Penelitian ......................................................................................... 11 1.5 Manfaat Penelitian ....................................................................................... 11 1.6 Batasan Penelitian ....................................................................................... 12 1.7 Sistematika Penulisan .................................................................................. 12 BAB II LANDASAN TEORI ............................................................................. 13 2.1 Keamanan Informasi ................................................................................... 13 2.2 Risiko........................................................................................................... 15 2.3 Manajemen Risiko ....................................................................................... 15 2.4 Perencanaan Manajemen Risiko.................................................................. 15 2.5 Metode Penelitian Manajemen Risiko Keamanan Informasi ...................... 16 2.5.1 ISO 27005 ............................................................................................. 16 2.5.2 NIST SP 800-30 .................................................................................... 23 2.5.3 OCTAVE .............................................................................................. 26 2.6 Perbandingan Metode Perancangan Manajemen Risiko ............................. 29 2.7 Penelitian Sejenis Sebelumnya .................................................................... 30 2.8 Kerangka Pemikiran (Theoritical Framework) ........................................... 31 BAB III METODOLOGI PENELITIAN ......................................................... 34 3.1 Alur Penelitian ............................................................................................. 34 3.2 Metode Pengumpulan Data ......................................................................... 35 3.3 Metode Analisis Data ................................................................................. 36 BAB IVPROFIL ORGANISASI........................................................................ 37 4.1 Sejarah Singkat DJKN................................................................................ 37 4.2 Visi, Misi dan Tugas Organisasi ................................................................ 38 4.3 Sasaran Strategis Organisasi ...................................................................... 39 4.4 Struktur Organisasi ..................................................................................... 40 4.5 Rincian tugas tiap Direktorat ...................................................................... 41 4.6 Penerapan Manajemen Risiko di DJKN ...................................................... 42 BAB V ANALISIS DAN PEMBAHASAN ........................................................ 46 5.1 Penetapan Konteks ..................................................................................... 47 viii
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
5.1.1 Kriteria Dasar Pengelolaan Risiko ........................................................ 47 5.1.2 Ruang Lingkup Perencanaaan Manajemen Risiko Keamanan Informasi ........................................................................................................ 50 5.1.3 Organisasi Manajemen Risiko Keamanan Informasi .......................... 55 5.2 Penilaian Risiko .......................................................................................... 57 5.2.1 Identifikasi Risiko ................................................................................. 57 5.2.2 Estimasi Risiko ..................................................................................... 67 5.3 Evaluasi Risiko ............................................................................................ 74 5.4 Penanganan Risiko ...................................................................................... 77 5.4.1 Mengurangi risiko ................................................................................. 77 5.4.2 Mempertahankan risiko ........................................................................ 78 5.4.3 Menghindari risiko................................................................................ 78 5.4.4 Mentransfer risiko ................................................................................. 78 5.5 Penerimaan Risiko ..................................................................................... 103 BAB VI PENUTUP ........................................................................................... 115 6.1 Kesimpulan ................................................................................................ 115 6.2 Saran .......................................................................................................... 116 DAFTAR PUSTAKA ........................................................................................ 117 LAMPIRAN ....................................................................................................... 120 A.TRANSKRIP WAWANCARA................................................................... 120 B. REKAP HELPDESK TIK DJKN ............................................................... 133 C. MATRIKS EVALUASI RISIKO ............................................................... 137
ix
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
DAFTAR GAMBAR
Gambar 1.1 Pie Chart Permasalahan layanan TIK DJKN ...................................... 8 Gambar 1.2 Gap Analysis TIK DJKN..................................................................... 9 Gambar 1.3 Analisis Fishbone .............................................................................. 10 Gambar 2.1 Model PDCA pada proses SMKI ...................................................... 14 Gambar 2.2 Proses Manajemen Risiko ISO 27005 ............................................... 18 Gambar 2.3 Proses Penanganan Risiko ................................................................. 20 Gambar 2.4 Proses Manajemen Risiko NIST 800-30 ........................................... 24 Gambar 2.5 Proses Manajemen Risiko OCTAVE ................................................ 27 Gambar 2.6 Kerangka Pemikiran .......................................................................... 32 Gambar 3.1 Metodologi Penelitian ....................................................................... 34 Gambar 4.1 Struktur organisasi kantor pusat ........................................................ 40 Gambar 4.2 Struktur organisasi kantor wilayah .................................................... 40 Gambar 4.3 Struktur organisasi KPKNL .............................................................. 41 Gambar 5.1 Proses Perencanaan Manajemen Risiko Keamanan Informasi ......... 46 Gambar 5.2 Proses bisnis pengelolaan BMN ........................................................ 51 Gambar 5.3 Pemetaan aplikasi di DJKN............................................................... 52 Gambar 5.4 Grid McFarlan .................................................................................. 52 Gambar 5.5 Proses bisnis aplikasi Modul KN ...................................................... 54 Gambar 5. 6 Arsitektur teknologi informasi aplikasi Modul KN ......................... 54 Gambar 5.7 Struktur organisasi manajemen risiko keamanan informasi di DJKN ............................................................................................................................... 56
x
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
DAFTAR TABEL
Tabel 1.1 Rangkuman Permasalahan Layanan TIK DJKN .................................... 7 Tabel 2.1 Penjelasan proses SMKI ....................................................................... 14 Tabel 2.2 Keselarasan antara proses SMKI dengan proses MRKI ....................... 23 Tabel 2.3 Perbandingan metode manajemen risiko keamanan informasi ............. 29 Tabel 4.1 Rincian tugas tiap Direktorat ................................................................ 42 Tabel 4.2 Laporan Profil Risiko DJKN semester 1 tahun 2014............................ 43 Tabel 4.3 Laporan Penanganan Risiko DJKN semester 1 tahun 2014 ................. 44 Tabel 5.1Kriteria Dampak ..................................................................................... 48 Tabel 5.2 Tingkat kecenderungan risiko ............................................................... 48 Tabel 5.3 Kriteria penerimaan risiko .................................................................... 49 Tabel 5.4 Kriteria risiko yang harus ditransfer ..................................................... 50 Tabel 5.5 Matriks selera risiko .............................................................................. 50 Tabel 5.6 Rincian aset pada Modul KN ................................................................ 58 Tabel 5.7 Identifikasi ancaman tiap aset ............................................................... 60 Tabel 5.8 Identifikasi kontrol yang sudah ada ...................................................... 62 Tabel 5.9 Identifikasi kerawanan tiap aset ............................................................ 64 Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset .................. 68 Tabel 5.11 Matriks penentuan tingkatan evaluasi risiko ....................................... 74 Tabel 5.12 Matrik nilai evaluasi risiko ................................................................. 75 Tabel 5.13 Prioritas risiko berdasarkan nilai risiko .............................................. 76 Tabel 5.14 Analisis Penanganan Risiko ................................................................ 80 Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol .............................................................................................. 96 Tabel 5.16 Analisis Penerimaan Risiko .............................................................. 104 Tabel C.1 Matriks evaluasi risiko untuk A1 dan T1 ........................................... 137 Tabel C.2 Matriks evaluasi risiko untuk A1 dan T2 ........................................... 137 Tabel C.3 Matriks evaluasi risiko untuk A1 dan T3 ........................................... 137 Tabel C.4 Matriks evaluasi risiko untuk A2 dan T4 ........................................... 137 Tabel C.5 Matriks evaluasi risiko untuk A3 dan T3 ........................................... 138 Tabel C.6 Matriks evaluasi risiko untuk A3 dan T5 ........................................... 138 Tabel C.7 Matriks evaluasi risiko untuk A4 dan T3 ........................................... 138 Tabel C.8 Matriks evaluasi risiko untuk A4 dan T5 ........................................... 138 Tabel C.9 Matriks evaluasi risiko A5 dan T3 ..................................................... 139 Tabel C.10 Matriks evaluasi risiko untuk A5 dan T6 ......................................... 139 Tabel C.11 Matriks evaluasi risiko untuk A6 dan T3 ......................................... 139 Tabel C.12 Matriks evaluasi risiko untuk A6 dan T6 ......................................... 139 Tabel C.13 Matriks evaluasi risiko untuk A7 dan T3 ......................................... 140 Tabel C.14 Matriks evaluasi risiko untuk A7 dan T6 ......................................... 140 Tabel C.15 Matriks evaluasi risiko untuk A8 dan T3 ......................................... 140 Tabel C.16 Matriks evaluasi risiko untuk A9 dan T7 ......................................... 140 Tabel C.17 Matriks evaluasi risiko untuk A10 dan T1 ....................................... 141 Tabel C.18 Matriks evaluasi risiko untuk A10 dan T8 ....................................... 141 Tabel C.19 Matriks evaluasi risiko untuk A11 dan T1 ....................................... 141 xi
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
Tabel C.20 Matriks evaluasi risiko untuk A12 dan T3 ....................................... 141 Tabel C.21 Matriks evaluasi risiko untuk A13 dan T3 ....................................... 142 Tabel C.22 Matriks evaluasi risiko untuk A14 dan T8 ....................................... 142 Tabel C.23 Matriks evaluasi risiko untuk A15 dan T9 ....................................... 142 Tabel C.24 Matriks evaluasi risiko untuk A15 dan T1 ....................................... 142 Tabel C.25 Matriks evaluasi risiko untuk A16 dan T9 ....................................... 143 Tabel C.26 Matriks evaluasi risiko untuk A16 dan T1 ....................................... 143 Tabel C.27 Matriks evaluasi risiko untuk A17 dan T1 ....................................... 143 Tabel C.28 Matriks evaluasi risiko untuk A18 dan T10 ..................................... 143 Tabel C.29 Matriks evaluasi risiko untuk A18 dan T11 ..................................... 144 Tabel C.30 Matriks evaluasi risiko untuk A19 dan T12 ..................................... 144 Tabel C.31 Matriks evaluasi risiko untuk A19 dan T13 ..................................... 144 Tabel C.32 Matriks evaluasi risiko untuk A20 dan T11 ..................................... 144 Tabel C.33 Matriks evaluasi risiko untuk A21 dan T12 ..................................... 145 Tabel C.34 Matriks evaluasi risiko untuk A22 dan T13 ..................................... 145 Tabel C.35 Matriks evaluasi risiko untuk A23 dan T13 ..................................... 145 Tabel C.36 Matriks evaluasi risiko untuk A24 dan T13 ..................................... 145 Tabel C.37 Matriks evaluasi risiko untuk A25 dan T8 ....................................... 146 Tabel C.38 Matriks evaluasi risiko untuk A26 dan T14 ..................................... 146 Tabel C.39 Nilai risiko dari tiap skenario ........................................................... 147
xii
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
1
BAB I PENDAHULUAN
Pada bab ini menjelaskan mengenai latar belakang penulisan penelitian terhadap kondisi terkini organisasi di Direktorat Jenderal Kekayaan Negara (DJKN), melakukan analisis permasalahan yang dihadapi sehingga menghasilkan perumusan masalah, menentukan ruang lingkup, tujuan, manfaat dan sistematika penulisan. 1.1 Latar Belakang Direktorat Jenderal Kekayaan Negara merupakan unit eselon 1 di lingkungan Kementerian Keuangan berdasarkan Peraturan Presiden Nomor 66 Tahun 2006 tentang Perubahan Keempat atas Peraturan Presiden Nomor 10 Tahun 2005 tentang Unit Organisasi dan Tugas Eselon I Kementerian Republik Indonesia. Direktorat Jenderal Kekayaan Negara mempunyai tugas merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara, piutang negara, dan lelang. Dalam melaksanakan tugas yang dibebankan kepada Direktorat Jenderal Kekayaan Negara, maka ditetapkan visi DJKN, yaitu: ”Menjadi Pengelola Kekayaan Negara, Piutang Negara dan Lelang yang profesional dan bertanggung jawab untuk sebesar-besar kemakmuran rakyat”. Profesional adalah bahwa tugas-tugas pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelayanan lelang dilaksanakan sesuai standar profesi dan standar keilmuan yang telah ditetapkan. Bertanggung jawab adalah bahwa pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelaksanaan lelang dilakukan secara transparan dan dapat dipertanggungjawabkan sesuai dengan ketentuan peraturan perundangundangan yang berlaku. Untuk sebesar-besar kemakmuran rakyat, merupakan cita-cita dan arah dari tujuan akhir pengelolaan kekayaan negara sesuai dengan jiwa Pasal 33 Undang-Undang Dasar Republik Indonesia tahun 1945.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
2
Untuk merealisasikan visi yang telah ditetapkan, maka Direktorat Jenderal Kekayaan Negara menetapkan misi antara lain: a.
Mewujudkan
optimalisasi
penerimaan,
efisiensi
pengeluaran
dan
efektivitas pengelolaan kekayaan negara; b.
Mengamankan kekayaan negara secara fisik, administrasi dan hukum;
c.
Mewujudkan nilai kekayaan negara yang wajar dan dapat dijadikan acuan dalam berbagai keperluan;
d.
Melaksanakan
pengurusan
piutang
negara
yang
efektif,
efisien,
transparan dan akuntabel; e.
Mewujudkan lelang yang efektif, efisien, transparan, akuntabel, adil dan kompetitif sebagai instrumen jual beli yang mampu mengakomodasi kepentingan masyarakat.
Pada tahun 2008 telah disusun Blue Print (Cetak Biru) TIK DJKN yang bertujuan sebagai rujukan dalam pengembangan dan implementasi TIK di DJKN selama 5 tahun yaitu tahun 2008 – 2012. Blue Print TIK DJKN tersebut mempunyai tujuan yaitu pemanfaatan teknologi dan informasi (TIK) yang handal, terintegrasi dan berkembang. Dalam analisis Strengths Weaknesses Opportunities and Threats (SWOT) khususnya mengenai kelemahan TIK DJKN terdapat beberapa permasalahan yaitu belum terdapatnya database yang lengkap, komprehensif dan terintegrasi, kemudian belum terdapatnya sistem informasi yang memadai untuk mendukung pelaksanaan proses-proses bisnis utama DJKN serta belum adanya infrastruktur perangkat keras dan lunak pendukung yang memadai di DJKN. Berdasarkan Peraturan Menteri Keuangan Nomor 191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan bahwa Setiap unit Eselon I di lingkungan Kementerian Keuangan harus menerapkan dan mengembangkan Manajemen Risiko di lingkungan masing-masing. Hal ini berdasarkan Peraturan Pemerintah nomor 60 tahun 2008 tentang Sistem Pengendalian Internal Pemerintah khususnya pada bagian ketiga pasal 13 ayat 1 yaitu pimpinan instansi pemerintah wajib melakukan penilaian risiko. Saat ini DJKN telah menyusun Laporan Manajemen Risiko pada awal tahun 2014 yang dibuat berdasarkan sasaran kinerja organisasi terhadap risiko yang berpotensi Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
3
menghalangi, menurunkan atau menunda tercapainya sasaran kerja unit eselon I. Laporan tersebut menghasilkan profil risiko dan cara penanganannya berdasarkan sasaran kinerja masing-masing unit di DJKN. Sesuai dengan Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi (SMKI) di Lingkungan Kementerian Keuangan bahwa Unit TIK pusat dan unit TIK eselon I menerapkan dan mengembangkan manajemen risiko dalam rangka pelaksanaan pengamanan dan perlindungan aset informasi dengan mengikuti ketentuan mengenai penerapan manajemen risiko di lingkungan Kementerian Keuangan. Berdasarkan wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi Bpk. Agus Setyo Pambudi tanggal 27 Maret 2014 bahwa sampai saat ini baik Unit TIK Pusat maupun Unit TIK DJKN belum menerapkan dan mengembangkan manajemen risiko dalam rangka pelaksanaan pengamanan dan perlindungan aset informasi. Kebijakan dan standar SMKI di lingkungan Kementerian Keuangan tersebut disusun dengan memperhatikan Peraturan Menteri Komunikasi dan Informatika Nomor 41/PERMEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi
Informasi
dan
Komunikasi
Nasional,
lSO/IEC
27001:2005
(Information technology-Security techniques-Information security management system-Requirements) dan lSO/IEC 27002:2005 (Information technologySecuritytechniques-Code of practice for information security management). PMK Nomor 479/KMK.01/2010 tersebut mewajibkan setiap unit Eselon I menerapkan Kebijakan dan Standar SMKI di lingkungan unit eselon I masing-masing yang terdiri dari sebelas pengendalian antara lain:
Pengendalian Umum;
Pengendalian Organisasi Keamanan Informasi;
Pengelolaan Aset Informasi;
Pengendalian Keamanan Sumber Daya Manusia;
Pengendalian Keamanan Fisik dan Lingkungan;
Pengendalian Pengelolaan Komunikasi dan Operasional; Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
4
Pengendalian Akses;
Pengendalian Keamanan Informasi dalam Pengadaan, Pengembangan dan Pemeliharaan Sistem Informasi;
Pengendalian Pengelolaan Gangguan Keamanan Informasi;
Pengendalian Keamanan Informasi dalam Pengelolaan Kelangsungan Kegiatan;
Pengendalian Kepatuhan.
Untuk menindaklanjuti keputusan tersebut DJKN telah membuat Surat Edaran No.6/KN/2012 tentang Struktur Tim Keamanan Informasi, Standarisasi Personal Computer, Pengelolaan dan Pengoperasian Perangkat Teknologi Informasi dan Komunikasi di Lingkungan Direktorat Jenderal Kekayaan Negara. Dalam hal ini DJKN baru melakukan dua pengendalian yang diamanatkan oleh Keputusan Menteri Keuangan yaitu pengendalian organisasi keamanan informasi dan pengendalian pengelolaan komunikasi dan operasional sehingga diperlukan tindak lanjut dalam menyusun pengendalian keamanan informasi. Pada tahun 2010 telah disusun Keputusan Direktur Jenderal Kekayaan Negara Nomor KEP-38/KN/2010 tentang Rencana Strategis Direktorat Jenderal Kekayaan Negara Tahun 2010 – 2014 yang merupakan penjabaran lebih lanjut dari Keputusan Menteri Keuangan Nomor 40/KMK.01/2010 tentang Rencana Strategis Kementerian Keuangan tahun 2010-2014. Dalam Renstra tersebut terdapat strategi organisasi di bidang Teknologi Informasi Keuangan (TIK) yaitu melakukan pengembangan Sistem Informasi Manajemen (SIM) di lingkungan Direktorat Jenderal Kekayaan Negara yang terdiri dari rencana aksi yaitu antara lain dengan melakukan pengembangan aplikasi, pengelolaan database dan pengembangan
infrastruktur
TIK.
Renstra
tersebut
juga
menjelaskan
permasalahan yaitu masih kurangnya kompetensi pegawai dalam pengoperasian aplikasi terkait penatausahaan Barang Milik Negara (BMN). Menurut Keputusan Menteri Keuangan Nomor 40/KMK.01/2010 tentang Rencana Strategis Kementerian Keuangan tahun 2010-2014 terdapat salah satu sasaran strategis dalam tema kekayaan negara yaitu terwujudnya database nilai kekayaan Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
5
negara yang kredibel dengan cara mendapatkan, mengumpulkan dan mengolah data kekayaan negara sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat, dan dapat digunakan untuk proses pengambilan keputusan bagi pimpinan Kementerian Keuangan. Sedangkan permasalahan TIK yang dihadapi dalam pengelolaan kekayaaan negara yaitu penerapan Sistem Informasi Manajemen dan Akuntansi (SIMAK) BMN belum merata diseluruh K/L, kualitas dan kuantitas SDM belum memadai serta kurangnya sarana dan prasarana. Berdasarkan laporan hasil audit Inspektorat Jenderal Nomor 83 tahun 2011 terhadap pembangunan modul kekayaan negara di DJKN yang terdiri atas audit terkait pengandalian umum dan pengendalian aplikasi yang dapat dijelaskan sebagai berikut: a.
Pengendalian umum
IT
Strategy
Plan:
Pengembangan
TI
tidak
melalui
rencana
strategis yang ada sehingga masih bersifat ad hoc;
Arsitektur Informasi: DJKN belum memiliki Interprise Information Architecture Model yang menjadi acuan dalam pengembangan aplikasi;
Proses teknologi informasi, organisasi dan hubungan: tidak adanya IT Strategy Comittee, belum terdapat personel yang bertanggung jawab terhadap risiko, keamanan dan kepatuhan pada sistem TI DJKN, belum adanya tim Quality Assurance;
Tidak memiliki sistem manajemen kualitas;
Belum memiliki manajemen risiko yang baku terkait pengelolaan TI;
Tidak memiliki standar dan prosedur baku dalam manajemen proyek;
Pembangunan aplikasi hanya didasari oleh pengetahuan dan pengalaman dari individu kunci, tidak ada studi kelayakan dan analisis risiko;
Dalam pembangunan aplikasi tidak terdapat ruang lingkup testing, pengembangan, manajemen keamanan dan Software Quality Assurance (SQA);
Pengadaan infrastruktur tidak berdasarkan kebutuhan bisnis tapi dari sisi teknis, hal ini dikarenakan tidak adanya penerapan audit, security dan internal control untuk memproteksi sumber daya TIK dan memastikan Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
6
availability dan integrity dari sistem dan data TIK serta tidak adanya perawatan berkala terhadap infrastruktur TI;
Belum memilik standar baku manajemen perubahan;
Belum memiliki manajemen dan standar tingkat layanan;
Belum memiliki Business Continuity Plan (BCP) dan Disaster Recovery Plan (DRP) untuk layanan berkelanjutan;
Tidak ada manajemen service desk terhadap permasalahan;
Belum memiliki standar baku konfigurasi aset TIK;
Tidak memilik tata kelola TIK. Blue Print yang ada belum ditetapkan secara formal oleh pejabat yang berwenang;
Tidak ada dokumentasi hasil testing aplikasi Modul KN;
Pembentukan database server kurang akurat, tidak mendukung pertukaran data tingkat eselon I;
Belum adanya monitoring dan evaluasi pembangunan TI;
Tidak ada regulasi dalam penggunaan Modul KN untuk rekonsiliasi BMN dalam bentuk peraturan (Surat Edaran).
b.
Pengendalian Aplikasi Berisi tentang berbagai permasalahan yang ada dalam pengoperasian Modul KN yaitu adanya menu yang masih kurang, proses operasi yang lama, Standar Operating Procedure (SOP) yang kurang lengkap dan tidak ada indikator dalam proses eksekusi aplikasi.
Untuk menindaklanjuti hasil audit tersebut maka Direktorat PKNSI membuat matriks tindak lanjut temuan Itjen atas kegiatan pengelolaan BMN dimana akan melakukan perancangan pembuatan Blue Print (Cetak Biru) TIK yang didalamnya berisi tentang perencanaan strategi TI, arsitektur informasi, manajemen kualitas, manajemen risiko, manajemen proyek, kebutuhan proses bisnis dan solusi TI, manajemen layanan, manajemen service desk, konfigurasi aset TIK dan tata kelola TIK. Berdasarkan laporan jumlah permasalahan terkait dengan layanan TI yang didapat dari Aplikasi Helpdesk Layanan TIK DJKN pada tahun 2010 sampai dengan Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
7
tahun 2013 terdapat permasalahan yang semakin bertambah setiap tahun terutama dalam hal pengelolaan TI dan keamanan informasi. Dalam hal pengelolaan TI yaitu bertambahnya permasalahan terkait infrastruktur TI. Sedangkan dalam hal keamanan informasi yaitu banyaknya permasalahan database yang hilang atau rusak, adanya orang yang tidak mempunyai otoritas menggunakan akun (user account) orang lain sehingga dapat melihat maupun merubah data, banyaknya software yang rusak dikarenakan faktor manusia maupun faktor lainnya misalnya karena terkena virus sehingga data tidak dapat diakses. Hal ini menyebabkan risiko keamanan informasi terjadi berulang dan tidak dikontrol dengan baik. Adapun rangkuman permasalahan seperti dijelaskan pada Tabel 1.1: Tabel 1.1 Rangkuman Permasalahan Layanan TIK DJKN No
Jenis Layanan
1 2 3 4 5 6 7 8 9 10 11 12
Umum Jaringan Aplikasi DJKN User account dan Email Hardware Software Rekonsiliasi BMN Database Konfigurasi Informasi Voip SSO DJKN Jumlah
Tahun 2010 2 13 4 1 3 4 27
Tahun 2011 79 26 10 17 5 2 5 144
Tahun 2012 13 98 19 90 35 21 1 25 302
Tahun 2013 17 75 32 13 27 10 4 34 6 3 242
Sumber: www.djkn.kemenkeu.go.id/helpdesktik
Pada Tabel 1.1 tersebut dapat dijelaskan bahwa terdapat permasalahan layanan TIK dari tahun 2010 sampai dengan tahun 2013 dengan jumlah insiden sebanyak 715 insiden. Terkait permasalahan keamanan informasi terdapat 560 insiden yang terdiri dari jenis layanan sebagai berikut:
Jaringan sebanyak 265 insiden yang menyebabkan permasalahan terkait ketersediaan data (availability);
Aplikasi sebanyak 81 insiden yang menyebabkan permasalahan terkait kerahasiaan dan ketersediaan data (confidentiality dan availability); Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
8
Hardware sebanyak 82 insiden yang menyebabkan permasalahan terkait keutuhan dan ketersediaan data (integrity dan availability);
Software sebanyak 40 insiden yang menyebabkan permasalahan terkait keutuhan dan ketersediaan data (integrity dan availability);
Rekonsiliasi BMN sebanyak 7 insiden yang menyebabkan permasalahan terkait keutuhan data (integrity);
Database sebanyak 64 insiden yang menyebabkan permasalahan terkait kerahasiaan, keutuhan dan ketersediaan data (confidentiality, integrity dan availability);
Berdasarkan data tersebut maka dapat digambarkan porsi permasalahan keamanan informasi pada Gambar 1.1:
Gambar 1.1 Pie Chart Permasalahan layanan TIK DJKN Pada Gambar 1.1 dapat diketahui bahwa permasalahan terkait keamanan informasi sebesar 79 % dengan jumlah insiden sebanyak 560 insiden sedangkan untuk permasalahan diluar keamanan informasi sebesar 21 % dengan jumlah insiden sebanyak 155 insiden.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
9
Berdasarkan hasil wawancara dengan Kasubdit Pengolahan Data dan Layanan Operasional Bpk. I Ketut Puja tanggal 4 Februari 2014 bahwa terdapat beberapa permasalahan TIK di DJKN yaitu:
Belum adanya perencanaan manajemen risiko terhadap pengelolaan teknologi dan keamanan informasi di DJKN;
Kompetensi dan jumlah SDM TI di DJKN masih kurang;
Sesuai dengan paparan diatas, maka dapat ditarik permasalahan dengan menggunakan gap analysis (analisis kesenjangan) yang membandingkan antara keadaan yang diharapkan dengan kenyataan yang terjadi pada kondisi sekarang yang dapat dijelaskan pada Gambar 1.2:
Gambar 1.2 Gap Analysis TIK DJKN Pada Gambar 1.2 menjelaskan bahwa ekspektasi dari Kementerian Keuangan adalah DJKN dapat mewujudkan database nilai kekayaan negara yang kredibel sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat dan dapat digunakan untuk proses pengambilan keputusan. Menurut rekap helpdesk TIK DJKN sekarang ini database kekayaan negara yang terdapat dalam sistem informasi utama yaitu Modul Kekayaan Negara banyak mengalami loss of Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
10
confidentiality, integrity dan availibility sehingga tidak kredibel dan tidak dapat digunakan untuk proses pengambilan keputusan. Dalam hal ini terdapat permasalahan yaitu risiko keamanan informasi database kekayaan negara yang terdapat dalam Modul Kekayaan Negara tidak dikontrol dengan baik. 1.2 Perumusan Masalah Berdasarkan permasalahan dan kondisi yang sudah dijelaskan diatas dapat dilakukan perumusan dengan menggunakan analisis fishbone pada Gambar 1.3:
Gambar 1.3 Analisis Fishbone Berdasarkan analisis fishbone pada Gambar 1.3 diatas, secara garis besar terdapat empat permasalahan mendasar yang menyebabkan risiko terkait keamanan informasi tidak dikontrol dengan baik yaitu:
Sumber Daya Manusia (SDM): kompetensi dan jumlah SDM TI di DJKN masih kurang menyebabkan rendahnya awareness keamanan informasi dan penanganan risiko keamanan informasi tidak terselesaikan dengan baik;
Infrastruktur: tidak adanya perawatan berkala terhadap infrastruktur TI. Hal ini dapat menyebabkan kerusakan perangkat dan informasi yang terkandung Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
11
di dalamnya sehingga terjadi permasalahan terkait keutuhan data (integrity) dan ketersediaan data (availability);
Kebijakan: belum adanya evaluasi pembangunan SI/TI yang terkait dengan risiko keamanan informasi misalnya evaluasi terhadap waktu layanan (response time) dan keutuhan data sehingga kebutuhan pengendalian risiko keamanan informasi tidak terdefinisi. Belum adanya perencanaan manajemen risiko keamanan informasi sehingga perlindungan dan pengamanan aset informasi tidak dilakukan baik;
Organisasi: belum adanya unit yang bertanggung jawab melakukan koordinasi, penanganan dan monitoring terhadap risiko keamanan informasi.
1.3 Pertanyaan Penelitian Dari analisis permasalahan menggunakan fishbone diagram diatas, maka diambil salah satu akar permasalahan yang dijadikan pertanyaan penelitian yaitu: “ Bagaimanakah perencanaan manajemen risiko keamanan informasi yang tepat di Direktorat Jenderal Kekayaan Negara Kementerian Keuangan khususnya terhadap aplikasi yang mendukung proses bisnis utama (Modul Kekayaan Negara)?” 1.4 Tujuan Penelitian Adapun tujuan yang dicapai dalam penelitian ini antara lain:
Mengetahui risiko-risiko apa saja yang teridentifikasi dalam penilaian risiko keamanan informasi;
Melakukan rencana penanganan (mitigasi) terhadap risiko keamanan informasi;
Menentukan unit yang bertanggung jawab terhadap penanganan risiko keamanan informasi.
1.5 Manfaat Penelitian Adapun manfaat yang diperoleh dalam penelitian ini antara lain:
Memberikan rekomendasi pemilihan penanganan risiko berdasarkan analisis risiko yang telah dilakukan; Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
12
Memberikan rekomendasi kontrol (pengendalian) keamanan informasi yang tepat untuk mengurangi risiko.
1.6 Batasan Penelitian Penelitian ini dibatasi pada lingkungan Direktorat Jenderal Kekayaan Negara Kementerian Keuangan periode tahun 2010 – 2014. 1.7 Sistematika Penulisan Sistematika penulisan Karya Akhir ini dibagi menjadi 6 (enam) bab sebagai berikut:
Bab 1. Pendahuluan, berisi latar belakang, perumusan masalah, pertanyaan penelitian, tujuan dan manfaat penelitian dan batasan penelitian;
Bab 2. Landasan Teori, berisi berbagai teori, metode, teknik, proses, dan prosedur yang terkait dengan topik penelitian;
Bab 3. Metodologi Penelitian, berisi langkah-langkah penelitian, metode yang digunakan dan output yang diharapkan;
Bab 4. Profil Organisasi, berisi sejarah singkat, visi, misi, rencana strategis, struktur organisasi dan tugas masing-masing unit di DJKN;
Bab 5. Analisis dan Pembahasan berisi penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko;
Bab 6. Kesimpulan dan Saran berisi tentang intisari penelitian dan masukan terhadap perencanaan manajemen risiko keamanan informasi di DJKN.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
13
BAB II LANDASAN TEORI
Pada bab ini berisi penjelasan mengenai landasan teori yang terkait dengan topik penelitian yang berisi antara lain berbagai teori, metode dan analisis penelitian sebelumnya yang berhubungan dengan perancangan manajemen keamanan informasi sehingga menghasilkan kerangka pemikiran (theoritical framework). 2.1 Keamanan Informasi Menurut Andress (2011) keamanan informasi mempunyai tiga konsep dasar yaitu confidentiality,
integrity
dan
availability
(CIA).
Confidentiality
adalah
kemampuan untuk melindungi data dari seseorang yang tidak memiliki otoritas untuk melihat data tersebut. Integrity adalah kemampuan melindungi data agar tidak mengalami perubahan dari sesuatu yang tidak terotorisasi maupun yang tidak diinginkan. Availability adalah kemampuan untuk mengakses data pada saat data tersebut diperlukan. Keamanan informasi adalah perlindungan informasi dari berbagai macam ancaman untuk memastikan kelangsungan bisnis, meminimalisasi risiko bisnis, memaksimalkan pengembalian modal investasi dan peluang bisnis (Hintzbergen & Smulders, 2010). Berdasarkan ISO 27001 bahwa proses Sistem Manajemen Keamanan Informasi (SMKI) terdiri dari empat langkah yang disebut Plan-Do-Check-Act (PDCA) pada Gambar 2.1:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
14
Gambar 2.1 Model PDCA pada proses SMKI Sumber: ISO 27001:2008
Pada Gambar 2.1 dapat dijelaskan bahwa proses SMKI adalah proses yang dilakukan secara terus menerus dan berkesinambungan yang dapat diterangkan pada Tabel 2.1: Tabel 2.1 Penjelasan proses SMKI Proses SMKI
Keterangan
Plan (Perencanaan)
Menetapkan kebijakan SMKI, tujuan, proses dan prosedur yang relevan dengan pengelolaan risiko dan peningkatan keamanan informasi untuk memberikan hasil yang sesuai dengan kebijakan dan tujuan organisasi
Do (Implementasi)
Melakukan implementasi kebijakan SMKI, kontrol, proses dan prosedur Melakukan pengawasan dan pengukuran terhadap implementasi kebijakan SMKI Melakukan koreksi dan tindakan pencegahan sesuai dengan hasil audit kebijakan SMKI
Check (Pemeriksaan) Act (Tindakan)
Sumber: ISO 27001:2008
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
15
2.2 Risiko Menurut Smith (2011) risiko adalah situasi potensial yang dapat melakukan ancaman terhadap aset. Jika kita mempunyai deskripsi terhadap situasi maka risiko mengidentifikasikan sesuatu yang buruk dapat terjadi menimpa aset kita. Risiko adalah kemungkinan dimana sesuatu yang tidak diinginkan akan terjadi, organisasi harus meminimalisasi risiko sesuai dengan tingkat risiko yang diinginkan yaitu jumlah dan bentuk risiko yang akan mereka terima (Michael Whiteman,2011). 2.3 Manajemen Risiko Manajemen risiko adalah langkah untuk mengidentifikasi, melakukan kualifikasi dan
mengendalikan
risiko
informasi
yang
berdampak
pada
organisasi
(Angus,2012). Menurut NIST (2002), manajemen risiko adalah proses yang memungkinkan manajer TI untuk menyeimbangkan biaya operasional dan ekonomi dalam tindakan pengamanan dan mencapai peningkatan kemampuan dengan melindungi data dan sistem TI yang mendukung misi organisasi mereka. 2.4 Perencanaan Manajemen Risiko Perencanaan manajemen risiko terkait dengan semua komponen manajemen risiko misalnya identifikasi risiko, analisis risiko dan mitigasi risiko dimana menjadi suatu kesatuan fungsional. Merupakan bagian yang menginformasikan kepada semua anggota tim dan pengawas tentang risiko proyek, bagaimana risiko akan dikelola, dan siapa yang akan mengelola risiko (COA, 2005). Perencanaan manajemen risiko merupakan skema dalam kerangka manajemen risiko dengan menetapkan pendekatan, komponen manajemen (prosedur, praktek, pembagian tanggung jawab, urutan dan waktu kegiatan) dan sumber daya untuk untuk diterapkan pada pengelolaan risiko (ISO 31000, 2009). Menurut ISACA (2013), dalam hal perencanaan dan sumber daya, manajemen risiko mendefinisikan tanggung jawab, wewenang, hubungan antar personil yang terlibat dan melakukan verifikasi pekerjaan yang terkait dengan manajemen risiko dimana
harus
didefinisikan
dan
didokumentasikan.
Organisasi
harus
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
16
mengidentifikasi kebutuhan sumber daya dan memfasilitasi pelaksanaan program manajemen risiko tersebut melalui penugasan personil terlatih dalam kegiatan manajemen yang sedang berlangsung dan melakukan verifikasi untuk review internal. 2.5 Metode Penelitian Manajemen Risiko Keamanan Informasi Dalam sub bab ini akan dibahas mengenai beberapa metode yang umum digunakan dalam perencanaan manajemen keamanan informasi yaitu antara lain: 2.5.1 ISO 27005 Merupakan standar yang dibuat oleh ISO (The International Organization for Standardization) dan IEC (The International Electrotechnical Commission), kedua badan tersebut sejak tahun 2005 mengembangkan sejumlah standardisasi di seluruh dunia yang salah satunya mengembangkan sejumlah standar tentang Information Security Management Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan. Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari:
ISO/IEC 27000:2009 tentang ISMS Overview and Vocabulary;
ISO/IEC 27001:2005 tentang ISMS Requirement;
ISO/IEC 27002:2005 tentang Code of Practice for ISMS;
ISO/IEC 27003:2010 tentang ISMS Implementation Guidance;
ISO/IEC 27004:2009 tentang ISMS Measurements;
ISO/IEC 27005:2008 tentang Information Security Risk Management;
ISO/IEC 27006: 2007 tentang ISMS Certification Body Requirements;
ISO/IEC 27007 tentang Guidelines for ISMS Auditing.
Menurut ISO (2008), ISO 27005 memberikan pedoman manajemen risiko keamanan informasi dan dirancang untuk membantu pelaksaanaan proses keamanan informasi berdasarkan pendekatan manajemen risiko. Standar ini berlaku pada semua jenis organisasi misalnya perusahaan komersial, instansi
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
17
pemerintah maupun organisasi non-profit yang berniat untuk mengelola risiko yang dapat membahayakan keamanan informasi organisasi. Suatu pendekatan sistematis terhadap manajemen risiko keamanan informasi diperlukan untuk mengidentifikasi kebutuhan organisasi mengenai persyaratan keamanan informasi dan menciptakan sistem manajemen keamanan informasi yang efektif. Pendekatan ini harus sesuai untuk lingkungan organisasi dan khususnya harus diselaraskan dengan manajemen risiko perusahaan secara keseluruhan. Upaya keamanan harus menangani risiko secara efektif dan tepat waktu dimana dan kapan mereka dibutuhkan. SMKI harus menjadi bagian integral dari semua kegiatan manajemen keamanan informasi dan harus diterapkan baik untuk pelaksanaan dan operasi yang sedang berlangsung. Manajemen risiko keamanan informasi harus menjadi proses yang berkelanjutan. Proses ini harus menetapkan konteks, menilai risiko dan penanganan risiko menggunakan rencana penanganan untuk melaksanakan rekomendasi dan keputusan. Manajemen risiko menganalisis apa yang bisa terjadi dan konsekuensi apa yang ditimbulkan, sebelum memutuskan apa yang harus dilakukan dan kapan untuk mengurangi risiko ke tingkat yang dapat diterima. Manajemen risiko keamanan informasi harus berkontribusi pada hal-hal berikut:
Risiko yang diidentifikasi;
Risiko yang dinilai dalam hal konsekuensi bisnis dan kemungkinan terjadinya risiko tersebut;
Kemungkinan dan konsekuensi risiko dikomunikasikan dan dipahami;
Urutan prioritas perlakuan resiko;
Prioritas tindakan untuk mengurangi risiko yang terjadi;
Para pemangku kepentingan terlibat ketika keputusan manajemen risiko dibuat dan selalu diinformasikan mengenai status manajemen risiko;
Efektivitas pemantauan perlakuan risiko;
Risiko dan proses manajemen risiko dipantau dan dikaji secara berkala;
Informasi ditangkap untuk meningkatkan pendekatan manajemen risiko;
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
18
Manajer dan staf dididik tentang risiko dan tindakan yang diambil untuk menanggulanginya.
Proses manajemen risiko keamanan informasi dapat diterapkan pada organisasi secara keseluruhan, setiap bagian dari organisasi, setiap sistem informasi, aspek yang ada atau yang direncanakan
maupun untuk kontrol tertentu. Adapun
gambaran tentang proses manajemen risiko keamanan informasi dapat dilihat pada Gambar 2.2:
Gambar 2.2 Proses Manajemen Risiko ISO 27005 Sumber: ISO 27005:2008
Seperti yang digambarkan pada Gambar 2.2 bahwa proses manajemen risiko keamanan informasi dapat berulang untuk penilaian risiko dan/atau kegiatan penanganan risiko. Pendekatan iteratif untuk melakukan penilaian risiko dapat meningkatkan kedalaman dan rincian dari penilaian pada setiap iterasi. Pendekatan
berulang
itu
memberikan
keseimbangan
yang baik
antara
meminimalkan waktu dan usaha yang dihabiskan dalam mengidentifikasi kontrol.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
19
Adapun langkah dalam proses manajemen risiko keamanan informasi adalah sebagai berikut: a.
Penetapan konteks Menerangkan konteks manajemen risiko keamanan informasi harus ditetapkan dimana melibatkan penetapan kriteria dasar yang diperlukan untuk manajemen risiko keamanan informasi, mendefinisikan ruang lingkup maupun batasan dan membentuk sebuah organisasi yang layak menjalankan manajemen risiko keamanan informasi.
b.
Penilaian risiko kemanan informasi Mengukur atau menggambarkan secara kualitatif suatu risiko dan memungkinkan manajer untuk memprioritaskan risiko sesuai dengan keseriusan yang dirasakan atau kriteria lain yang telah ditetapkan. Penilaian risiko memuat kegiatan analisis risiko yang terdiri dari identifikasi risiko, estimasi risiko dan evaluasi risiko.
c.
Penanganan risiko keamanan informasi Kontrol untuk mengurangi, mempertahankan, menghindari atau mentransfer risiko yang harus dipilih dan rencana penanganan ditetapkan. Opsi penanganan risiko harus dipilih berdasarkan pada hasil penilaian risiko, biaya yang dikeluarkan dan manfaat yang diharapkan dari penerapan opsi tersebut. Proses tersebut dapat dijelaskan pada Gambar 2.3:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
20
Gambar 2.3 Proses Penanganan Risiko Sumber: ISO 27005:2008
Untuk mengurangi risiko maka harus menyusun rekomendasi kontrol yang bersumber pada ISO 27002 yang berisi tentang kode praktis dalam pengendalian keamanan informasi. Dalam ISO 27002 terdapat 12 kategori utama pengelolaan keamanan informasi yaitu antara lain:
Kebijakan Keamanan;
Organisasi Keamanan Informasi;
Pengelolaan Aset;
Keamanan Sumber Daya Manusia;
Keamanan Lingkungan dan Fisik;
Pengelolaan Operasi dan Komunikasi;
Kontrol Akses;
Pemeliharaan, Pengembangan dan Penerimaan Sistem Informasi;
Pengelolaan Insiden Sistem Informasi; Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
21
d.
Pengelolaan Kelangsungan Bisnis;
Kepatuhan.
Penerimaan risiko keamanan informasi Keputusan untuk menerima risiko dan tanggung jawab terhadap keputusan harus dibuat dan secara resmi dicatat. Dalam beberapa kasus level risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku. Sebagai contoh, dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko sangatlah menarik atau karena biaya pengurangan risiko terlalu tinggi. Keadaan seperti itu menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan.
e.
Komunikasi risiko keamanan informasi Kegiatan untuk mencapai kesepakatan tentang bagaimana untuk mengelola risiko dengan bertukar dan/atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya. Komunikasi risiko harus dilaksanakan untuk mencapai hal-hal berikut:
Untuk memberikan jaminan hasil manajemen risiko organisasi;
Untuk mengumpulkan informasi risiko;
Untuk membagi hasil dari penilaian risiko dan menyampaikan rencana penanganan risiko;
Untuk
menghindari
atau
mengurangi
baik
terjadinya
maupun
konsekuensi dari pelanggaran keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan;
Untuk mendukung pengambilan keputusan;
Untuk mendapatkan pengetahuan baru tentang keamanan informasi;
Untuk bekerja sama dengan pihak lain dan merencanakan tanggapan untuk mengurangi konsekuensi dari kejadian apapun;
Untuk memberikan rasa tanggung jawab tentang risiko pada para pembuat keputusan dan pemangku kepentingan;
Untuk meningkatkan kesadaran. Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
22
f.
Pemantauan dan peninjauan risiko keamanan informasi Resiko tidak statis. Ancaman, kerentanan, kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa ada indikasi. Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini. Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman atau kerentanan baru. Organisasi harus memastikan bahwa hal-hal berikut ini terus dipantau:
Aset baru yang telah dimasukkan dalam lingkup manajemen risiko;
Modifikasi diperlukan terhadap nilai aset, misalnya karena perubahan kebutuhan bisnis;
Ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum dinilai;
Kemungkinan bahwa kerentanan baru atau yang meningkat dapat memungkinkan ancaman untuk mengeksploitasi kerentanan baru atau berubah;
Mengidentifikasi kerentanan untuk menentukan mereka yang terekspos sehingga menjadi ancaman baru atau yang muncul kembali;
Peningkatan dampak atau konsekuensi dari ancaman, kerentanan dan risiko yang telah dinilai dalam pengumpulan menghasilkan level risiko yang tidak dapat diterima;
Insiden keamanan informasi.
Dalam proses Manajemen Risiko Keamanan Informasi (MRKI) terdapat keselarasan dengan sistem manajemen keamanan informasi (SMKI) yang dapat dijelaskan pada Tabel 2.2:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
23
Tabel 2.2 Keselarasan antara proses SMKI dengan proses MRKI Proses SMKI Plan (Perencanaan)
Do (Implementasi)
Check (Pemeriksaan)
Act (Tindakan)
Proses Manajemen Risiko Keamanan Informasi (MRKI) Menetapkan konteks Penilaian risiko Mengembangkan rencana penanganan risiko Penerimaan risiko Penerapan rencana penanganan risiko Pemantauan dan peninjauan berkala terhadap risiko Meningkatkan dan memelihara proses manajemen risiko keamanan informasi
Sumber: ISO 27005:2008
Pada Tabel 2.2 diatas menerangkan bahwa proses menetapkan konteks, penilaian risiko, mengembangkan rencanan penanganan risiko dan penerimaan risiko di Manajemen Risiko Keamanan Informasi selaras dengan proses perencanaan di Sistem Manajemen Keamanan Informasi dikarenakan dalam keseluruhan proses tersebut terdapat kebijakan dan prosedur yang digunakan untuk meningkatkan keamanan informasi. 2.5.2 NIST SP 800-30 Merupakan rekomendasi dari NIST (National Institute of Standard and Technology ) melalui publikasi khusus yang berisi tentang Risk Management Guide for Information Technology System. Menurut NIST (2002), terdapat tiga proses dalam melakukan manajemen risiko yang dapat dilihat pada Gambar 2.4:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
24
Risk Assesment
Risk Evaluation
Risk Mitigation
Gambar 2.4 Proses Manajemen Risiko NIST 800-30 Pada Gambar 2.4 dapat dijelaskan bahwa terdapat tiga proses dalam melakukan manajemen risiko keamanan informasi yaitu: a.
Risk Assesment Adalah proses pertama dalam metodologi manajemen risiko. Organisasi menggunakan penilaian risiko untuk menentukan sejauh mana potensi ancaman dan risiko yang terkait dengan sistem TI. Hasil dari proses ini membantu untuk mengidentifikasi pengendalian yang tepat untuk mengurangi atau menghilangkan risiko selama proses mitigasi risiko. Dalam proses ini terdapat sembilan langkah penilaian risiko antara lain:
Mengetahui karakteristik dari sistem TI : Hardware, software, sistem antarmuka (koneksi internal atau eksternal), data dan informasi, orang yang mendukung atau menggunakan sistem, tujuan dari sistem, data kritis dan sensitifitas data;
Melakukan identifikasi terhadap ancaman yang dapat menyerang kelemahan sistem TI. Proses ini terdiri dari identifikasi sumber ancaman dan identifikasi motifikasi serta aksi ancaman;
Identifikasi kerawanan (vulnerability). Tujuan dari proses ini adalah mengembangkan daftar kerawanan dari sistem yang dapat dieksploitasi sumber ancaman; Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
25
Melakukan analisis kontrol. Tujuan dari proses ini adalah untuk melakukan analisis terhadap kontrol yang sudah diimplementasikan dan atau kontrol yang direncanakan untuk diimplementasikan ;
Menetapkan
kecenderungan
(likelihood)
yang
dipengaruhi
oleh
kemampuan dan motivasi sumber ancaman, sifat kerawanan dan efektifitas dari kontrol yang telah digunakan;
Analisa terhadap dampak yang dihasilkan dari suksesnya ancaman seperti loss of integrity, loss of availability, dan loss of confidentiality. Beberapa dampak yang nyata dapat diukur secara kuantitatif dalam kehilangan pendapatan, biaya perbaikan sistem, atau tingkat usaha yang dibutuhkan untuk memperbaiki masalah yang disebabkan oleh tindakan ancaman yang sukses. Dampak lainnya (hilangnya kepercayaan masyarakat, kehilangan kredibilitas, kerusakan kepentingan organisasi) tidak dapat diukur dalam satuan tertentu tetapi dapat memenuhi syarat atau dijelaskan dalam hal tinggi, sedang, dan dampak yang rendah.
Melakukan penilaian level risiko dari sistem TI dengan mengembangkan matrik level dan risiko skala risiko;
Rekomendasi kontrol dengan tujuan untuk mengurangi level risiko sistem TI sehingga mencapai level dapat diterima;
Dokumentasi hasil yang berisi laporan penilaian risiko yang menjelaskan ancaman
dan
kerawanan,
pengukuran
risiko
dan
menyediakan
rekomendasi implementasi kontrol. b.
Proses Pengurangan Resiko (Risk Mitigation) Merupakan langkah kedua dalam proses manajemen risiko. Proses ini terdiri dari beberapa langkah antara lain:
Menentukan aksi prioritas berdasarkan level resiko dari hasil penilaian resiko, implementasi dari aksi yang diprioritaskan. Hasil dari langkah pertama ini adalah ranking tindakan mulai dari tinggi hingga rendah;
Melakukan evaluasi terhadap pilihan kontrol yang direkomendasikan. Kelayakan dan efektifitas dari pilihan kontrol yang direkomendasikan dianalisis dengan tujuan untuk meminimalkan risiko. Hasilnya adalah susunan daftar kontrol yang layak; Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
26
Menyusun cost-benefit analysis. Hasilnya adalah penjelasan biaya dan manfaat
jika
organisasi
mengimplementasikan
atau
tidak
mengimplementasikan kontrol tersebut;
Memilih kontrol berdasarkan hasil dari cost-benefit analysis dimana manajemen menentukan kontrol dengan biaya paling efektif untuk mengurangi risiko terhadap misi organisasi. Hasilnya adalah daftar kontrol yang dipilih;
Memberikan tanggung jawab. Menentukan personil yang sesuai yang memiliki
keahlian
dan
ketrampilan
ditugaskan
untuk
mengimplementasikan pemilihan kontrol yang telah diidentifikasi dan bertanggung jawab terhadap apa yang sudah ditugaskan. Hasilnya adalah daftar tanggung jawab personal;
Mengembangkan rencana implementasi keamanan yang
mempunyai
informasi terhadap risiko, rekomendasi kontrol, prioritas aksi, kontrol, daftar tanggung jawab dan implementasi; Implementasikan kontrol. Hasilnya adalah risiko residual. c.
Proses Evaluasi Risiko (Risk Evaluation) Bagian ini menekankan praktek yang baik, kebutuhan untuk penilaian dan evaluasi risiko yang sedang berlangsung dan faktor-faktor yang akan mengarah pada kesuksesan program manajemen risiko.
2.5.3 OCTAVE Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) yang dikembangkan Software Engineering Institute, Carnegie Mellon University. Menurut SEI (2011) bahwa metode manajemen risiko di dalam Octave dapat dilihat pada Gambar 2.5:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
27
Gambar 2.5 Proses Manajemen Risiko OCTAVE Sumber: Octave Catalog of Practise:2001
Pada Gambar 2.5 menggambarkan tiga langkah dalam melakukan metode manajemen risiko Octave yang terdiri dari: a.
Membangun profil ancaman berdasarkan aset Fase ini adalah evaluasi dari sebuah organisasi. Tim analisis menentukan aset mana yang paling penting untuk organisasi (aset kritis) dan melakukan identifikasi apa yang telah dilakukan untuk melindungi aset-aset tersebut. Survei berdasarkan katalog penerapan yang digunakan untuk memperoleh informasi dari personil organisasi tentang apa saja yang sudah dilakukan dengan memperhatikan penerapan keamanan. Proses yang dilakukan antara lain:
Proses 1: Identifikasi pengetahuan manajemen senior. Manajer senior yang terpilih mengidentifikasi aset penting, ancaman yang dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan kerentanan organisasi;
Proses 2: Identifikasi pengetahuan manajemen area operasional. Manajer Operasional yang terpilih mengidentifikasi aset penting, ancaman yang Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
28
dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan kerentanan organisasi;
Proses 3: Identifikasi pengetahuan staf. Pegawai staf TI dan di luar TI mengidentifikasi aset penting, ancaman yang dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan kerentanan organisasi;
Proses 4: Membuat Profil Ancaman. Tim analisis menganalisis informasi dari Proses 1 sampai 3, memilih aset kritis, memperbaiki persyaratan keamanan terkait dengan aset tersebut, mengidentifikasi ancaman terhadap aset kritis dan membuat profil ancaman.
b.
Melakukan identifikasi kerawanan infrastruktur Fase ini adalah evaluasi dari infrastruktur informasi. Tim analisis mengkaji kunci komponen operasional untuk mencari kelemahan (kerentanan teknologi) yang dapat menyebabkan tindakan yang tidak terotorisasi terhadap aset kritis. Proses yang dilakukan dalam fase ini antara lain:
Proses 5: Identifikasi Komponen Kunci - Tim analisis mengidentifikasi informasi kunci sistem dan komponen teknologi untuk setiap aset kritis. Kasus tertentu kemudian dipilih untuk evaluasi;
Proses 6: Evaluasi Komponen Terpilih - Tim analisis mengkaji sistem dan komponen kunci untuk kelemahan teknologi. Hasilnya diperiksa dan diringkas kemudian mencari relevansi untuk aset kritis dan profil ancaman.
c.
Mengembangkan rencana dan strategi keamanan Dalam tahap evaluasi ini, tim analisis mengidentifikasi risiko terhadap aset kritis organisasi dan memutuskan cara untuk mengatasi risiko. Proses pada tahap ini antara lain:
Proses 7: Melakukan Analisis Risiko - Tim analisis mengidentifikasi dampak ancaman terhadap aset penting untuk menentukan risiko, mengembangkan mengevaluasi
kriteria
dampak
untuk
risiko
mengevaluasi
berdasarkan
risiko-risiko,
kriteria
tersebut.
dan Ini
menghasilkan profil risiko untuk setiap aset kritis;
Proses 8: Mengembangkan Strategi Perlindungan - Tim analisis menciptakan strategi perlindungan organisasi dan mitigasi rencana untuk Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
29
aset kritis, berdasarkan analisis informasi yang dikumpulkan. Manajer senior kemudian meninjau, memperbaiki, dan menyetujui strategi dan rencana; 2.6 Perbandingan Metode Perancangan Manajemen Risiko Dari pembahasan ketiga metode perencanaan manajemen risiko keamanan informasi seperti dibahas pada sub bab 2.4, maka dapat dilakukan perbandingan dari karakteristik pada masing-masing metode perencanaan manajemen risiko keamanan informasi untuk selanjutnya digunakan sebagai
pertimbangan dan
panduan dalam metodologi penelitian. Adapun kriteria dan perbedaan dari metode perencanaan manajemen risiko keamanan informasi adalah seperti yang ditunjukkan pada Tabel 2.3: Tabel 2.3 Perbandingan metode manajemen risiko keamanan informasi No
Metodologi
NIST SP 800-30
OCTAVE
ISO 27005
1
Vendor
National Institute for Standard and Technology (NIST)
Carnegie Mellon University, Software Engineering Institute (SEI)
International Standard Organization (ISO)
2
Risk Metodologi
Memberikan panduan dan identifikasi yang rinci (checklist, grafis dan rumus matematika) dalam manajemen dan penilaian risiko keamanan informasi.
Bersifat selfdirected, yang berarti bahwa personel dalam organisasi bertanggung jawab untuk menetapkan strategi keamanan organisasi.
3
Target Organisasi
Small Medium Enterprise (SME)
4
Target Level Organisasi
Pemerintahan Perusahaan besar Small Medium Enterprise (SME) Teknikal Operasional
Menjelaskan dengan lengkap proses manajemen risiko keamanan informasi Masih berkaitan dengan ISO 27001 dan ISO 27002 Terdapat kriteria unit dan ruang lingkup dalam penetapan konteks manajemen risiko keamanan informasi Pemerintahan Perusahaan besar Small Medium Enterprise (SME) Manajemen Operasional
Manajemen Operasional
Sumber: The European Union Agency for Network and Information Security: 2014
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
30
2.7 Penelitian Sejenis Sebelumnya Sebagai bahan pertimbangan dan rujukan dalam penyusunan penelitian yang disusun, penulis telah menemukan beberapa penelitian sejenis sebelumnya yang mengambil topik yang berkaitan dengan perencanaan manajemen risiko keamanan informasi. Berikut pembahasan mengenai penelitian tersebut: a. Perancangan Manajemen Resiko Sistem Informasi di Instansi Pemerintah: Studi Kasus Direktorat Jenderal Perkeretaapian oleh Ary Lundi Ayu Oktrada tahun 2012. Dalam penelitian ini menggunakan metodologi NIST 800-30 dikarenakan standar tersebut sudah banyak digunakan di pemerintahan. Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut: Identifikasi sistem informasi; Pemilihan sistem informasi; Penyusunan perencanaan manajemen risiko TI. Keluaran yang dihasilkan adalah daftar kontrol yang digunakan untuk mengurangi risiko. Kekurangan dari penelitian ini adalah pada
proses
penilaian risiko dimana penentuan kecenderungan kurang lengkap dan kuantifikasi dampak serta analisis biaya kurang terperinci. b. Manajemen Resiko Sistem Informasi: Studi Kasus Pusat Komunikasi Kementerian Luar Negeri oleh Feradhian Prasastie tahun 2013. Dalam penelitian ini menggunakan metodologi NIST 800-30 dikarenakan standar tersebut tepat untuk diimplementasikan di lingkungan pemerintahan. Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut: Perumusan masalah; Studi literatur; Pengumpulan data; Penilaian risiko; Prioritas tindakan; Evaluasi kontrol; Analisis biaya dan manfaat; Pemilihan kontrol. Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
31
Keluaran yang dihasilkan adalah kontrol yang digunakan untuk mengurangi risiko yang ada dilengkapi dengan analisis biaya. Kekurangan dari penelitian ini adalah objek penelitian terlalu luas yaitu seluruh sistem informasi dan teknologi informasi di Pusat Komunikasi Kementerian Luar Negeri sehingga penilaian risiko kurang mendalam dan tidak adanya strategi penanganan risiko dimana disusun rekomendasi kontrol untuk semua risiko yang sudah dievaluasi. c. Evaluasi Manajemen Risiko Keamanan Informasi Sistem Provisionong Gateway Telkom Flexy oleh Ega Lestaria Sukma tahun 2011 Penelitian ini menggunakan metodologi ISO 27001 dan ISO 27002 dikarenakan memiliki kontrol objektif yang lengkap. Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut:
Perencanaan;
Pengumpulan data;
Analisis;
Penyelesaian.
Keluaran yang dihasilkan adalah evaluasi risiko dan penyusunan prosedur keamanan informasi pada sistem provisioning gateway Telkom Flexi. Kekurangan dari penelitian ini adalah tidak adanya definisi kriteria penanganan risiko sehingga keputusan untuk menerima risiko kurang jelas. 2.8 Kerangka Pemikiran (Theoritical Framework) Adapun kerangka pemikiran dari penelitian ini dapat dilihat pada Gambar 2.6:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
32
Kondisi Organisasi saat ini
PMK No 191/PMK.09/2008 KMK No 479/KMK.01/2010
Perencanaan Manajemen Risiko Keamanan Informasi Penentuan konteks Penilaian Risiko
NIST 800-30
Penanganan Risiko
ISO 27005
Penerimaan Risiko
Rancangan Pengendalian Keamanan Informasi Analisis Kebutuhan Kontrol ISO 27002
Analisis Biaya dan Manfaat Rekomendasi Kontrol
Gambar 2.6 Kerangka Pemikiran Pada Gambar 2.6 dapat dijelaskan bahwa proses perencanaan manajemen risiko keamanan informasi di Direktorat Jenderal Kekayaan Negara Kementerian Keuangan dipengaruhi oleh: a.
Kondisi organisasi saat ini yang diperoleh dari pengumpulan data baik data primer maupun data sekunder;
b.
Adanya PMK No. 191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Kementerian Keuangan yang mengamanatkan agar tiap eselon I menerapkan dan mengembangkan Manajemen Risiko di lingkungan masingmasing. KMK No. 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan yang mengamanatkan agar tiap eselon I melakukan pengendalian terhadap keamanan informasi dan menerapkan serta mengembangkan manajemen risiko keamanan informasi;
c.
Metode manajemen risiko keamanan informasi ISO 27005 dikarenakan memberikan panduan perencanaan manajemen risiko yang secara khusus dan lebih komprehensif dalam melakukan assesment terkait keamanan informasi serta memiliki alur kerangka kerja (framework) yang sama dengan manajemen risiko yang tertuang dalam PMK No. 191/PMK.09/2008;
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
33
d.
Kode penerapan manajemen keamanan informai ISO 27002 dikarenakan telah menjadi kerangka pemikiran pada KMK No. 479/KMK.01/2010 dan memiliki panduan yang lengkap terkait pengendalian keamanan informasi.
e.
NIST 800-30 digunakan untuk melakukan penilaian matriks risiko dikarenakan terdapat identifikasi yang rinci (checklist, grafis dan rumus matematika) dalam penilaian risiko keamanan informasi dan mempunyai format matriks yang sama dengan penilaian risiko di PMK No. 191/PMK.09/2008.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
34
BAB III METODOLOGI PENELITIAN
Pada bab ini membahas mengenai tahapan penelitian yang harus dilakukan untuk melakukan perencanaan manajemen risiko keamanan informasi. 3.1 Alur Penelitian Merupakan urutan proses penelitian yang harus dilakukan dari awal sampai akhir yang dapat dilihat pada Gambar 3.1:
Gambar 3.1 Metodologi Penelitian
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
35
Pada Gambar 3.1 diatas dapat dijelaskan mengenai alur penelitian yang terdiri dari beberapa tahap antara lain: a.
Merumuskan masalah terhadap berbagai permasalahan yang telah ditemukan yang didapat dari kondisi organisasi saat ini. Pada tahap ini menghasilkan fishbone analysis yang menyebutkan permasalahan utama dan penyebab dari permasalahan tersebut;
b.
Melakukan studi literatur terhadap teori dan metode yang berhubungan dengan penelitian serta referensi dari penelitian sejenis sebelumnya bersarkan pertanyaan penelitian. Pada tahap ini menghasilkan kerangka pemikiran yang akan disusun dalam penelitian;
c.
Mengumpulkan data baik data primer maupun sekunder sehingga menghasilkan dokumentasi pendukung sebagai bahan penyusunan penelitian;
d.
Menetapkan kriteria dan ruang lingkup perencanaan manajemen risiko sehingga menghasilkan penetapan konteks manajemen risiko;
e.
Melakukan penilaian risiko berdasarkan dokumentasi data dan aset sehingga menghasilkan dokumen evaluasi risiko;
f.
Melakukan penanganan risiko berdasarkan prioritas risiko yang telah dipilih dan menghasilkan dokumen rencana penanganan risiko;
g.
Melakukan pengendalian dan penerimaan keamanan informasi sesuai dengan cost benefit analysis sehingga menghasilkan dokumen rencana pengendalian dan penerimaan keamanan informasi.
3.2 Metode Pengumpulan Data Pada penelitian ini menggunakan data primer dan sekunder yang mempunyai pengertian sebagai berikut: a.
Data primer: merupakan data yang diperoleh dari sumber asli dengan menggunakan teknik tertentu, dengan cara melakukan wawancara dengan pihak yang terkait dengan penelitian, baik pimpinan unit TI di DJKN maupun pihak yang melakukan implementasi dan pengembangan TIK di DJKN. Observasi ke lapangan untuk melakukan pengamatan kondisi bisnis dan SI/TI yang terjadi dalam organisasi;
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
36
b.
Data sekunder: merupakan data yang secara tidak langsung diperoleh melalui sumber asli. Data ini diperoleh dari dokumen yang berkaitan dengan penelitian.
3.3 Metode Analisis Data Setelah mendapatkan data yang dibutuhkan maka dilakukan analisis data yaitu antara lain: a.
Analisis perencanaan manajemen risiko keamanan informasi menggunakan metode ISO 27005;
b.
Analisis pengendalian keamanan informasi menggunakan ISO 27002.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
37
BAB IV PROFIL ORGANISASI
Pada bab ini menjelaskan tentang sejarah singkat berdirinya DJKN sebagai unit eselon I Kementerian Keuangan, menjabarkan tentang visi, misi dan tugas pokok yang dimiliki DJKN, sasaran strategis yang dilakukan dalam mencapai tujuan yang diharapkan serta struktur organisasi yang ada dalam mendukung kinerja organisasi. 4.1 Sejarah Singkat DJKN Direktorat Jenderal Kekayaan Negara (DJKN) merupakan salah satu unit Eselon I pada Kementerian Keuangan. Direktorat Jenderal Kekayaan Negara dibentuk ketika terjadi penataan organisasi di lingkungan Departemen Keuangan pada tahun 2006 dimana fungsi Pengurusan Piutang Negara dan Pelayanan Lelang di Direktorat Jenderal Piutang dan Lelang Negara (DJPLN) digabung dengan fungsi Pengelolaan Kekayaan Negara Direktorat Pengelolaan Barang Milik/Kekayaan Negara (PBM/KN) di Direktorat Jenderal Perbendaharaan (DJPB), sehingga Direktorat Jenderal Piutang dan Lelang Negara (DJPLN) berubah menjadi Direktorat Jenderal Kekayaan Negara (DJKN) berdasarkan Peraturan Presiden Nomor 66 Tahun 2006 tentang Perubahan Keempat atas Peraturan Presiden Nomor 10 Tahun 2005 tentang Unit Organisasi dan Tugas Eselon I Kementerian Republik Indonesia. Hal ini merupakan salah satu hasil Reformasi Birokasi yaitu dalam hal penyatuan fungsi-fungsi yang sejenis ke dalam satu unit Eselon I. Direktorat Jenderal Kekayaan Negara beralamat di Gedung Syafruddin Prawiranegara II Jl. Lapangan Banteng Timur 2-4 Jakarta Pusat, 10710. Jumlah pegawai sekitar 3000 orang yang tersebar di kantor pusat, kantor wilayah dan kantor operasional di seluruh Indonesia.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
38
4.2 Visi, Misi dan Tugas Organisasi Direktorat Jenderal Kekayaan Negara mempunyai tugas merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara, piutang negara, dan lelang. Dalam melaksanakan tugas yang dibebankan kepada Direktorat Jenderal Kekayaan Negara, maka ditetapkan visi DJKN, yaitu: ”Menjadi Pengelola Kekayaan Negara, Piutang Negara dan Lelang yang profesional dan bertanggung jawab untuk sebesar-besar kemakmuran rakyat”. Profesional adalah bahwa tugas-tugas pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelayanan lelang dilaksanakan sesuai standar profesi dan standar keilmuan yang telah ditetapkan. Bertanggung jawab adalah bahwa pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelaksanaan lelang dilakukan secara transparan dan dapat dipertanggungjawabkan sesuai dengan ketentuan peraturan perundangundangan yang berlaku. Untuk sebesar-besar kemakmuran rakyat, merupakan cita-cita dan arah dari tujuan akhir pengelolaan kekayaan negara sesuai dengan jiwa Pasal 33 Undang-Undang Dasar Republik Indonesia tahun 1945. Untuk merealisasikan visi yang telah ditetapkan, maka Direktorat Jenderal Kekayaan Negara menetapkan misi antara lain: 1. Mewujudkan optimalisasi penerimaan, efisiensi pengeluaran dan efektivitas pengelolaan kekayaan negara; 2. Mengamankan kekayaan negara secara fisik, administrasi dan hukum; 3. Mewujudkan nilai kekayaan negara yang wajar dan dapat dijadikan acuan dalam berbagai keperluan; 4. Melaksanakan pengurusan piutang negara yang efektif, efisien, transparan dan akuntabel; 5. Mewujudkan lelang yang efektif, efisien, transparan, akuntabel, adil dan kompetitif sebagai instrumen jual beli yang mampu mengakomodasi kepentingan masyarakat.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
39
Direktorat Jenderal Kekayaan Negara mempunyai tugas merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara, piutang negara, dan lelang. 4.3 Sasaran Strategis Organisasi Sasaran Strategis Direktorat Jenderal Kekayaan Negara yang terdapat dalam Rencana Strategis (Renstra) DJKN tahun 2010 - 2014 antara lain: 1. Menyusun dan menyempurnakan peraturan perundang-undangan di bidang pengelolaan kekayaan negara, penilaian kekayaan negara, pengurusan piutang negara, dan lelang; 2. Menatausahakan kekayaan negara, piutang negara, dan lelang dengan akurat dan akuntabel; 3. Meningkatkan pengamanan kekayaan negara baik secara administrasi, fisik dan tertib hukum; 4. Mengintegrasikan perencanaan kebutuhan Barang Milik Negara (BMN) dengan penganggaran; 5. Meningkatkan kualitas pelayanan pengelolaan kekayaan negara, penilaian, pengurusan piutang negara, dan lelang; 6. Mengoptimalkan pengelolaan kekayaan negara termasuk aset idle dan pengurusan piutang negara; 7. Meningkatkan penerimaan kembali (recovery) yang berasal dari pengeluaran pembiayaan APBN dan Penerimaan Negara Bukan Pajak (PNBP); 8. Meningkatkan kesadaran (awareness) dan kemitraan dengan stakeholder dalam pengelolaan kekayaan negara, penilaian, pengurusan piutang negara, dan lelang; 9. Meningkatkan monitoring dan evaluasi kinerja pelaksanaan pengelolaan kekayaan negara, pengurusan piutang negara, dan lelang; 10.Meningkatkan kualitas sumber daya manusia (SDM), Organisasi, Teknologi Informasi dan Komunikasi (TIK), dan Pengelolaan Anggaran.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
40
4.4 Struktur Organisasi Struktur organisasi di DJKN terdiri dari Kantor Pusat, Kantor Wilayah dan Kantor Pelayanan Kekayaan Negara dan Lelang (KPKNL) yang dapat dilihat pada Gambar 4.1: a.
Kantor Pusat
Gambar 4.1 Struktur organisasi kantor pusat Pada Gambar 4.1 dapat dilihat struktur organisasi yang dimiliki oleh DJKN yang dipimpin oleh Direktur Jenderal. Unit kerja Kantor Pusat DJKN terdiri dari 8 unit eselon II. Selain unit Kantor Pusat, DJKN juga mempunyai unit kerja vertikal yang tersebar di seluruh Indonesia, yang terdiri dari 17 Kantor Wilayah dan 70 KPKNL. b.
Kantor Wilayah
Gambar 4.2 Struktur organisasi kantor wilayah Pada Gambar 4.2 dapat dilihat struktur organisasi pada kantor wilayah dipimpin oleh Kepala Kanwil. Unit kerja kantor wilayah terdiri dari 6 unit eselon III, yaitu: Bagian Umum, Bidang Pengelolaan Kekayaan Negara, Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
41
Bidang Penilaian, Bidang Piutang Negara, Bidang Lelang dan Bidang Hukum dan Informasi. c.
Kantor Pelayanan Kekayaan Negara dan Lelang (KPKNL)
Gambar 4.3 Struktur organisasi KPKNL Pada Gambar 4.3 dapat dilihat struktur organisasi pada KPKNL yang dipimpin oleh Kepala Kantor. Unit kerja KPKNL terdiri dari 7 unit eselon IV, yaitu: Sub bagian Umum, Seksi Pengelolaan Kekayaan Negara, Seksi Pelayanan Penilaian, Seksi Piutang Negara, Seksi Pelayanan Lelang, Seksi Hukum dan Informasi serta Seksi Kepatuhan Internal. 4.5 Rincian tugas tiap Direktorat Berdasarkan PMK No.184/PMK.01/2010 tentang Organisasi dan Tata Kerja Kementerian Keuangan dan PMK No.170/PMK.01/2012 tentang Organisasi dan Tata Kerja Instansi Vertikal di Direktorat Jenderal Kekayaan Negara, maka dapat dijelaskan tugas untuk tiap unit kerja di DJKN pada Tabel 4.1:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
42
Tabel 4.1 Rincian tugas tiap Direktorat No.
Direktorat
1.
Sekretariat
2.
Barang Milik Negara (BMN) Kekayaan Negara Dipisahkan (KND)
3.
4.
5. 6.
7.
Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI) Penilaian Piutang Negara dan Kekayaan Negara Lain-lain (PNKNL) Lelang
8.
Hukum dan Hubungan Masyarakat
9
Kantor Wilayah
10
KPKNL
Tugas Melaksanakan koordinasi pelaksanaan tugas serta pembinaan dan pemberian dukungan administrasi kepada semua unsur di lingkungan direktorat jenderal. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang barang milik negara. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara dipisahkan. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang pengelolaan kekayaan negara dan sistem informasi. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang penilaian. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang piutang negara dan kekayaan negara lain-lain. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang lelang. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang hukum dan hubungan masyarakat. melaksanakan koordinasi, bimbingan teknis, pengendalian, evaluasi dan pelaksanaan tugas di bidang kekayaan negara, piutang negara dan lelang. melaksanakan pelayanan di bidang kekayaan negara, penilaian, piutang negara dan lelang.
4.6 Penerapan Manajemen Risiko di DJKN Berdasarkan PMK No.191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan bahwa Setiap unit Eselon I di lingkungan Kementerian Keuangan harus menerapkan dan mengembangkan Manajemen Risiko di lingkungan masing-masing dan diwajibkan menyusun laporan profil risiko, penanganan risiko dan monitoring risiko setiap enam bulan sekali. Laporan manajemen risiko DJKN dapat dilihat pada Tabel 4.2 dan Tabel 4.3:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
43 Tabel 4.2 Laporan Profil Risiko DJKN semester 1 tahun 2014 No
Sasaran Strategis
Kategori Risiko
Identifikasi Risiko Deskripsi Risiko
Deskripsi Konsekuensi
Analisis Risiko Konsekuensi
Kemungkinan
Level
(1)
(2)
(5)
(6)
(7)
(8)
(9)
(10)
1
Utilisasi kekayaan negara yang optimal
Risiko Strategik
Tidak tercapainya target utilisasi kekayaan negara
BMN pada K/L belum seluruhnya diusulkan permohonan pengelolaan BMN
tidak tercapainya realisasi utilisasi kekayaan negara
Dokumen Utilisasi
Tinggi
Tinggi
Tinggi
2
Penerimaan pembiayaan dari aset recovery
Risiko Strategik
Adanya perubahan target HPA dalam APBN-P
Tidak optimalnya pengurusan aset kredit dan aset properti
Peraturan, SOP
Tinggi
Sedang
Tinggi
3
Penyelesaian BMN Kemenkeu yang bermasalah
Risiko Strategik
Tidak tercapainya target jumlah penerimaan kembali yang berasal dari pengeluaran APBN Rendahnya persentase penyelesaian BMN Kemenkeu yang bermasalah
tidak terselesaikannya penyelesaian BMN Kemenkeu yang bermasalah
Tingkat kepercayaan menurun
Peraturan, SOP
Sedang
Sedang
Sedang
4
Pelaksanaan Pelayanan pengelolaan kekayaan negara yang efektif dan efisien
Risiko operasional
Rendahnya persentase ppermohonan pengelolaan kekayaan negara tepat waktu
Peraturan pengelolaan kekayaan negara belum memadai
Tingkat kepercayaan menurun
Peraturan, SOP
Sedang
Sedang
Sedang
5
Pengelolaan dan pengembangan TIK yang optimal
Risiko Operasional
tidak terealisasinya pembangunan sistem informasi yang mendukung proses bisnis
Peraturan/kebutuhan pengguna belum terdefinisi dengan baik, perancangan sistem informasi belum siap, atau pengadaan sistem informasi terkendala.
Tidak tercapainya dukungan sistem informasi terhadap proses bisnis
Sedang
Sedang
Sedang
6
Kepuasan Pengguna Layanan yang tinggi
Risiko Operasional
Rendahnya indeks kepuasan pengguna layanan
Tingkat kepercayaan stake holder menurun
Kuesioner
Sedang
Sedang
Sedang
7
Pelaksanaan anggaran yang optimal
Risiko Operasional
Tingkat kepercayaan stake holder menurun
Peraturan, SOP
Sedang
Sedang
Sedang
8
Penataan organisasi yang adaptif
Risiko Operasional
Tidak tercapainya penyerapan DIPA secara optimal Tidak tercapainya penerapan manajemen risiko
Banyaknya keluhan (komplain) dari stakeholder internal dan eksternal implementasi kegiatan mengalami perubahan Penerapan manajemen risiko belum optimal
Tingkat kepercayaan stake holder menurun
Peraturan, SOP
Sedang
Rendah
Rendah
(3)
(4)
Penyebab
Pengendalian Yang Ada
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
44
Tabel 4.3 Laporan Penanganan Risiko DJKN semester 1 tahun 2014 Penanganan Risiko No
(1)
Risiko
(3)
Rincian Penanganan
Penanggung Jawab
Risiko residual yang diharapkan Konsekuensi
Kemungkinan
Level
(5)
(6)
(7)
(8)
(9)
1
Tidak tercapainya target utilisasi kekayaan negara
Mengurangi risiko
Peningkatan koordinasi dengan K/L yang kurang aktif
Tahun 2014
Dirjen KN
Sedang
Rendah
Rendah
2
Tidak tercapainya target jumlah penerimaan kembali (recovery) yang berasal dari pengeluaran APBN
Menghindari risiko
peningkatan koordinasi dengan kantor operasional dalam rangka pengurusan piutang, lelang aset PPA, BDL, dan BPPN dalam rangka memenuhi perubahan target HPA
Tahun 2014
Dirjen KN
Sedang
Rendah
Rendah
3
Rendahnya persentase penyelesaian BMN Kemenkeu yang bermasalah
Mengurangi risiko
koordinasi dengan Setjen Kemenkeu dan pelaksanaan revisi KMK 31/KM.06/2010 tentang pendelegasian wewenang atau rekonsiliasi data dengan Kanwil/KPKNL
Tahun 2014
Dirjen KN
Sedang
Rendah
Rendah
4
Rendahnya persentase ppermohonan pengelolaan kekayaan negara tepat waktu
Mengurangi risiko
melakukan evaluasi dan monitoring penyelesaian permohonan pengelolaan kekayaan negara serta pelaksanaan revisi KMK 31/KM.06/2010 tentang pendelegasian wewenang
Tahun 2014
Dirjen KN
Sedang
Rendah
Rendah
5
tidak terealisasinya pembangunan sistem informasi yang mendukung proses bisnis
Menghindari risiko
mendefinisikan peraturan/kebutuhan pengguna dengan baik. Dalam hal peraturan/kebutuhan sistem informasi yang memerlukan pengetahuan teknis yang tidak sederhana, pembangunan sistem informasi diserahkan kepada unit teknis terkait untuk menghindari kesalahan interpretasi.
Tahun 2014
Dirjen KN
Sedang
Rendah
Rendah
6
Rendahnya indeks kepuasan pengguna layanan
Menghindari risiko
Penyelesaian permohonan pengelolaan kekayaan negara secara tepat waktu
Tahun 2014
Dirjen KN
Sedang
Rendah
Rendah
7
Tidak tercapainya penyerapan DIPA secara optimal Tidak tercapainya penerapan manajemen risiko
Menghindari risiko
rapat koordinasi internal Direktorat terkait evaluasi penyerapan DIPA atau penyusunan disbursement plan
Tahun 2014
Dirjen KN
Sedang
Rendah
rendah
Menghindari risiko
rapat koordinasi internal Direktorat dan permintaan masukan atas MR yang telah dibuat
Tahun 2014
Dirjen KN
Sedang
Rendah
Rendah
8
(2)
Rencana Penanganan
Jadwal Implementasi
(4)
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
45
Pada Tabel 4.2 diatas merupakan laporan profil risiko di DJKN pada awal semeter tahun 2014. Laporan tersebut disusun berdasarkan sasaran strategis yang harus dicapai oleh DJKN dimana dibagi menjadi dua jenis risiko yaitu risiko stategis dan risiko operasional. Selanjutnya dilakukan identifikasi risiko yang mungkin terjadi terhadap pencapaian sasaran strategis dengan mengetahui deskripsi, penyebab dan konsekuensi risiko. Melakukan identifikasi terhadap penanganan yang sudah ada dan melakukan analisis risiko sehingga menghasilkan tingkat konsekuensi, tingkat kemungkinan dan level risiko. Pada Tabel 4.3 menjelaskan mengenai rencana dan diskripsi penanganan terhadap risiko yang timbul, menentukan jadwal implementasi, menentukan penanggung jawab penanganan risiko dan menentukan risiko residual yang diharapkan. Dalam hal ini DJKN hanya melaporkan profil risiko dan penanganan risiko dikarenakan DJKN baru menyusun laporan tersebut pada awal semester tahun 2014 sehingga belum terdapat laporan monitoring risiko.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
46
BAB V ANALISIS DAN PEMBAHASAN
Pada bab ini menjelaskan proses perencanaan manajemen risiko keamanan informasi yang dimulai dari penetapan konteks, penilaian risiko sehingga menghasilkan daftar risiko yang diprioritaskan, penanganan risiko dan penerimaan risiko pada Gambar 5.1:
Gambar 5.1 Proses Perencanaan Manajemen Risiko Keamanan Informasi Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
47
Pada Gambar 5.1 diatas menggambarkan proses perencanaan manajemen risiko keamanan informasi yang dapat dijelaskan sebagai berikut: 5.1 Penetapan Konteks Sebelum melakukan proses analisis risiko maka harus menentukan dahulu kriteria dasar terkait dengan pengelolaan risiko, ruang lingkup proses
perencanaan
manajemen risiko keamanan informasi dan organisasi yang layak dalam menjalankan manajemen risiko keamanan informasi di DJKN. 5.1.1 Kriteria Dasar Pengelolaan Risiko Dalam hal ini terdapat kriteria dalam pengelolaan risiko yang terdiri dari kriteria evaluasi risiko, kriteria dampak dan kriteria penerimaan risiko. Adapun penjelasan setiap kriteria sebagai berikut: a.
Kriteria Evaluasi Risiko Berdasarkan ISO 27005 bahwa terdapat beberapa macam kriteria evaluasi risiko yang dapat ditentukan dari beberapa faktor antara lain: Nilai strategis dari proses informasi bisnis; Kebutuhan untuk regulasi dan hukum; Tingkat aset informasi yang terlibat; Kepentingan operasional bisnis terkait confidentiality, integrity dan availability; Pengaruh terhadap kepentingan stakeholder; Konsekuensi terhadap reputasi organisasi. Dalam penelitian ini menggunakan faktor kriteria evaluasi risiko yaitu kepentingan
operasional
bisnis
terkait
confidentiality,
integrity
dan
availability dan faktor pengaruh terhadap kepentingan stakeholder yang dapat mempengaruhi proses kinerja DJKN, hal ini sesuai dengan tingkat evaluasi risiko yang terdapat di PMK No.191/PMK.09/2008. b.
Kriteria Dampak Dalam
penelitian
ini
menggunakan
kriteria
dampak
dan
kriteria
kecenderungan risiko berdasarkan PMK No.191/PMK.09/2008 tentang Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
48
Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan yaitu pada Tabel 5.1 dan Tabel 5.2: Tabel 5.1Kriteria Dampak Tingkat Dampak
PMK No.191/PMK.09/2008
Penelitian
Tinggi
Pengaruh terhadap strategi dan aktivitas operasi tinggi Pengaruh terhadap kepentingan para stakeholder tinggi
Proses bisnis terhenti dalam jangka waktu lebih dari 12 jam. Adanya informasi rahasia yang tersebar ke pihak yang tidak berwenang Adanya data yang rusak/hilang dan tidak terdapat backup Berdampak lebih dari 20 % jumlah kantor operasional (diatas 20 kantor operasional)
Sedang
Pengaruh terhadap strategi dan aktivitas operasi sedang Pengaruh terhadap kepentingan para stakeholder sedang
Proses bisnis terhenti dalam jangka waktu 3 – 12 jam. Adanya data yang rusak/hilang namun terdapat backup Berdampak antara 5% - 20% jumlah kantor operasional (beberapa / antara 5-20 kantor operasional)
Rendah
Pengaruh terhadap strategi dan aktivitas operasi rendah Pengaruh terhadap kepentingan para stakeholder rendah
Proses bisnis terhenti kurang dari 3 jam. Berdampak kurang dari 5 % jumlah kantor operasional (sebagian kecil / dibawah 5 kantor operasional)
Tabel 5.2 Tingkat kecenderungan risiko Tingkat Kecenderungan Tinggi
PMK No.191/PMK.09/2008 Kemungkinan terjadinya tinggi atau hampir pasti terjadi
Sedang
Kemungkinan terjadinya sedang
Rendah
Tidak pernah atau jarang terjadi
Penelitian Banyaknya permasalahan lebih dari 50 kali dalam setahun Kontrol tidak berjalan efektif Banyaknya permasalahan antara 5 sampai 50 kali dalam setahun Kontrol dapat mengurangi ancaman Banyaknya permasalahan kurang dari 5 kali dalam setahun Kontrol dapat mengurangi atau mencegah ancaman
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
49
Pada Tabel 5.1 dijelaskan mengenai tingkat dampak yang dapat berpengaruh terdapat strategi dan aktivitas operasi maupun terhadap kepentingan para stakeholder dan Tabel 5.2 menerangkan tingkat kecenderungan terjadinya risiko berdasarkan PMK No.191/PMK.09/2008. Namun keterangan tersebut masih bersifat umum sehingga dalam penelitian ini perlu disusun kriteria yang lebih spesifik dan terukur sehingga memudahkan dalam proses penilaian risiko. Tingkat dampak penelitian bersumber pada hasil wawancara dengan berbagai narasumber yang terkait sedangkan tingkat kecenderungan penelitian bersumber pada Rekap helpdesk TIK dan NIST SP 800-30. c.
Kriteria Penerimaan Risiko Dalam penelitian ini menggunakan kriteria penerimaan risiko dan kriteria risiko yang harus ditransfer berdasarkan PMK No.191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan dapat dilihat pada Tabel 5.3 dan Tabel 5.4: Tabel 5.3 Kriteria penerimaan risiko PMK No.191/PMK.09/2008
Penelitian
Maksimal memiliki tingkat konsekuensi
Selera risiko maksimal memiliki tingkat
pada level yang telah ditetapkan untuk
risiko residual rendah yang terdiri dari
diretensi sesuai dengan toleransi dan
tingkat konsekuensi sedang dan tingkat
selera
kecenderungan rendah.
risiko
instansi
yang
telah
ditetapkan. Terdapat perlindungan hukum yang memadai mencakup regulasi dan atau perjanjian/kontrak;
Terdapat
perlindungan
hukum
yang
memadai mencakup regulasi dan atau perjanjian/kontrak; Unit pengambil risiko dan pemilik risiko
Unit pengambil risiko dan pemilik
terkait dapat memastikan dengan tingkat
risiko terkait dapat memastikan dengan
keyakinan diatas 85 % bahwa tidak akan
tingkat keyakinan diatas 85 % bahwa
terjadi kegagalan pada orang, proses dan
tidak akan terjadi kegagalan pada orang,
sistem yang ada.
proses dan sistem yang ada.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
50
Tabel 5.4 Kriteria risiko yang harus ditransfer PMK No.191/PMK.09/2008
Penelitian
Risiko-risiko residual dengan tingkat Risiko
residual
dengan
tingkat
konsekuensi pada level yang tidak dapat
konsekuensi pada level yang tidak dapat
diterima sesuai dengan toleransi dan
diterima sesuai dengan selera risiko; DJKN tidak memiliki sumber daya yang
risiko instansi yang dapat diterima. Instansi tidak memiliki sumber daya yang
memadai
untuk
membiayai
memadai untuk melakukan pengurangan risiko tersebut.
konsekuensi risiko yang diperkirakan.
Adapun penentuan selera risiko pada penelitian ini bersumber pada laporan manajemen risiko DJKN semester I tahun 2014 yang dapat dilihat pada Tabel 5.5: Tabel 5.5 Matriks selera risiko Dampak
Rendah (10)
Sedang (50)
Tinggi (100)
Kecenderungan Tinggi (1.0)
Mitigate
Mitigate
Mitigate
Sedang (0.5)
Accept
Mitigate
Mitigate
Rendah (0.1)
Accept
Accept
Mitigate
5.1.2 Ruang Lingkup
Perencanaaan
Manajemen
Risiko Keamanan
Informasi Berdasarkan ISO 27005 bahwa organisasi harus menentukan ruang lingkup dan batasan manajemen risiko keamanan informasi. Ruang lingkup dari proses manajemen risiko keamanan informasi perlu ditetapkan untuk memastikan bahwa semua aset yang relevan diperhitungkan dalam penilaian risiko. Berdasarkan PMK No.120/PMK.06/2007 tentang Penatausahaan BMN dan PMK No.96/PMK.06/2007 tentang Tata Cara Pelaksanaan Penggunaan, Pemanfaatan, Penghapusan dan Pemindahtanganan BMN dapat diketahui bahwa proses bisnis utama di DJKN adalah melakukan pengelolaan barang milik negara yang secara
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
51
umum dibagi menjadi 3 tahapan yaitu tahap awalan, tahap utama, dan tahap ikutan dapat dilihat pada Gambar 5.2:
Gambar 5.2 Proses bisnis pengelolaan BMN Pada Gambar 5.2 dapat dijelaskan bahwa siklus awalan adalah proses pertama dalam pengelolaan barang milik negara meliputi perecanaan, penganggaran dan pengadaan dimana sampai saat ini masih dikelola oleh Kementerian/Lembaga. Siklus reguler dalam tahap utama memiliki pengertian bahwa setiap barang milik negara yang telah diadakan pasti akan melalui siklus ini artinya setiap barang pasti akan digunakan, diawasi, ditatausahakan, dan sampai dengan tahap dihapuskan. Sebaliknya siklus insidentil ini memiliki makna bahwa hanya barang – barang tertentu atau dalam hal – hal tertentu saja barang milik negara tersebut akan dimanfaatkan, dipindahtangankan, dinilai, atau bahkan dimusnahkan. Sedangkan yang dimaksud dengan siklus ikutan ini adalah suatu tahapan dimana diadakan pelaksanaan lelang atau timbulnya piutang merupakan akibat dari pelaksanaan sebagian siklus utama tersebut. Siklus utama dan ikutan saat ini sudah dikelola oleh Direktorat Jenderal Kekayaan Negara (DJKN). Apabila ditarik dari segi aplikasi, maka pada proses utama menggunakan aplikasi Modul KN sedangkan proses ikutan menggunakan aplikasi Simple. Berdasarkan Blue Print (Cetak Biru) TIK DJKN, bahwa terdapat beberapa sistem aplikasi yang ada di DJKN dalam menunjang kinerja organisasi yaitu dapat dilihat pada Gambar 5.3: Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
52
Gambar 5.3 Pemetaan aplikasi di DJKN Sumber: Blue Print TIK DJKN: 2008
Pada Gambar 5.3 tersebut dapat diketahui bahwa terdapat beberapa aplikasi yang dipetakan sesuai dengan ApplicationsPortofolio (Ward & Peppard, 2002) yang dapat dijelaskan pada Gambar 5.4:
Gambar 5.4 Applications Portofolio Sumber: Strategic Planning for Information Systems Third Edition: 2002
Sesuai dengan keterangan pada Gambar 5.4 terdapat aplikasi yang bersifat keyoperasional yaitu aplikasi yang sangat vital dimana apabila aplikasi tersebut mengalami gangguan maka proses bisnis tidak dapat berjalan dan memberikan kerugian yang besar bagi DJKN. Kedua aplikasi tersebut adalah Modul Kekayaan Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
53
Negara (Modul KN) dan Sistem Informasi Piutang dan Lelang (SIMPLE). Oleh karena itu penelitian ini difokuskan pada aplikasi Modul KN dikarenakan memiliki proses bisnis dan informasi utama dalam menunjang kinerja di lingkungan DJKN. Berdasarkan laporan manajemen risiko semester I tahun 2014 pada sub bab 4.6 dapat diketahui bahwa laporan tersebut menjelaskan tentang risiko bisnis yang dapat terjadi berdasarkan sasaran strategis. Dalam hal ini tidak terdapat laporan tentang risiko TI dan risiko keamanan informasi yang dapat menyebabkan risiko bisnis
dikarenakan
belum
adanya
framework
pengelolaan
risiko
yang
komprehensif. Untuk itu dalam penelitian ini dilakukan analisis terhadap sasaran strategis yang berhubungan antara risiko bisnis, risiko TI dan risiko keamanan informasi dimana terdapat pada sasaran strategis pengelolaan dan pengembangan TIK yang optimal. Adapun risiko yang dihadapi yaitu tidak terealisasinya pembangunan sistem informasi yang mendukung proses bisnis dimana mempunyai nilai risiko sedang, sedangkan nilai risiko residual yang diharapkan adalah bernilai rendah. Oleh karena itu perlu dilakukan analisis manajemen risiko terhadap aplikasi Modul KN sebagai sistem informasi utama khususnya dalam hal keamanan informasi sehingga dapat mendukung proses bisnis di DJKN dengan baik. Aplikasi Modul KN adalah aplikasi yang digunakan oleh DJKN yang mendapatkan data dari aplikasi Sistem Informasi Manajemen dan Akutansi Barang Milik Negara (SIMAK-BMN) Kementerian/Lembaga yang bertujuan untuk melakukan rekonsiliasi pengelolaan BMN dalam rangka penyusunan Laporan Keuangan Pemerintah Pusat (LKPP) yang dapat dilihat pada Gambar 5.5:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
54
KANTOR PUSAT
KPKNL/KANWIL
SATKER K/L Mengirim data dari SIMAK BMN
Selesai Tidak sesuai
Sesuai
Sesuai Mulai
DJPB
Melakukan rekonsiliasi
Pembuatan Laporan
Melakukan rekapitulasi Tidak sesuai
Mengirim data dari SAKPA
Gambar 5.5 Proses bisnis aplikasi Modul KN Pada Gambar 5.5 dapat dijelaskan bahwa proses bisnis aplikasi Modul KN dimulai setelah mendapatkan data SIMAK-BMN dari Kementerian/Lembaga dan data Sistem Akuntansi Pengguna Anggaran (SAKPA) dari Ditjen Perbendaharaan (DJPB). KPKNL/Kanwil melakukan rekonsiliasi pengelolaan BMN menggunakan aplikasi Modul KN, apabila telah sesuai maka akan dilakukan pembuatan laporan tapi apabila tidak sesuai makadikembalikan ke Kementerian/Lembaga untuk dilakukan perbaikan. KPKNL/Kanwil mengirimkan laporan ke kantor pusat untuk dilakukan rekapitulasi, apabila tidak sesuai maka akan dikembalikan ke KPKNL/Kanwil untuk dilakukan perbaikan. Adapun mengenai topologi jaringan yang digunakan oleh aplikasi Modul KN dapat dilihat pada Gambar 5.6:
Access Switch
Switch Access
Core Switch
Router
Firewall PC KANWIL
Database Server DATA CENTER
Access Switch
Storage Server
ISP Access Switch Router
Distributor Switch
PC KPKNL
Database Server
KANTOR PUSAT
PC
Gambar 5.6 Arsitektur teknologi informasi aplikasi Modul KN Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
55
Pada Gambar 5.6 merupakan arsitektur teknologi informasi yang mendukung aplikasi Modul KN yang terdiri dari perangkat keras (hardware), perangkat lunak (software) maupun perangkat jaringan (network). Aplikasi modul KN merupakan aplikasi berbasis desktop sehingga harus diinstal di tiap PC baik di KPKNL, Kanwil maupun Kantor Pusat. Database aplikasi disimpan di masing-masing server database KPKNL/Kanwil kemudian ditarik oleh kantor pusat dan disimpan di server storage. Media jaringan menggunakan Virtual Private Network (VPN) melalui Telkom dan melalui jaringan Pusintek. 5.1.3 Organisasi Manajemen Risiko Keamanan Informasi Berdasarkan PMK No.191/PMK.09/2008 dijelaskan bahwa terdapat dua tingkatan dalam pengorganisasian manajemen risiko yaitu: a.
Pengendalian tingkat kebijakan (tingkat kementerian) dimana membentuk komite manajemen risiko yang terdiri dari pejabat eselon I dan dua orang pejabat eselon II pada tiap eselon I sebagai anggota (salah satu pejabat eselon II ditunjuk sebagai ketua manajemen risiko);
b.
Pengendalian tingkat operasional (tingkat eselon I) yang terdiri dari satu orang pejabat eselon II yang ditunjuk sebagai ketua manajemen risiko, unit eselon II sebagai pemilik risiko, unit eselon III sebagai koordinator manajemen risiko dan pejabat eselon IV yang ditunjuk sebagai administrator manajemen risiko.
Menurut hasil wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi Bpk. Agus Setyo Pambudi tanggal 27 Maret 2014 bahwa DJKN telah menunjuk sekretaris DJKN sebagai ketua manajemen risiko dan Direktur PKNSI sebagai anggota komite manajemen risiko. Berdasarkan Surat Edaran No.6/KN/2012 tentang struktur tim keamanan informasi bahwa DJKN telah menunjuk Direktur Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI) sebagai ketua tim keamanan informasi kantor pusat (CISO DJKN) dan Kasubdit Pengolahan Data dan Layanan Operasional (PDLO) sebagai koordinator keamanan informasi kantor pusat (IS Manager DJKN). Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
56
Oleh karena itu dapat ditunjuk Direktur Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI) sebagai ketua manajemen risiko khususnya terkait keamanan informasi dikarenakan telah menjadi CISO DJKN dan mengelola aplikasi Modul Kekayaan Negara yang menampung informasi utama yang dibutuhkan oleh unit eselon II lainnya dan kantor operasional sebagai pemilik risiko. Adapun posisi ketua manajemen risiko keamanan informasi berada dibawah ketua manajeme risiko yang mengelola semua risiko di DJKN. Struktur organisasi manajemen risiko keamanan informasi dapat dilihat pada Gambar 5.7:
Gambar 5.7 Struktur organisasi manajemen risiko keamanan informasi di DJKN Pada Gambar 5.7 digambarkan struktur organisasi terkait dengan manajemen risiko keamanan informasi di DJKN yang terdiri Ketua Manajemen Risiko di DJKN adalah Sekretaris DJKN, Ketua Manajemen Risiko Keamanan Informasi adalah Direktur PKNSI dan Unit Pemilik Resiko adalah seluruh unit eselon II dan kantor operasional DJKN. Alur koordinasi antar tingkatan struktur ditunjukkan oleh tanda panah kebawah dan alur pelaporan antar tingkatan struktur ditunjukkan Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
57
oleh tanda panah putus-putus keatas. Adapun peran dan tanggung jawab struktur manajemen risiko keamanan informasi sebagai berikut:
Ketua Manajemen Risiko berperan sebagai pimpinan tertinggi dalam pengelolaan risiko di DJKN. Bertanggung jawab untuk menyusun arah kebijakan, strategi penerapan, metodologi manajemen risiko dan mengembangkan kerangka kerja manajemen risiko secara terpadu dan menyeluruh.
Ketua Manajemen Risiko Keamanan Informasi berperan sebagai pimpinan tertinggi dalam pengelolaan risiko keamanan informasi di DJKN. Bertanggung jawab untuk memelihara, mengendalikan, mengukur efektivitas dan konsistensi penerapan kebijakan, standar dan risiko keamanan informasi.
Unit Pemilik Risiko berperan sebagai pihak yang memiliki risiko. Bertanggung jawab untuk menetapkan dan menyusun laporan tentang profil, penanganan dan monitoring risiko keamanan informasi.
5.2 Penilaian Risiko Pada sub bab ini dilakukan dua tahap yaitu tahap identifikasi risiko dan estimasi risiko. Identifikasi risiko dilakukan dengan mengidentifikasi aset, ancaman, kontrol dan kerawanan sedangkan estimasi risiko adalah menentukan dampak dan kecenderungan risiko yang diukur secara kualitatif maupun kuantitatif. 5.2.1 Identifikasi Risiko Dalam hal ini dilakukan identifikasi terhadap aset utama dan aset pendukung dalam aplikasi Modul KN kemudian langkah selanjutnya melakukan identifikasi terhadap ancaman yang terjadi pada setiap aset, mengidentifikasi pengendalian (control) yang sudah digunakan dalam melindungi aset serta mengidentifikasi kerawanan yang diakibatkan oleh kontrol yang tidak berjalan dengan baik atau belum terdapat kontrol dalam mencegah ancaman tersebut. Aset utama berupa proses bisnis yang ada dalam aplikasi Modul KN (rekonsiliasi, rekapitulasi, pembuatan laporan, backup data dan restore data) dan informasi Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
58
yang ada didalamnya (database kekayaan negara). Aset pendukung berupa elemen atau perangkat yang menjadi wadah terhadap proses bisnis dan informasi yang berjalan. Untuk lebih jelasnya dapat dilihat pada Tabel 5.6: Tabel 5.6 Rincian aset pada Modul KN No
Jenis Aset
Aset
Nilai Aset
Pemilik Aset
Lokasi Aset KPKNL Kanwil Kantor Pusat
Aplikasi Modul KN
Aset Pendukung
2
Database Kekayaan Negara
Aset utama
Subdit Pengolahan Data dan Layanan Operasional
3
Database server
Aset Pendukung
Subdit Pengolahan Data dan Layanan Operasional
4
Storage Server
Aset Pendukung
Subdit Pengolahan Data dan Layanan Operasional
Kantor Pusat
5
Core switch
Aset Pendukung
Subdit Pengolahan Data dan Layanan Operasional
Kantor Pusat
6
Distributor Switch
Aset Pendukung
Subdit Pengolahan Data dan Layanan Operasional
Kantor Pusat
7
Access Switch
Aset Pendukung
Subdit Pengolahan Data dan Layanan Operasional
8
Firewall
Aset Pendukung
Subdit Pengolahan Data dan Layanan Operasional
KPKNL Kanwil Kantor Pusat Kantor Pusat
9
Kabel Jaringan
Aset Pendukung
KPKNL Kanwil Kantor Pusat
KPKNL Kanwil Kantor Pusat
10
PC
Aset Pendukung
11
Windows OS
Aset Pendukung
12
Oracle 10G
Aset Pendukung
KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat Subdit Pengolahan Data dan Layanan Operasional
13
Linux Redhat
Aset Pendukung
Subdit Pengolahan Data dan Layanan Operasional
14
Antivirus
Aset Pendukung
KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat
1
Subdit Perancangan dan Pengembangan Aplikasi
Teknologi
KPKNL Kanwil Kantor Pusat
KPKNL Kanwil Kantor Pusat KPKNL Kanwil
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
59
Tabel 5.6 Rincian aset pada Modul KN (lanjutan) No
Jenis Aset
Aset
Nilai Aset
Pemilik Aset
Lokasi Aset
15
Operator KPKNL
Aset Pendukung
KPKNL
KPKNL
16
Operator Kanwil
Aset Pendukung
Kanwil
Kanwil
Operator Kantor Pusat
Aset Pendukung
Kantor Pusat
Kantor Pusat
Programmer
Aset Pendukung
Subdit Perancangan dan Pengembangan Aplikasi
Kantor Pusat
19
Teknisi Jaringan
Aset Pendukung
Subdit Pengolahan Data dan Layanan Operasional
Kantor Pusat
20
Database Administrator
Aset Pendukung
Subdit Pengolahan Data dan Layanan Operasional
Kantor Pusat
21
Petugas Help Desk
Aset Pendukung
Subdit Pengolahan Data dan Layanan Operasional
Kantor Pusat
22
Proses Rekonsiliasi
Aset utama
KPKNL Kanwil
KPKNL Kanwil
23
Proses Rekapitulasi
Aset utama
Kantor Pusat
Kantor Pusat
Proses Pembuatan Laporan
Aset utama
KPKNL Kanwil
KPKNL Kanwil
25
Proses backup data
Aset utama
26
Proses restore data
Aset utama
KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat
KPKNL Kanwil Kantor Pusat KPKNL Kanwil Kantor Pusat
17
18
24
Sumber Daya Manusia (SDM)
Proses Bisnis
Setelah dilakukan identifikasi aset utama dan pendukung terhadap aplikasi Modul KN selanjutnya dilakukan identifikasi ancaman pada setiap aset dan menentukan sumber dari ancaman tersebut. Untuk lebih jelasnya dapat dilihat pada Tabel 5.7:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
60
Tabel 5.7 Identifikasi ancaman tiap aset No 1.
Aset Aplikasi Modul KN
Ancaman
Sumber
Terjadi permasalahan saat mengoperasikan aplikasi Proses troubleshooting aplikasi terhambat
Vendor Programmer Vendor Programmer
Penyalahgunaan hak
Hacker
2
Database Kekayaan Negara
Informasi rahasia mudah dibaca
Hacker Orang yang tidak berhak
3
Database server
Penyalahgunaan hak
Hacker Orang yang tidak berhak
4
Storage Server
Server tidak bisa diakses Penyalahgunaan hak
Database Administrator Hacker
5
Core switch
Server tidak bisa diakses Penyalahgunaan hak
Database Administrator Hacker
Koneksi terputus
Hacker Listrik Hacker
6
Distributor Switch
Penyalahgunaan hak Koneksi terputus
7
Access Switch
Penyalahgunaan hak Koneksi terputus
8
Router
Penyalahgunaan hak Koneksi terputus
9
Kabel Jaringan
10
PC
Hacker Listrik Hacker Hacker Listrik Hacker
Koneksi ke perangkat mengalami gangguan Permasalahan penggunaan
Hacker Listrik Teknisi Jaringan Pengguna Virus
Data hilang/rusak
Virus Virus
11
Windows OS
12
Oracle 10G
Permasalahan saat penggunaan Penyalahgunaan hak
13
Linux Redhat
Penyalahgunaan hak
Hacker
14
Antivirus
Data hilang/rusak
Virus
Hacker
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
61
Tabel 5.7 Identifikasi ancaman tiap aset (lanjutan) No
Aset
Ancaman
Sumber Operator KPKNL Operator KPKNL
Operator Kanwil
Kerusakan perangkat Adanya permasalahan dalam pengoperasian Kerusakan perangkat
Operator Kanwil
17
Operator Kantor Pusat
Adanya permasalahan dalam pengoperasian Kerusakan perangkat
18
Programmer
Programmer
19
Teknisi Jaringan
Update aplikasi kurang sempurna Kebocoran data Kerusakan perangkat Informasi hilang atau rusak
Teknisi Jaringan
15
Operator KPKNL
16
Operator Kanwil
Operator Kantor Pusat
Hacker Teknisi Jaringan
20
Database Administrator
Kebocoran data
Database Administrator
21
Petugas Help Desk
Proses kerja lebih lama
Petugas Helpdesk
22
Proses Rekonsiliasi
Adanya proses data yang ilegal
Operator KPKNL
23
Proses Rekapitulasi
Adanya proses data yang ilegal
Operator Kantor Pusat
24
Proses Pembuatan Laporan
Operator Kantor Pusat
25
Proses backup data
Adanya proses data yang ilegal Kesalahan pelaporan Database hilang/rusak
26
Proses restore data
Kesalahan data
Operator KPKNL Operator Kanwil Operator Kantor Pusat Database Administrator
Operator Kantor Pusat Operator KPKNL Operator Kanwil Operator Kantor Pusat Database Administrator
Untuk menekan ancaman yang dapat merugikan kinerja DJKN khususnya terkait dengan aplikasi Modul KN maka telah dilakukan beberapa kontrol yaitu dapat dilihat pada Tabel 5.8:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
62
Tabel 5.8 Identifikasi kontrol yang sudah ada No
Aset
Deskripsi kontrol yang sudah ada Prosedur penggunaan dan pengoperasian aplikasi Role Authorization Koordinasi internal dengan instansi terkait Ditampung dalam server database dan storage
1.
Aplikasi Modul KN
2
Database Kekayaan Negara
3
Database server
Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database
4
Storage Server
5
Core switch
Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus
6
Distributor Switch
Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus
7
Access Switch
Diletakkan pada ruang data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus
8
Router
9
Kabel Jaringan
Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur instalasi jaringan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
63
Tabel 5.8 Identifikasi kontrol yang sudah ada (lanjutan) No
Aset
Deskripsi kontrol yang sudah ada Diletakkan di ruangan kantor yang terkunci Masuk dalam daftar inventarisasi aset Adanya lisensi namun terbatas Adanya inventarisasi lisensi Adanya lisensi namun terbatas Adanya inventarisasi lisensi Adanya lisensi namun terbatas Adanya inventarisasi lisensi Adanya lisensi namun terbatas
10
PC
11
Windows OS
12
Oracle 10G
13
Linux Redhat
14
Antivirus
15
Operator KPKNL
16
Operator Kanwil
17
Operator Kantor Pusat
18
Programmer
19
Teknisi Jaringan
Adanya prosedur penambahan instalasi jaringan
20
Database Administrator
21
Petugas Help Desk
22
Proses Rekonsiliasi
23
Proses Rekapitulasi
Adanya prosedur dalam proses rekapitulasi
24
Proses Pembuatan Laporan
Adanya prosedur dalam proses pembuatan laporan
25
Proses backup data
Adanya prosedur umum dalam proses backup data
26
Proses restore data
Adanya prosedur umum dalam proses restore data
Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Adanya prosedur pengelolaan aplikasi
Adanya prosedur pengelolaan database Adanya prosedur backup dan restore database Adanya prosedur penanganan gangguan Adanya web help desk untuk mengelola gangguan Adanya dokumentasi gangguan yang sudah terjadi Adanya prosedur dalam proses rekonsiliasi
Setelah melakukan identifikasi ancaman dan kontrol yang ada pada setiap aset, maka dilakukan identifikasi kerentanan (vulnerability) yang terjadi pada aset tersebut. Kerentanan dapat terjadi dikarenakan belum adanya kontrol atau kontrol yang sudah ada belum dapat mengelola atau mengurangi ancaman yang terjadi. Tabel 5.9 menjelaskan mengenai identifikasi kerawanan pada tiap aset.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
64
Tabel 5.9 Identifikasi kerawanan tiap aset No 1.
Aset
Ancaman
Aplikasi Modul KN
Terjadi permasalahan saat mengoperasikan aplikasi Proses troubleshooting aplikasi terhambat
Deskripsi kontrol yang sudah ada Prosedur penggunaan dan pengoperasian aplikasi Role Authorization
Penyalahgunaan hak
Kerawanan Proses testing aplikasi tidak lengkap Dokumentasi terhadap source code aplikasi tidak lengkap Tidak ada logout otomatis saat meninggalkan workstation Data tidak dienkripsi
2
Database Kekayaan Negara
Informasi rahasia mudah dibaca
Ditampung dalam server database dan storage
3
Database server
Server tidak bisa diakses
Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database
Tidak ada manajemen kapasitas
Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database
Sharing password
Penyalahgunaan hak
4
Storage Server
Penyalahgunaan hak Server tidak bisa diakses
Sharing password
Tidak ada manajemen kapasitas
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
65
Tabel 5.9 Identifikasi kerawanan tiap aset (lanjutan) No 5
6
7
8
Aset
Ancaman
Core switch
Penyalahgunaan hak
Distributor Switch
Penyalahgunaan hak
Access Switch
Penyalahgunaan hak
Router
Penyalahgunaan hak
Koneksi terputus
Koneksi terputus
Koneksi terputus
Deskripsi kontrol yang sudah ada
Kerawanan
Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus
Sharing password
Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus
Sharing password
Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus
Sharing password
Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus
Sharing password
Adanya port yang dibuka untuk komunikasi data
Adanya port yang dibuka untuk komunikasi data
Adanya port yang dibuka untuk komunikasi data
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
66
Tabel 5.9 Identifikasi kerawanan tiap aset (lanjutan) No
Aset
Ancaman
Deskripsi kontrol yang sudah ada
Kerawanan
9
Kabel Jaringan
Koneksi ke perangkat mengalami gangguan
Adanya prosedur instalasi jaringan
Instalasi kabel jaringan tidak rapi
10
PC
Permasalahan saat penggunaan
Diletakkan di ruangan kantor yang terkunci
OS bajakan
Data hilang/rusak 11
Windows OS
Permasalahan saat penggunaan
12
Oracle 10G
Penyalahgunaan hak
13
Linux Redhat
Penyalahgunaan hak
14
Antivirus
Data hilang/rusak
15
Operator KPKNL
Kerusakan perangkat Adanya permasalahan dalam pengoperasian
16
Operator Kanwil
Kerusakan perangkat Adanya permasalahan dalam pengoperasian
17
Operator Kantor Pusat
18
Programmer
Tidak ada antivirus Adanya lisensi namun terbatas Adanya inventarisasi lisensi Adanya lisensi namun terbatas Adanya inventarisasi lisensi Adanya lisensi namun terbatas Adanya inventarisasi lisensi Adanya lisensi namun terbatas Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi
OS bajakan
Sharing password
Sharing password
Anti virus bajakan Proses perekrutan kurang memadai Penggunaan software dan hardware yang tidak benar Proses perekrutan kurang memadai Penggunaan software dan hardware yang tidak benar
Kerusakan perangkat
Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi
Penggunaan software dan hardware yang tidak benar
Update aplikasi kurang sempurna
Adanya prosedur pengelolaan aplikasi
Perubahan proses bisnis yang cepat
Kebocoran data
Tidak ada kebijakan clear desk dan clear screen
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
67
Tabel 5.9 Identifikasi kerawanan tiap aset (lanjutan) No 19
Aset
Ancaman
Teknisi Jaringan
Kerusakan perangkat
Deskripsi kontrol yang sudah ada Adanya prosedur penambahan instalasi jaringan
Informasi hilang atau rusak
Kerawanan Proses rekrutmen kurang memadai Tidak ada kebijakan clear desk dan clear screen
20
Database Administra tor
Kebocoran data
Adanya prosedur pengelolaan database Adanya prosedur backup dan restore database Adanya prosedur penanganan gangguan Adanya web help desk untuk mengelola gangguan Adanya dokumentasi gangguan yang sudah terjadi Adanya prosedur dalam proses rekonsiliasi
Tidak ada kebijakan clear desk dan clear screen
21
Petugas Help Desk
Proses kerja lebih lama
22
Proses Rekonsilia si
Adanya proses data yang ilegal
23
Proses Adanya proses data yang ilegal Rekapitulasi
Adanya prosedur dalam proses rekapitulasi
Adanya proses yang tidak sesuai prosedur
24
Proses Pembuatan Laporan
Adanya proses data yang ilegal
Adanya prosedur dalam proses pembuatan laporan
Adanya proses yang tidak sesuai prosedur
25
Proses backup data
Database hilang/rusak
Adanya prosedur umum dalam proses backup data
Adanya proses yang tidak sesuai prosedur
26
Proses restore data
Kesalahan data
Adanya prosedur umum dalam proses restore data
Kesalahan pemilihan data yang direstore
Proses rekrutmen kurang memadai
Adanya proses yang tidak sesuai prosedur
5.2.2 Estimasi Risiko Tahap selanjutnya setelah dilakukan identifikasi risiko yaitu melakukan estimasi risiko dengan menentukan tingkat dampak yang ditimbulkan apabila ancaman pada setiap aset berhasil dieksploitasi dan menentukan tingkat kecenderungan yang dinilai berdasarkan wawancara dengan narasumber terkait dan pengalaman Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
68
kejadian sebelumnya yang bersumber dari rekap helpdesk TIK DJKN dapat dijabarkan pada Tabel 5.10: Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset No
1.
Aset Aplikasi Modul KN (A1)
Ancaman
Dampak
Level
Terjadi permasalahan saat mengoperasikan aplikasi (T1)
Aplikasi tidak bisa digunakan Seluruh kantor operasional tidak dapat menggunakan aplikasi Terdapat beberapa atau semua menu aplikasi bermasalah Berdampak pada seluruh kantor operasional Informasi rahasia tersebar ke orang yang tidak berhak
Tinggi
Rata-rata terjadi 9 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Sedang
Tinggi
Rata-rata terjadi 9 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Sedang
Tinggi
Rata-rata terjadi 9 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Sedang
Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Sedang
Proses troubleshooting dan update aplikasi terhambat (T2)
Penyalahgunaan hak (T3)
2
Database Kekayaan Negara (A2)
Informasi rahasia mudah dibaca (T4)
Informasi rahasia tersebar ke orang yang tidak berhak Berdampak pada seluruh kantor operasional
Tinggi
3
Database server (A3)
Penyalahgunaan hak (T3)
Data hilang/rusak Berdampak pada seluruh kantor operasional
Tinggi
Server tidak bisa diakses (T5)
Proses bisnis terhenti antara 312 jam Berdampak pada beberapa kantor operasional
Sedang
Kecenderungan
Level
Sedang
Sedang
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
69
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No 4
Aset Storage Server
Ancaman
Dampak
Level
Penyalahgunaan hak (T3)
Data hilang/rusak (ada backup) Berdampak pada kantor pusat
Sedang
Server tidak bisa diakses
Proses bisnis terhenti antara 312 jam Berdampak pada kantor pusat
Sedang
Penyalahgunaan hak (T3)
Koneksi jaringan di kantor pusat terhenti 3-12 jam
Sedang
Koneksi lambat (T6)
Koneksi jaringan di kantor pusat lambat 3-12 jam
Sedang
Penyalahgunaan hak (T3)
Koneksi jaringan di kantor pusat terhenti kurang dari 3 jam
Sedang
Koneksi lambat (T6)
Koneksi jaringan di kantor pusat lambat kurang dari 3 jam
Sedang
Penyalahgunaan hak (T3)
Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam
Sedang
Koneksi lambat (T6)
Koneksi jaringan di beberapa kantor operational lambat 3-12 jam
Sedang
(A4)
(T5)
5
6
7
Core switch (A5)
Distributor Switch (A6)
Access Switch (A7)
Kecenderungan
Level
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan Rata-rata terjadi 16 kali permasalahan dalam setahun di KPKNL dan Kanwil dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 16 kali permasalahan dalam setahun di KPKNL dan Kanwil dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
Rendah
Rendah
Rendah
Sedang
Sedang
Sedang
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
70
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No
Aset
Dampak
Konsekuensi
Level
8
Router (A8)
Penyalahgunaan hak (T3)
Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam
Sedang
9
Kabel Jaringan (A9)
Koneksi ke perangkat mengalami gangguan (T7)
Koneksi jaringan kurang dari 20 kantor operasional terhenti kurang dari jam
Rendah
10
PC
Permasalahan saat penggunaan (T1)
Aplikasi tidak bisa dijalankan di beberapa kantor operasional
Sedang
Data hilang/rusak (T8)
Data hilang/rusak di beberapa kantor operasional
Sedang
(A10)
11
Windows OS (A11)
Permasalahan saat penggunaan (T1)
Aplikasi tidak bisa dijalankan di beberapa kantor operasional
Sedang
12
Oracle 10G (A12)
Penyalahgunaan hak (T3)
Data hilang/rusak pada beberapa kantor operasional
Sedang
13
Linux Redhat (A13)
Penyalahgunaan hak (T3)
Data hilang/rusak pada beberapa kantor operasional
Sedang
14
Antivirus (A14)
Data hilang/rusak (T8)
Data hilang/rusak pada beberapa kantor operasional
Sedang
Kecenderungan Rata-rata terjadi 16 kali permasalahan dalam setahun di KPKNL dan Kanwil dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 16 kali permasalahan dalam setahun di KPKNL dan Kanwil dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 11 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 11 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan Rata-rata terjadi 16 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan
Level Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Sedang
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
71
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No 15
16
Aset
Ancaman
Operator KPKNL (A15)
Operator Kanwil (A16)
Dampak
Level
Kecenderungan
Level
Kurang menguasai penggunaan aplikasi (T9)
Proses bisnis terhenti lebih dari 12 jam Berdampak lebih dari 20 kantor operasional
Tinggi
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
Adanya permasalahan dalam pengoperasian perangkat (T1)
Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam
Tinggi
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
Kurang menguasai penggunaan aplikasi (T9)
Proses bisnis terhenti lebih dari 12 jam Berdampak lebih dari 20 kantor operasional
Tinggi
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
Adanya permasalahan dalam pengoperasian perangkat (T1)
Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam
Tinggi
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
Kerusakan perangkat sehingga layanan terhenti 3 - 12 jam
Sedang
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
17
Operator Kantor Pusat (A17)
Adanya permasalahan dalam pengoperasian perangkat (T1)
18
Programmer (A18)
Update aplikasi kurang sempurna (T10)
Aplikasi mengelami masalah di semua kantor operasional
Tinggi
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
Kebocoran data (T11)
Informasi rahasia tersebar
Tinggi
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan
Rendah
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
72
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No 19
Aset
Ancaman
Dampak
Level
Teknisi Jaringan (A19)
Kecenderungan
Level
Kurangnya pemeliharaan (T12)
Kerusakan perangkat yang berdampak pada beberapa kantor operasional
Sedang
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
Akses ilegal (T13)
Layanan lambat/terhenti 312 jam di beberapa kantor operasional
Sedang
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
20
Database Admin (A20)
Kebocoran data (T11)
Informasi rahasia tersebar
Tinggi
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
21
Petugas Help Desk (A21)
Proses kerja lebih lama (T12)
Pelayanan lambat/terhenti di beberapa kantor operasional
Sedang
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
22
Proses Rekonsiliasi (A22)
Adanya proses data yang ilegal (T13)
Adanya kerusakan data di hampir semua kantor operasional
Tinggi
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
23
Proses Rekapitulasi (A23)
Adanya proses data yang ilegal (T13)
Adanya kerusakan data di kantor pusat
Sedang
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
24
Proses Pembuatan Laporan (A24)
Adanya proses data yang ilegal (T13)
Adanya kerusakan data di kantor pusat
Sedang
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
73
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No 19
Aset
Ancaman
Dampak
Level
Teknisi Jaringan (A19)
Kecenderungan
Level
Kurangnya pemeliharaan (T12)
Kerusakan perangkat yang berdampak pada beberapa kantor operasional
Sedang
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
Akses ilegal (T13)
Layanan lambat/terhenti 312 jam di beberapa kantor operasional
Sedang
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
20
Database Admin (A20)
Kebocoran data (T11)
Informasi rahasia tersebar
Tinggi
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
21
Petugas Help Desk (A21)
Proses kerja lebih lama (T12)
Pelayanan lambat/terhenti di beberapa kantor operasional
Sedang
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
22
Proses Rekonsiliasi (A22)
Adanya proses data yang ilegal (T13)
Adanya kerusakan data di hampir semua kantor operasional
Tinggi
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
23
Proses Rekapitulasi (A23)
Adanya proses data yang ilegal (T13)
Adanya kerusakan data di kantor pusat
Sedang
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
24
Proses Pembuatan Laporan (A24)
Adanya proses data yang ilegal (T13)
Adanya kerusakan data di kantor pusat
Sedang
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
Rendah
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
74
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No
Aset
Ancaman
Dampak
Level
Kecenderungan
25
Proses backup data (A25)
Database hilang/rusak (T8)
Data hilang/rusak di beberapa kantor operasional
Sedang
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
26
Proses restore data (A26)
Kesalahan data (T14)
Layanan terhenti di sebagian kecil kantor operasional
Rendah
Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada
5.3 Evaluasi Risiko Pada tahap ini dilakukan evaluasi risiko berdasarkan dampak yang dapat terjadi oleh tiap ancaman
pada masing-masing aset terhadap kecenderungan atau
peluang terjadinya dampak tersebut. Berdasarkan ISO 27005 terdapat lima tingkatan dampak dan kecenderungan, dikarenakan tingkatan dampak dan kecenderungan yang dianalisis memiliki tiga tingkatan oleh karena itu proses evaluasi risiko menggunakan framework dari NIST 800-30. Adapun evaluasi risiko berdasarkan matriks pada Tabel 5.11: Tabel 5.11 Matriks penentuan tingkatan evaluasi risiko Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel 5.11 menjelaskan terdapat tiga tingkatan evaluasi risiko yang merupakan hasil matrik dari tingkat dampak terhadap kecenderungan pada masing-masing aset dan ancaman yang menyertai. Cara mengetahui tingkatan risiko yaitu:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
75
Rendah (1 sampai 10);
Sedang (>10 sampai 50);
Tinggi (>50 sampai 100).
Berikut adalah rangkuman keseluruhan nilai evaluasi risiko pada tiap skenario risiko yang ditunjukkan pada Tabel 5.12: Tabel 5.12 Matrik nilai evaluasi risiko
Berdasarkan hasil penghitungan nilai risiko pada Tabel 5.12 maka dapat dilakukan prioritas penanganan risiko dari nilai risiko tertinggi sampai dengan nilai risiko terendah pada Tabel 5.13:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
76
Tabel 5.13 Prioritas risiko berdasarkan nilai risiko Prioritas 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38
Skenario A1 dan T1 A1 dan T2 A1 dan T3 A2 dan T4 A3 dan T3 A13 dan T3 A14 dan T8 A3 dan T5 A7 dan T3 A7 dan T6 A8 dan T3 A10 dan T1 A10 dan T8 A11 dan T1 A12 dan T3 A15 dan T1 A15 dan T9 A16 dan T1 A16 dan T9 A18 dan T10 A18 dan T11 A20 dan T11 A22 dan T13 A4 dan T3 A4 dan T5 A5 dan T3 A5 dan T6 A6 dan T3 A6 dan T6 A9 dan T7 A17 dan T1 A19 dan T12 A19 dan T13 A21 dan T12 A23 dan T13 A24 dan T13 A25 dan T8 A26 dan T14
Nilai Risiko Sedang(50) Sedang(50) Sedang(50) Sedang(50) Sedang(50) Sedang(50) Sedang(50) Sedang(25) Sedang(25) Sedang(25) Sedang(25) Sedang(25) Sedang(25) Sedang(25) Sedang(25) Rendah(10) Rendah(10) Rendah(10) Rendah(10) Rendah(10) Rendah(10) Rendah(10) Rendah(10) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah (1)
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
77
5.4 Penanganan Risiko Menurut ISO 27005 terdapat empat macam penanganan risiko yaitu kontrol untuk mengurangi (reduction), mempertahankan (retention), menghindari (avoidance) atau mentransfer (transfer). Kontrol harus dipilih dan kemudian mempersiapkan rencana penanganan risiko tersebut. Pemilihan kontrol harus disesuaikan dengan risiko residual yang diharapkan. Apabila sudah sesuai dengan risiko residual yang diharapkan maka sebaiknya tidak perlu dilakukan kontrol tambahan, apabila nilai risiko lebih tinggi dari risiko residual yang diharapkan maka harus dilakukan kontrol tambahan. Berdasarkan hasil wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi terkait Laporan Manajemen Risiko semester I tahun 2014 bahwa risiko residual yang diharapkan adalah risiko yang mempunyai:
Maksimal mempunyai nilai dampak dengan tingkat sedang dan mempunyai nilai kecenderungan dengan tingkat rendah;
Maksimal mempunyai nilai risiko dengan tingkat rendah atau bernilai 5.
Adapun penjelasan mengenai pelaksanaan penanganan risiko di DJKN antara lain: 5.4.1 Mengurangi risiko Merupakan tindakan yang dilakukan untuk mengurangi risiko melalui pemilihan kontrol sehingga risiko risidual dapat dinilai sebagai risiko yang dapat diterima. Secara umum kontrol dapat memberikan satu atau lebih dari jenis perlindungan misalnya berupa koreksi, eliminasi, pencegahan, minimalisasi dampak, penolakan, deteksi, pemulihan, pengawasan dan kesadaran. Adapun kondisi risiko yang dapat dikurangi dalam penelitian ini antara lain:
DJKN memiliki sumber daya yang memadai untuk membiayai pelaksanaan kontrol yang digunakan;
Pemilihan kontrol dilakukan dengan efektif, efisien dan tidak mengganggu proses bisnis yang berjalan;
Manfaat yang diperoleh dari pemilihan kontrol harus lebih besar terhadap biaya yang akan dikeluarkan.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
78
5.4.2 Mempertahankan risiko Menurut ISO 27005 bahwa mempertahankan risiko adalah tanpa melakukan tindakan lebih lanjut asalkan memenuhi kriteria penerimaan risiko. Seperti yang telah dijelaskan sebelumnya pada sub bab 5.1 tentang penetapan konteks penerimaan risiko, maka keadaan yang harus dipenuhi antara lain:
Selera risiko maksimal memiliki tingkat risiko residual rendah yang terdiri dari tingkat konsekuensi sedang dan tingkat kecenderungan rendah;
Terdapat perlindungan hukum yang memadai mencakup regulasi dan atau perjanjian/kontrak;
Unit pengambil risiko dan pemilik risiko terkait dapat memastikan dengan tingkat keyakinan diatas 85 % bahwa tidak akan terjadi kegagalan pada orang, proses dan sistem yang ada.
5.4.3 Menghindari risiko Merupakan kegiatan menghindari risiko sepenuhnya dikarenakan risiko yang teridentifikasi dianggap terlalu tinggi atau biaya pelaksanaan pilihan penanganan risiko melebihi manfaatnya. Hal ini dapat dilakukan dengan membatalkan suatu kegiatan yang direncanakan atau yang sudah ada. Risiko yang disebabkan oleh alam, alternatif yang paling efektif adalah untuk memindahkan fasilitas pengolahan informasi secara fisik ke tempat dimana tidak ada risiko yang dapat menyebakan kerugian bagi DJKN. 5.4.4 Mentransfer risiko Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal yang mampu dan bertanggung jawab terhadap pengelolaan risiko. Adapun kriteria risiko yang harus ditransfer dalam penelitian ini antara lain:
Risiko residual dengan tingkat konsekuensi pada level yang tidak dapat diterima sesuai dengan selera risiko;
DJKN tidak memiliki sumber daya yang memadai untuk melakukan pengurangan risiko tersebut.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
79
Berdasarkan penjelasan diatas maka dapat dilakukan analisis penanganan risiko terhadap tiap skenario yang telah diprioritaskan menurut nilai risiko yaitu dapat dijelaskan pada Tabel 5.14:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
80
Tabel 5.14 Analisis Penanganan Risiko No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
Keterangan
1
Aplikasi Modul KN (A1)
Terjadi permasalahan saat mengoperasikan aplikasi (T1)
Proses testing tidak lengkap
Vendor Programmer
Aplikasi tidak bisa digunakan Seluruh kantor operasional tidak dapat menggunakan aplikasi
Sedang (50)
Prosedur penggunaan dan pengoperasian aplikasi Role Authorization
Prosedur pengetesan aplikasi Evaluasi pembuatan aplikasi
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
2
Aplikasi Modul KN (A1)
Proses troubleshooting dan update aplikasi terhambat (T2)
Dokumentasi terhadap source code aplikasi tidak lengkap
Vendor Programmer
Sedang (50)
Prosedur penggunaan dan pengoperasian aplikasi Role Authorization
Prosedur serah terima aplikasi
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
3
Aplikasi Modul KN (A1)
Penyalahgunaan hak (T3)
Tidak ada logout otomatis saat meninggalkan workstation
Vendor Programmer Operator KPKNL Operator Kanwil
Terdapat beberapa atau semua menu aplikasi bermasalah Berdampak pada seluruh kantor operasional Informasi rahasia tersebar ke orang yang tidak berhak
Sedang (50)
Prosedur penggunaan dan pengoperasian aplikasi Role Authorization
Pembuatan logout otomatis aplikasi
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
81
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
4
Database Kekayaan Negara (A2)
Informasi rahasia mudah dibaca (T4)
Data rahasia tidak dienkripsi
Database Admin
Informasi rahasia tersebar ke orang yang tidak berhak Berdampak pada seluruh kantor operasional
Sedang (50)
Ditampung dalam server database dan storage
5
Database server (A3)
Penyalahgunaan hak (T3)
Sharing password
Database Admin Operator KPKNL Operator Kanwil Operator Kantor Pusat
Data hilang/rusak Berdampak pada seluruh kantor operasional
Sedang (50)
Diletakkan pada ruang data center Terdapat access control yaitu finger print dan CCTV saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database
Rekomendasi control
Keterangan
Melakukan enkripsi terhadap elemen data yang bersifat rahasia
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Pembuatan role authorization
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
82
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
6
Linux Redhat (A13)
Penyalahgunaan hak (T3)
Sharing Password
Hacker
Data hilang/rusak pada beberapa kantor operasional
Sedang (50)
Adanya lisensi namun terbatas Adanya inventarisasi lisensi
Pembuatan role authorization
7
Antivirus (A14)
Data hilang/rusak (T8)
Anti virus bajakan
Virus
Data hilang/rusak pada beberapa kantor operasional
Sedang (50)
Adanya lisensi namun terbatas
Pengadaan software antivirus
8
Database server (A3)
Server tidak bisa diakses (T5)
Tidak ada manajemen kapasitas
Database Admin
Proses bisnis terhenti antara 3-12 jam Berdampak pada beberapa kantor operasional
Sedang (25)
Diletakkan pada ruang data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database
Pembuatan manajemen kapasitas menggunakan software monitoring
Keterangan
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
83
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus
Pembuatan role authorization
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Manajemen port Pengadaan CCTV
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
9
Access Switch (A7)
Penyalahgunaan hak (T3)
Sharing password
Hacker
Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam
Sedang (25)
10
Access Switch (A7)
Koneksi lambat (T6)
Adanya port yang dibuka untuk komunikasi data
Hacker
Koneksi jaringan di beberapa kantor operational lambat 3-12 jam
Sedang (25)
Keterangan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
84
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
11
Router (A8)
Penyalahgunaan hak (T3)
Sharing password
Hacker
12
PC (A10)
Permasalahan saat penggunaan (T1)
OS bajakan
Virus
13
PC (A10)
Data hilang/rusak (T8)
Tidak ada antivirus
Virus
14
OS Windows (A11)
Permasalahan saat penggunaan (T1)
OS bajakan
Virus
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
Keterangan
Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam Aplikasi tidak bisa dijalankan di beberapa kantor operasional Data hilang/rusak di beberapa kantor operasional
Sedang (25)
Diletakkan pada ruang data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset
Pembuatan role authorization
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Sedang (25)
Masuk dalam daftar inventarisasi aset Diletakkan di ruangan kantor yang terkunci
Pengadaan OS asli
Sedang (25)
Masuk dalam daftar inventarisasi aset Diletakkan di ruangan kantor yang terkunci
Pengadaan antivirus asli
Aplikasi tidak bisa dijalankan di beberapa kantor operasional
Sedang (25)
Adanya lisensi namun terbatas Adanya inventarisasi lisensi
Pengadaan OS asli
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
85
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
15
Oracle 10G (A12)
Penyalahgunaan hak (T3)
Sharing password
Hacker
Data hilang/rusak pada beberapa kantor operasional
Sedang (25)
Adanya lisensi namun terbatas Adanya inventarisasi lisensi
Pembuatan role authorization
16
Operator KPKNL (A15)
Kurang menguasai penggunaan aplikasi (T21)
Proses perekrutan kurang memadai
Operator KPKNL
Proses bisnis terhenti lebih dari 12 jam Berdampak lebih dari 20 kantor operasional
Rendah (10)
Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi
Peningkatan kompetensi pegawai
17
Operator KPKNL (A15)
Adanya permasalahan dalam pengoperasian perangkat (T9)
Penggunaan software dan hardware yang tidak benar
Operator KPKNL
Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam
Rendah (10)
Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi
Peningkatan kompetensi pegawai
Keterangan
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
86
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
18
Operator Kanwil (A16)
Kurang menguasai penggunaan aplikasi (T1)
Proses perekrutan kurang memadai
Operator Kanwil
19
Operator Kanwil (A16)
Adanya permasalahan dalam pengoperasian perangkat (T9)
Penggunaan software dan hardware yang tidak benar
Operator Kanwil
20
Program mer (A18)
Update aplikasi kurang sempurna (T10)
Perubahan proses bisnis yang cepat
Programmer
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
Keterangan
Proses bisnis terhenti lebih dari 12 jam Berdampak lebih dari 20 kantor operasional Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam
Rendah (10)
Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi
Peningkatan kompetensi pegawai
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Rendah (10)
Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi
Peningkatan kompetensi pegawai
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Aplikasi mengelami masalah di semua kantor operasional
Rendah (10)
Adanya prosedur pengelolaan aplikasi
Evaluasi dan monitoring pembuatan aplikasi
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
87
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
Keterangan
21
Program mer (A18)
Kecoran data (T11)
Tidak ada kebijakan clear desk dan clear screen
Programmer
Informasi rahasia tersebar
Rendah (10)
Adanya prosedur pengelolaan aplikasi
Awareness keamanan informasi
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
22
Database Admin (A20)
Kebocoran data (T11)
Tidak ada kebijakan clear desk dan clear screen
Database Admin
Informasi rahasia tersebar
Rendah (10)
Adanya prosedur pengelolaan database Adanya prosedur backup dan restore database
Awareness keamanan informasi
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
23
Proses Rekon siliasi (A22)
Adanya proses data yang ilegal (T13)
Adanya proses yang tidak sesuai prosedur
Operator KPKNL Operator Kanwil
Adanya kerusakan data di hampir semua kantor operasional
Rendah (10)
Adanya prosedur dalam proses rekonsiliasi
Menetapkan aturan dan sanksi terhadap proses ilegal
Nilai risiko melebihi nilai risiko residual yang diharapkan Harus dilakukan kontrol tambahan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
88
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
24
Aset
Storage server (A4)
Ancaman
Penyalah-gunaan hak (T3)
Kerawanan
Sharing password
Sumber
Hacker
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Data hilang/rusak (ada backup) Berdampak pada kantor pusat
Rendah (5)
Diletakkan pada ruang data center Terdapat access control yaitu finger print dan CCTV saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database
Rekomendasi kontrol
Pembuatan role authorization
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
89
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
25
Storage server (A4)
Server tidak bisa diakses (T5)
Tidak ada manajemen kapasitas
26
Core Switch (A5)
Penyalahgunaan hak (T3)
Sharing password
Sumber
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
Keterangan
Database Admin
Proses bisnis terhenti antara 3-12 jam Berdampak pada kantor pusat
Rendah (5)
Pembuatan manajemen kapasitas menggunakan software monitoring
Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan
Hacker
Koneksi jaringan di kantor pusat terhenti 3-12 jam
Rendah (5)
Diletakkan pada ruang data center Terdapat access control yaitu finger print dan CCTV saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Adanya prosedur backup dan restore database Diletakkan pada ruang data center Terdapat access control yaitu finger print dan CCTV saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset
Pembuatan role authorization
Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
90
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
Ancaman
Koneksi lambat (T6)
27
Core Switch (A5)
28
Distributor Penyalahgunaan Switch (A6) hak (T3)
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
Diletakkan pada ruang data center Terdapat access control yaitu finger print dan CCTV saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset Adanya firewall dan antivirus
Adanya manajemen dan monitoring port Pelabelan port
Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan
Pembuatan role authorization
Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan
Adanya port yang dibuka untuk komunikasi data
Hacker
Koneksi jaringan di kantor pusat lambat 3-12 jam
Rendah (5)
Sharing password
Hacker
Koneksi jaringan di kantor pusat terhenti kurang dari 3 jam
Rendah (5)
Keterangan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
91
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
Keterangan
Adanya port yang dibuka untuk komunikasi data
Hacker
Koneksi jaringan di kantor pusat lambat kurang dari 3 jam
Rendah (5)
Diletakkan pada ruang data center Terdapat access control yaitu finger print saat masuk data center Adanya inventarisasi perangkat Terdapat UPS, baterai dan genset
Adanya manajemen dan monitoring port Pelabelan port
Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan
Koneksi ke perangkat mengalami gangguan (T7)
Instalasi kabel jaringan tidak rapi
Teknisi Jaringan Pegawai
Koneksi jaringan kurang dari 20 kantor operasional terhenti kurang dari jam
Rendah (5)
Adanya prosedur instalasi jaringan
Adanya monitoring dan audit instalasi jaringan
Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan
Adanya permasalahan dalam pengoperasian perangkat (T1)
Penggunaan software dan hardware yang tidak benar
Operator kantor pusat
Kerusakan perangkat sehingga layanan terhenti 3 - 12 jam
Rendah (5)
Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi
Peningkatan kompetensi pegawai Awareness keamanan informasi
Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan
29
Distributor Koneksi lambat Switch (A6) (T6)
30
Kabel Jaringan (A9)
31
Operator Kantor Pusat (A17)
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
92
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
32
Teknisi jaringan (A19)
Kurangnya pemeliharaan (T12)
Kurangnya personil
33
Teknisi jaringan (A19)
Akses ilegal (T13)
34
Petugas Help Desk (A21)
Proses kerja lebih lama (T12)
Sumber
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
Keterangan
Teknisi Jaringan
Kerusakan perangkat yang berdampak pada beberapa kantor operasional
Rendah (5)
Adanya prosedur penambahan instalasi jaringan
Peningkatan kompetensi PIC TIK di KPKNL dan Kanwil
Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan
Tidakada kebijakan clear desk dan clear screen
Teknisi Jaringan Hacker
Rendah Layanan lambat/terhenti (5) 3-12 jam di beberapa kantor operasional
Adanya prosedur penambahan instalasi jaringan
Awareness keamanan informasi
Proses rekrutmen kurang memadai
Petugas Helpdesk
Rendah Pelayanan lambat/terhenti (5) di beberapa kantor operasional
Adanya prosedur penanganan gangguan Adanya web help desk untuk mengelola gangguan Adanya dokumentasi gangguan yang sudah terjadi
Meningkatkan kompetensi pegawai Meningkatkan layanan prima
Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
93
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
Keterangan
35
Proses Rekapitula si (A23)
Adanya proses data yang ilegal (T13)
Adanya proses yang tidak sesuai prosedur
Operator KantorPusat
Adanya kerusakan data di kantor pusat
Rendah (5)
Adanya prosedur dalam proses rekapitulasi
Menetapkan aturan dan sanksi terhadap proses ilegal
36
Proses Pembuatan Laporan (A24)
Adanya proses data yang ilegal (T13)
Adanya proses yang tidak sesuai prosedur
Operator Kantor Pusat
Adanya kerusakan data di kantor pusat
Rendah (5)
Adanya prosedur dalam proses rekapitulasi
Menetapkan aturan dan sanksi terhadap proses ilegal
37
Proses backup data (A25)
Database hilang/rusak (T8)
Adanya proses yang tidak sesuai prosedur
Operator KPKNL Operator Kanwil
Layanan terhenti di sebagian kecil kantor operasional
Rendah (5)
Adanya prosedur dalam proses restore data
Awareness keamanan informasi Penambahan prosedur backup dan restore data
Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
94
Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No
Aset
38
Proses restore data (A26)
Ancaman
Kerawanan
Kesalahan data (T14)
Kesalahan pemilihan data yang direstore
Sumber
Operator KPKNL Operator Kanwil
Konsekuensi
Nilai Risiko
Kontrol yang sudah ada
Rekomendasi kontrol
Layanan terhenti di sebagian kecil kantor operasional
Rendah (1)
Adanya prosedur umum dalam proses restore data
Penambahan prosedur backup dan restore data
Keterangan
Nilai risiko sama dengan nilai risiko residual yang diharapkan Tidak perlu dilakukan kontrol tambahan
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
95
Setelah dilakukan analisis penanganan risiko maka harus dilakukan pemilihan risiko mana saja yang harus dilakukan pengurangan risiko. Untuk risiko yang mempunyai nilai sama atau dibawah nilai risiko residual yang diharapkan maka risiko tersebut dipertahankan sedangkan untuk risiko yang mempunyai nilai diatas nilai risiko residual yang diharapkan maka harus dilakukan pengurangan risiko dengan menggunakan analisis biaya dan manfaat (cost benefit analisys) terhadap setiap kontrol yang akan ditambahkan. Hasil dari analisis tersebut dapat mengetahui seberapa besar biaya yang akan dikeluarkan terhadap manfaat yang akan didapatkan baik secara tangible maupun intangible. Selanjutnya ditunjuk pihak yang bertugas untuk melaksanakan tambahan kontrol tersebut berdasarkan tugas dan wewenang masing-masing. Berdasarkan analisis biaya dan manfaat tersebut dapat menentukan apakah rekomendasi kontrol tersebut dapat dijalankan atau tidak. Adapun kondisi yang ditentukan antara lain:
Apabila biaya pengurangan risiko lebih kecil dari manfaat yang diperoleh dan terdapat sumber daya yang memadai untuk membiayai pelaksanaan kontrol maka harus dilakukan implementasi kontrol tambahan;
Apabila biaya pengurangan risiko lebih besar dari manfaat yang diperoleh dan tidak terdapat sumber daya yang memadai untuk membiayai pelaksanaan kontrol maka risiko tersebut harus dihindari (avoidance) atau ditransfer. Berikut adalah analisis biaya dan manfaat (cost benefit analisys) terhadap rekomendasi kontrol yang digunakan yang dapat dijelaskan pada Tabel 5.15:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
96
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol No
Rekomendasi Kontrol
Kontrol
Skenario
Biaya/Kegiatan
Manfaat
ISO 27002 1
Melakukan enkripsi terhadap elemen data yang bersifat rahasia
Kriptograpi (Information system acquisition, development and maintenance)
2
Menetapkan peraturan dan sanksi terhadap proses ilegal
Identifikasi peraturan yang berlaku (Compliance)
Stretegi
PIC
Penanganan A2-T4
Honor tim untuk mengelola, Menghindari tersebarnya melakukan monitor dan informasi rahasia perawatan elemen data pada Penghematan: Biaya iklan di aplikasi Modul Kekayaan koran nasional untuk Negara. klarifikas terkait informasi Biaya: (10 orang x 12 bulan rahasia yang tersebar (10 x Rp 300.000,- sebesar Rp koran nasional x 5 kali tayang 36.000.000 pertahun) x Rp 5.000.000,- sebesar Rp 250.000.000,-)
Reduction
Subdit Pengolahan Data dan Layanan Operasional
A22-T13
Honor tim untuk Terhindar dari data yang tidak menetapkan peraturan dan akurat sanksi terkait pelanggaran Penghematan: Biaya transport prosedur aplikasi Modul dan konsumsi terkait Kekayaan Negara. pemutakhiran data (100 satker Biaya: (10 orang x 12 bulan x 3 hari x Rp 500.000,x Rp 300.000,- sebesar Rp sebesar Rp 150.000.000,-) 36.000.000 pertahun)
Reduction
Direktorat dan Humas
Hukum
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
97
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No
Rekomendasi Kontrol
Kontrol
Skenario
Biaya/Kegiatan
Manfaat
ISO 27002
Stretegi
PIC
Penanganan
3
Prosedur pengetesan aplikasi dan Evaluasi pembuatan aplikasi
Persyaratan keamanan sistem informasi (Information system acquisition, development and maintenance)
A1-T1 A18-T10
4
Prosedur serah terima aplikasi
Akses kontrol ke dalam source code program (Information system acquisition, development and maintenance)
A1-T2
Honor tim untuk mengelola Aplikasi Modul Kekayaan Reduction prosedur evaluasi dan serah Negara dapat dioperasikan terima aplikasi Modul dengan baik dan jarang terjadi Kekayaan Negara. permasalahan Biaya: (10 orang x 12 bulan Penghematan: Biaya perbaikan x Rp 300.000,- sebesar Rp aplikasi oleh vendor di luar 36.000.000 pertahun) kontrak sebesar Rp 300.000.000,-
Memudahkan dalam proses troubleshooting dan update aplikasi Modul Kekayaan Negara Penghematan: Biaya perbaikan aplikasi oleh vendor di luar kontrak sebesar Rp 300.000.000,-
Reduction
Subdit Perancangan dan Pengembangan Sistem Aplikasi
Subdit Perancangan dan Pengembangan Sistem Aplikasi
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
98
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No
Rekomendasi Kontrol
Kontrol
Skenario
Biaya/Kegiatan
Manfaat
ISO 27002
Stretegi
PIC
Penanganan
5
Pembuatan logout otomatis aplikasi
Sesi time-out (Access Control)
A1-T3
Honor tim untuk mengelola Menghindari penyalahgunaan fitur logout otomatis hak oleh orang yang tidak aplikasi Modul Kekayaan berwenang Negara. Penghematan: Biaya transport Biaya: (10 orang x 12 bulan dan konsumsi terkait x Rp 300.000,- sebesar Rp pemutakhiran data (100 satker 36.000.000 pertahun) x 3 hari x Rp 500.000,sebesar Rp 150.000.000,-)
Reduction
Subdit Peancangan dan Pengembangan Sistem Aplikasi
6
Pembuatan role authorization
Pengelolaan privilege (Access Control)
A3-T5 A13-T3 A7-T3 A8-T3 A12-T3
Honor tim untuk mengelola Menghindari penyalahgunaan fitur role authorization hak akibat sharing password aplikasi Modul Kekayaan yang dapat mengakibatkan Negara. kerusakan data Biaya: (10 orang x 12 bulan Penghematan: Biaya transport x Rp 300.000,- sebesar Rp dan konsumsi terkait 36.000.000 pertahun) pemutakhiran data (100 satker x 3 hari x Rp 500.000,sebesar Rp 150.000.000,-)
Reduction
Subdit Pengolahan Data dan Layanan Operasional
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
99
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No
Rekomendasi Kontrol
Kontrol
Skenario
Biaya/Kegiatan
Manfaat
ISO 27002
Stretegi
PIC
Penanganan
7
Pengadaan software antivirus
Kontrol terhadap malicious code (Communication and Information Management)
A14-T8 A10-T8
Pengadaan antivirus untuk Menghindari kerusakan atau PC kehilangan data Biaya: Tiap kantor membeli Penghematan: Biaya transport 5 antivirus x Rp200.000 = dan konsumsi terkait Rp1.000.000 pemutakhiran data (100 satker x 3 hari x Rp 500.000,sebesar Rp 150.000.000,-)
Reduction
KPKNL Kanwil
8
Pembuatan manajemen kapasitas menggunakan software monitoring
Monitoring penggunaan sistem (Communication and Information Management)
A3-T5 A4-T5
Reduction
Subdit Pengolahan Data dan Layanan Operasional
9
Manajemen dan pelabelan port
Kontrol Jaringan (Communication and Information Management)
A7-T6
Honor tim untuk mengelola Mencegah terhentinya kapasitas dan port perangkat layanan terkait permasalahan TI. kapasitas server database Biaya: (10 orang x 12 bulan (permasalahan hard disk) x Rp 300.000,- sebesar Rp Penghematan: Biaya 36.000.000 pertahun) perjalanan dinas untuk perbaikan hard disk (rata-rata 10 kantor x 2 orang x Rp 10.000.000,- sebesar Rp 200.000.000, Menghindari penyalahgunaan oleh orang yang tidak berhak Penghematan: Biaya perjalanan dinas untuk perbaikan perangkat jaringan (rata-rata 10 kantor x 2 orang x Rp 10.000.000,- sebesar Rp 200.000.000,-
Reduction
Subdit Pengolahan Data dan Layanan Operasional KPKNL Kanwil
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
100
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No
Rekomendasi Kontrol
Kontrol
Skenario
Biaya/Kegiatan
Manfaat
ISO 27002
Stretegi
PIC
Penanganan
10
Pengadaan CCTV
Monitoring penggunaan sistem (Communication and Information Management)
A7-T3
Pembelian perangkat CCTV Menghindari gangguan dari Biaya: Tiap kantor membeli orang yang tidak berhak 1 paket CCTV seharga Rp Penghematan: Biaya 10.000.000 perbaikan kerusakan perangkat yang sudah habis masa garansi (rata-rata 20 perangkat x Rp 30.000.000,sebesar Rp 600.000.000,-
Reduction
KPKNL Kanwil
11
Pengadaan OS Windows asli
Kontrol terhadap malicious code (Communication and Information Management)
A10-T1 A11-T1
Pembelian OS Windows asli Menghindari kerusakan atau Biaya: Tiap kantor membeli kehilangan data 5 OS x Rp1.000.000 = Penghematan: Biaya transport Rp5.000.000 dan konsumsi terkait pemutakhiran data (100 satker x 3 hari x Rp 500.000,sebesar Rp 150.000.000,-)
Reduction
KPKNL Kanwil
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
101
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No
Rekomendasi Kontrol
Kontrol
Skenario
Biaya/Kegiatan
Manfaat
ISO 27002 12
Meningkatkan kompetensi pegawai
Pelatihan, pendidikan kesadaran terhadap keamanan informasi (Human Resources Security)
dan
Stretegi
PIC
Penanganan A15-T9 A16-T9 A16-T1
Kegiatan pelatihan Operator KPKNL, Kanwil peningkatan kompetensi dan Kantor Pusat dapat pegawai dalam penggunaan menguasai penggunaan perangkat SI/TI aplikasi aplikasi, perangkat keras dan Modul Kekayaan Negara. lunak Tiap kantor terdapat 3 orang Terhindar dari kerusakan data operator dan perangkat TI Biaya dinas rata-rata Rp5 Penghematan: Biaya transport juta tiap orang dan konsumsi terkait Biaya hotel Rp300.000 tiap pemutakhiran data (100 satker x 3 hari x Rp 500.000,orang sebesar Rp 150.000.000,-) Jumlah = Rp250.000.000 Penghematan: Biaya perbaikan kerusakan perangkat yang sudah habis masa garansi (rata-rata 20 perangkat x Rp 30.000.000,sebesar Rp 600.000.000,-
Reduction
PKNSI KPKNL Kanwil
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
102
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No
Rekomendasi Kontrol
Kontrol
Skenario
Biaya/Kegiatan
Manfaat
ISO 27002 13
Awareness keamanan informasi
Pelatihan, pendidikan kesadaran terhadap keamanan informasi (Human Resources Security)
dan
Stretegi
PIC
Penanganan A18-T11 A20-T11
Kegiatan sosialisasi dan pelatihan terkait awareness keamanan informasi dalam penggunaan perangkat SI/TI dan pengamanan informasi pada aplikasi Modul Kekayaan Negara. Tiap kantor terdapat 3 orang operator Biaya dinas rata-rata Rp5 juta tiap orang Biaya hotel Rp300.000 tiap orang Jumlah = Rp250.000.000
Operator KPKNL, Kanwil dan Kantor Pusat dapat mengetahui dan memiliki awareness keamanan informasi Terhindar dari kerusakan data dan perangkat TI Penghematan: Biaya transport dan konsumsi terkait pemutakhiran data (100 satker x 3 hari x Rp 500.000,sebesar Rp 150.000.000,-) Penghematan: Biaya perbaikan kerusakan perangkat yang sudah habis masa garansi (rata-rata 20 perangkat x Rp 30.000.000,sebesar Rp 600.000.000,-
Reduction
PKNSI KPKNL Kanwil
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
103
Berdasarkan hasil analisis biaya dan manfaat pada Tbel 5.15 dapat diketahui bahwa seluruh rekomendasi kontrol yang harus dilakukan mempunyai biaya pengurangan risiko lebih kecil dari manfaat yang diperoleh dan terdapat sumber daya yang memadai untuk membiayai pelaksanaan kontrol maka harus dilakukan implementasi kontrol tambahan. Dengan demikian tidak ada risiko yang akan ditransfer atau dihindari. 5.5 Penerimaan Risiko Berdasarkan ISO 27005, penerimaan risiko adalah keputusan untuk menerima risiko dan bertanggung jawab terhadap keputusan yang diambil dalam mengelola risiko tersebut. Dalam hal ini keputusan harus secara resmi dicatat dan dipatuhi oleh semua pihak. Oleh karena itu dalam penelitian ini disusun daftar risiko beserta keputusan dan pihak yang bertanggung jawab dalam penanganan risiko sehingga dapat memenuhi kriteria penerimaan risiko keamanan informasi yang dapat dilihat pada Tabel 5.16:
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
104
Tabel 5.16 Analisis Penerimaan Risiko No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Penanganan Risiko
Rekomendasi kontrol
Penanggung Jawab
Aplikasi tidak bisa digunakan Seluruh kantor operasional tidak dapat menggunakan aplikasi Terdapat beberapa atau semua menu aplikasi bermasalah Berdampak pada seluruh kantor operasional Informasi rahasia tersebar ke orang yang tidak berhak
Sedang (50)
Reduction
Prosedur pengetesan aplikasi Evaluasi pembuatan aplikasi
Subdit Perencanaan dan Pengembangan Aplikasi
Juli-Desember 2014
Sedang (50)
Reduction
Prosedur serah terima aplikasi
Subdit Perencanaan dan Pengembangan Aplikasi
Juli-Desember 2014
Sedang (50)
Reduction
Pembuatan logout otomatis aplikasi
Subdit Perencanaan dan Pengembangan Aplikasi
Juli-Desember 2014
1
Aplikasi Modul KN (A1)
Terjadi permasalahan saat mengoperasikan aplikasi (T1)
Proses testing tidak lengkap
Vendor Programmer
2
Aplikasi Modul KN (A1)
Proses troubleshooting dan update aplikasi terhambat (T2)
Dokumentasi terhadap source code aplikasi tidak lengkap
Vendor Programmer
3
Aplikasi Modul KN (A1)
Penyalahgunaan hak (T3)
Tidak ada logout otomatis saat meninggalkan workstation
Vendor Programmer Operator KPKNL Operator Kanwil Operator Kantor Pusat
Rencana Kerja
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
105
Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Penanganan Risiko
Rekomendasi kontrol
4
Database Kekayaan Negara (A2)
5
6
Penanggung Jawab
Rencana Kerja
Informasi rahasia mudah dibaca (T4)
Data rahasia tidak dienkripsi
Database Admin
Informasi rahasia tersebar ke orang yang tidak berhak Berdampak pada seluruh kantor operasional
Sedang (50)
Reduction
Melakukan enkripsi terhadap elemen data yang bersifat rahasia
Subdit Pengolahan Data dan Layanan Operasional
Juli-Desember 2014
Database server (A3)
Penyalahgunaan hak (T3)
Sharing password
Data hilang/rusak Berdampak pada seluruh kantor operasional
Sedang (50)
Reduction
Pembuatan role authorization
Subdit Pengolahan Data dan Layanan Operasional
Juli-Desember 2014
Linux Redhat (A13)
Penyalahgunaan hak (T3)
Sharing Password
Database Admin Operator KPKNL Operator Kanwil Operator Kantor Pusat Hacker
Data hilang/rusak pada beberapa kantor operasional
Sedang (50)
Reduction
Pembuatan role authorization
Subdit Pengolahan Data dan Layanan Operasional
Juli-Desember 2014
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
106
Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
7
Antivirus (A14)
Data hilang/rusak (T8)
Anti virus bajakan
Virus
8
Database server (A3)
Server tidak bisa diakses (T5)
Tidak ada manajemen kapasitas
Database Admin
9
Access Switch (A7)
Penyalahgunaan hak (T3)
Sharing password
Hacker
10
Access Switch (A7)
Koneksi lambat (T6)
Adanya port yang dibuka untuk komunikasi data
Hacker
Konsekuensi
Nilai Risiko
Penanganan Risiko
Rekomendasi kontrol
Penanggung Jawab
Rencana Kerja
Data hilang/rusak pada beberapa kantor operasional Proses bisnis terhenti antara 3-12 jam Berdampak pada beberapa kantor operasional Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam Koneksi jaringan di beberapa kantor operational lambat 3-12 jam
Sedang (50)
Reduction
Pengadaan software antivirus
KPKNL Kanwil
Juli-Desember 2014
Sedang (25)
Reduction
Pembuatan manajemen kapasitas menggunakan software monitoring
Subdit Pengolahan Data dan Layanan Operasional
Juli-Desember 2014
Sedang (25)
Reduction
Pembuatan role authorization
Subdit Pengolahan Data dan Layanan Operaional
Juli-Desember 2014
Sedang (25)
Reduction
Manajemen port
Subdit Pengolahan Data dan Layanan Operaional
Juli-Desember 2014
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
107
Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
11
Router (A8)
Penyalahgunaan hak (T3)
Sharing password
Hacker
12
PC (A10)
Permasalahan saat penggunaan (T1)
OS bajakan
Virus
13
PC (A10)
Data hilang/rusak (T8)
Tidak ada antivirus
Virus
14
OS Windows (A11)
Permasalahan saat penggunaan (T1)
OS bajakan
Virus
Konsekuensi
Nilai Risiko
Penanganan Risiko
Rekomendasi kontrol
Penanggung Jawab
Rencana Kerja
Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam Aplikasi tidak bisa dijalankan di beberapa kantor operasional Data hilang/rusak di beberapa kantor operasional
Sedang (25)
Reduction
Pembuatan role authorization
Subdit Pengolahan Data dan Layanan Operaional
Juli-Desember 2014
Sedang (25)
Reduction
Pengadaan OS asli
KPKNL Kanwil
Juli-Desember 2014
Sedang (25)
Reduction
Pengadaan antivirus asli
KPKNL Kanwil
Juli-Desember 2014
Aplikasi tidak bisa dijalankan di beberapa kantor operasional
Sedang (25)
Reduction
Pengadaan OS asli
KPKNL Kanwil
Juli-Desember 2014
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
108
Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Penanganan Risiko
Rekomendasi kontrol
15
Oracle 10G (A12)
Penyalahgunaan hak (T3)
Sharing password
Hacker
Data hilang/rusak pada beberapa kantor
Sedang (25)
Reduction
Pembuatan role authorization
16
Operator KPKNL (A15)
Kurang menguasai penggunaan aplikasi (T21)
Proses perekrutan kurang memadai
Operator KPKNL
Rendah (10)
Reduction
Peningkatan kompetensi pegawai
17
Operator KPKNL (A15)
Adanya permasalahan dalam pengoperasian perangkat (T9)
Penggunaan software dan hardware yang tidak benar
Operator KPKNL
Proses bisnis terhenti lebih dari 12 jam Berdampak lebih dari 20 kantor operasional Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam
Rendah (10)
Reduction
18
Operator Kanwil (A16)
Kurang menguasai penggunaan aplikasi (T1)
Proses perekrutan kurang memadai
Operator Kanwil
Proses bisnis terhenti lebih dari 12 jam Berdampak lebih dari 20 kantor operasional
Rendah (10)
Reduction
Penanggung Jawab
Rencana Kerja
Subdit Pengolahan Data dan Layanan Operasional PKNSI KPKNL Kanwil
Juli-Desember 2014
Peningkatan kompetensi pegawai
PKNSI KPKNL Kanwil
Juli-Desember 2014
Peningkatan kompetensi pegawai
PKNSI KPKNL Kanwil
Juli-Desember 2014
Juli-Desember 2014
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
109
Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Penanganan Risiko
Rekomendasi kontrol
Penanggung Jawab
Rencana Kerja
19
Operator Kanwil (A16)
Adanya permasalahan dalam pengoperasian perangkat (T9)
Penggunaan software dan hardware yang tidak benar
Operator Kanwil
Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam
Rendah (10)
Reduction
Peningkatan kompetensi pegawai
PKNSI KPKNL Kanwil
Juli-Desember 2014
20
Program mer (A18)
Update aplikasi kurang sempurna (T10)
Perubahan proses bisnis yang cepat
Program mer
Aplikasi mengelami masalah di semua kantor operasional
Rendah (10)
Reduction
Evaluasi dan monitoring pembuatan aplikasi
Subdit Perencanaan dan Pengembangan Aplikasi
Juli-Desember 2014
21
Program mer (A18)
Kecoran data (T11)
Tidak ada kebijakan clear desk dan clear screen
Program mer
Informasi rahasia tersebar
Rendah (10)
Reduction
Awareness keamanan informasi
Subdit Perencanaan dan Pengembangan Aplikasi
Juli-Desember 2014
22
Database Admin (A20)
Kebocoran data (T11)
Tidak ada kebijakan clear desk dan clear screen
Database Admin
Informasi rahasia tersebar
Rendah (10)
Reduction
Awareness keamanan informasi
Subdit Pengolahan Data dan Layanan Operaional
Juli-Desember 2014
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
110
Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Penanganan Risiko
Rekomendasi kontrol
Menetapkan aturan dan sanksi terhadap proses ilegal
Penanggung Jawab Direktorat Hukumdan Humas
Rencana Kerja
23
Proses Rekon siliasi (A22)
Adanya proses data yang ilegal (T13)
Adanya proses yang tidak sesuai prosedur
Operator KPKNL Operator Kanwil
Kerusakan data di semua kantor operasional
Rendah (10)
Reduction
Juli-Desember 2014
24
Storage server (A4)
Penyalahgunaan hak (T3)
Sharing password
Hacker
Data hilang/rusak (ada backup)
Rendah (5)
Accept
-
-
-
25
Storage server (A4)
Server tidak bisa diakses (T5)
Tidak ada manajemen kapasitas
Database Admin
Proses bisnis terhenti antara 3-12 jam
Rendah (5)
Accept
-
-
-
26
Core Switch (A5)
Penyalahgunaan hak (T3)
Sharing password
Hacker
Jaringan di kantor pusat terhenti 3-12 jam
Rendah (5)
Accept
-
-
-
27
Core Switch (A5)
Koneksi lambat (T6)
Adanya port yang dibuka untuk komunikasi data
Hacker
Jaringan di kantor pusat lambat 3-12 jam
Rendah (5)
Accept
-
-
-
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
111
Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Penanganan Risiko
28
Distributor Switch (A6)
Penyalahgunaan hak (T3)
Sharing password
Hacker
29
Distributor Switch (A6)
Koneksi lambat (T6)
Hacker
30
Kabel Jaringan (A9)
Koneksi ke perangkat mengalami gangguan (T7)
Adanya port yang dibuka untuk komunikasi data Instalasi kabel jaringan tidak rapi
31
Operator Kantor Pusat (A17)
Adanya permasalahan dalam pengoperasian perangkat (T1)
Penggunaan software dan hardware yang tidak benar
Rekomendasi kontrol
Penanggung Jawab
Rencana Kerja
Jaringan di kantor pusat terhenti kurang dari 3 jam Jaringan di kantor pusat lambat kurang dari 3 jam
Rendah (5)
Accept
-
-
-
Rendah (5)
Accept
-
-
-
Teknisi Jaringan Pegawai
Jaringan kurang dari 20 kantor operasional terhenti kurang dari 3 jam
Rendah (5)
Accept
-
-
-
Operator kantor pusat
Kerusakan perangkat layanan terhenti 3 - 12 jam
Rendah (5)
Accept
-
-
-
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
112
Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
32
Teknisi jaringan (A19)
Kurangnya pemeliharaan (T12)
Kurangnya personil
33
Teknisi jaringan (A19)
Akses ilegal (T13)
34
Petugas Help Desk (A21)
35
Proses Rekapitula si (A23)
Sumber
Konsekuensi
Nilai Risiko
Penanganan Risiko
Rekomendasi kontrol
Penanggung Jawab
Rencana Kerja
Teknisi Jaringan
Kerusakan perangkat yang berdampak pada beberapa kantor operasional
Rendah (5)
Accept
-
-
-
Tidakada kebijakan clear desk dan clear screen
Teknisi Jaringan Hacker
Layanan lambat/terhenti 3-12 jam di beberapa kantor operasional
Rendah (5)
Accept
-
-
-
Proses kerja lebih lama (T12)
Proses rekrutmen kurang memadai
Petugas Helpdesk
Pelayanan lambat/terhenti di beberapa kantor operasional
Rendah (5)
Accept
-
-
-
Adanya proses data yang ilegal (T13)
Adanya proses yang tidak sesuai prosedur
Operator KantorPusat
Adanya kerusakan data di kantor pusat
Rendah (5)
Accept
-
-
-
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
113
Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No
Aset
Ancaman
Kerawanan
Sumber
Konsekuensi
Nilai Risiko
Penanganan Risiko
Rekomendasi kontrol
Penanggung Jawab
Rencana Kerja
36
Proses Pembuatan Laporan (A24)
Adanya proses data yang ilegal (T13)
Adanya proses yang tidak sesuai prosedur
Operator Kantor Pusat
Adanya kerusakan data di kantor pusat
Rendah (5)
Accept
-
-
-
37
Proses backup data (A25)
Database hilang/rusak (T8)
Adanya proses yang tidak sesuai prosedur
Operator KPKNL Operator Kanwil
Layanan terhenti di sebagian kecil kantor operasional
Rendah (5)
Accept
-
-
-
38
Proses restore data (A26)
Kesalahan data (T14)
Kesalahan pemilihan data yang direstore
Operator KPKNL Operator Kanwil
Layanan terhenti di sebagian kecil kantor operasional
Rendah (1)
Accept
-
-
-
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
114
Pada Tabel 5.16 diatas dapat dijelaskan bahwa pada setiap skenario risiko disusun keputusan penanganan risiko, penanggung jawab risiko dan rencana kerja untuk melakukan rekomendasi kontrol yang telah ditetapkan. Dalam hal ini terdapat 23 skenario risiko yang dilakukan pengurangan risiko (reduction) dan 15 skenario risiko yang dilakukan penerimaan risiko (accept). Penanggung jawab merupakan pihak yang mempunyai kewajiban untuk melakukan penanganan risiko tersebut. Rencana kerja ditetapkan pada bulan Juli – Desember 2014. Direktorat Jenderal Kekayaan Negara (DJKN) harus melakukan evaluasi, monitoring dan koordinasi yang baik terhadap proses penanganan risiko yang telah ditetapkan terutama dalam implementasi penyusunan rekomendasi kontrol yang bertujuan untuk mengurangi risiko keamanan informasi, dalam hal ini harus dicatat dalam laporan monitoring risiko dan melakukan tindakan korektif apabila terdapat penanganan risiko yang tidak sesuai dengan yang diharapkan.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
115
BAB VI PENUTUP
Bab ini berisi kesimpulan dan saran dari hasil penelitian yang telah dilakukan. Kesimpulan merupakan rangkuman dari penelitian perencanaan manajemen risiko keamanan informasi di DJKN khususnya tentang aplikasi Modul KN. Saran merupakan masukan terhadap proses analisis dan penanganan risiko yang dilakukan oleh DJKN dalam menjalankan proses bisnis untuk mencapai tujuan organisasi. 6.1 Kesimpulan Berdasarkan penelitian yang telah dilakukan, maka perencanaan manajemen risiko keamanan informasi yang tepat bagi DJKN khususnya terhadap aplikasi yang mendukung proses bisnis utama (Modul Kekayaan Negara) adalah mencakup beberapa hal antara lain: a.
Penetapan konteks bersumber dari PMKNo.191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan yaitu terkait kriteria evaluasi risiko, kriteria dampak, kriteria penerimaan risiko dan organisasi manajemen risiko keamanan informasi;
b.
Identifikasi risiko dilakukan dengan melakukan identifikasi aset yang mendukung sistem informasi utama (Modul KN), identifikasi ancaman yang dapat merugikan, identifikasi pengendalian yang ada dan identifikasi kerawanan yang dapat menimbulkan kerugian bagi DJKN;
c.
Estimasi risiko dengan cara melakukan identifikasi tingkat konsekuensi dan identifikasi tingkat kecenderungan terjadinya risiko. Dalam hal ini dibagi menjadi tiga tingkatan yaitu rendah, sedang dan tinggi;
d.
Evalusi risiko dengan cara menghitung nilai risiko sesuai matriks evaluasi risiko dan melakukan prioritas penanganan risiko berdasarkan nilai risiko dari yang tertinggi sampai terendah;
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
116
e.
Penanganan risiko berisi tentang rencana penanganan risiko yang terdiri dari empat opsi yaitu accept, reduction, avoid dan transfer. Untuk mengurangi risiko dengan cara menyusun rekomendasi kontrol sesuai dengan pedoman ISO 27002. Dalam hal ini terdapat 23 skenario risiko yang dilakukan pengurangan risiko (reduction) dan 15 skenario risiko yang dilakukan penerimaan risiko (accept).
f.
Penerimaan risiko berisi tentang keputusan penanganan risiko, penanggung jawab penanganan risiko dan jadwal implementasi rekomendasi kontrol.
6.2 Saran Adapun saran yang dapat dikemukakan sebagai berikut: a.
Direktorat Jenderal Kekayaan Negara (DJKN) harus melakukan evaluasi, monitoring dan koordinasi terhadap proses penanganan risiko yang telah ditetapkan, dalam hal ini harus dicatat dalam laporan monitoring risiko dan melakukan tindakan korektif apabila terdapat penanganan risiko yang tidak sesuai dengan yang diharapkan;
b.
Prosedur dan kebijakan yang disusun oleh DJKN dalam upaya untuk mengurangi risiko keamanan informasi harus disusun sesuai dengan hasil analisis risiko keamanan informasi dan rekomendasi kontrol yang telah ditetapkan sehingga dapat meminimalisir risiko bisnis;
c.
Direktur Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI) sebagai ketua tim keamanan informasi unit eselon I (CISO eselon I) harus berkoordinasi
dan
melakukan
kesepakatan
(Memorandum
of
Understanding/MOU) dengan ketua tim keamanan informasi kementerian keuangan
(CISO Kementerian Keuangan) dalam pengembangan dan
penerapan manajemen risiko keamanan informasi. d.
DJKN perlu menyusun framework risiko yang lebih komprehensif dengan mengumpulkan dan menganalisis berbagai macam risiko yang dapat terjadi pada unit eselon dibawahnya (pemilik risiko) sehingga dapat mengetahui profil risiko secara lengkap.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
117
DAFTAR PUSTAKA
Andress, J. (2011). The Basic of Information Security : Understanding the Fundamental of Infosec in Theory and Practice. Syngress: USA. Committee for Oversight and Assesment (COA) (2005). The Owner’s Role in Project Risk Management. The National Academies Press: USA. Direktorat Jenderal Kekayaan Negara (2010). KEP-38/KN/2010 tentang Rencana Strategis Direktorat Jenderal Kekayaan Negara Tahun 2010 – 2014. Jakarta, Indonesia: DJKN. Direktorat Jenderal Kekayaan Negara (2008). Blue Print TIK DJKN. Jakarta, Indonesia: DJKN. Direktorat Pengelolaan Kekayaan Negara dan Sistem Informasi (2012). Matriks Tindak lanjut Temuan Pemeriksaan Inspektorat Jenderal atas Kegiatan Pengelolaan BMN Tahun 2011 dan 2012. Jakarta, Indonesia : DJKN. Hintzbergen, K. & Smulders, A. (2010). Foundations of Information Security: Based on ISO27001 and ISO27002. Van Haren Publishing: USA. Inspektorat Jenderal (2011). Laporan Hasil Audit Pembangunan Modul Kekayaan Negara pada Direktorat Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI). Jakarta, Indonesia: Inspektorat Jenderal. International Standard Organization (2008). ISO/IEC 27005:2008 - Information Technology – Security Techniques – Information Security Risk Management. Switzerland. International Standard Organization (2005). lSO/IEC 27002:2005 (Information Technology-Security Techniques-Code of Practice for Information Security Management). Switzerland. International Standard Organization (2005). lSO/IEC 27002:2005 (Information Technology-Information Security Management System- Requirement). Switzerland. International Standard Organization (2009). lSO/IEC 31000:2009 (Risk Management-Guidelines on Principles and Implementation of Risk Management). Switzerland. Information System Audit and Control Association (ISACA) (2013). CISM: Review Manual 2013. Rolling Meadows: USA. Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
118
Kementerian Keuangan (2008). PMK No.191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan. Jakarta, Indonesia. Kementerian Keuangan (2007). PMK No.120/PMK.06/2007 tentang Penatausahaan Barang Milik Negara. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Keuangan (2007). PMK No.96/PMK.06/2007 tentang Tata Cara Pelaksanaan Penggunaan, Pemanfaatan, Penghapusan dan Pemindahtanganan Barang Milik Negara. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Keuangan (2010). PMK No.184/PMK.01/2010 tentang Organisasi dan Tata Kerja Kementerian Keuangan. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Keuangan (2012). PMK No.170/PMK.01/2012 tentang Organisasi dan Tata Kerja Instansi Vertikal di Direktorat Jenderal Kekayaan Negara. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Keuangan (2010). KMK No.479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan. Jakarta, Indonesia. Kementerian Keuangan (2010). KMK-40/KMK.01/2010 tentang Rencana Strategis Kementerian Keuangan tahun 2010-2014. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Komunikasi dan Informatika (2007). Permenkominfo Nomor 41/PERMEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional.Jakarta: Indonesia. Lestari, E. (2011). Karya Akhir. Evaluasi Manajemen Risiko Keamanan Informasi Sistem Provisionong Gateway Telkom Flexy. Jakarta: Universitas Indonesia. McIlwraith, A. (2012). Information Security and Employee Behaviour : How to Reduce Risk Through Employee Education, Training and Awareness. Gower Publishing Limited:USA. Natonal Institute of Standard and Technology (NIST) (2002). Risk Management Guide for Information Technology System.USA. Pemerintah Republik Indonesia. (2008). Undang-undang Nomor 60 tahun 2008 tentang Sistem Pengendalian Internal Pemerintah.Jakarta: Indonesia Oktrada, A.L.A. (2012). Karya Akhir. Perancangan Manajemen Resiko Sistem Informasi di Instansi Pemerintah: Studi Kasus Direktorat Jenderal Perkeretaapian. Jakarta : Universitas Indonesia. Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
119
Prasastie, F. (2013). Karya Akhir. Manajemen Resiko Sistem Informasi : Studi Kasus Pusat Komunikasi Kementerian Luar Negeri. Jakarta: Universitas Indonesia. Smith, R.E. (2011). Elementary Information Security. Jones & Bartlett Learning.USA Software Engineering Instistute (2011). Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Catalog of Practise. USA. The European Union Agency for Network and Informastion Security (ENISA). http://rm-inv.enisa.europa.eu/comparison.html. Diakses pada tanggal 4 Maret 2014. Ward, J, & Peppard, J. (2002). Strategic Planning for Information Systems Third Edition. England: John Wiley & Sons, LTD. Whitman, M. & Mattord H. (2013). Principles of Information Security Fourth Edition. Cangage Learning: USA
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
120
LAMPIRAN
A.TRANSKRIP WAWANCARA Transkrip Wawancara dengan Kasubdit Pengelolaan Data dan Layanan Operasional DJKN Narasumber
: I Ketut Puja
Unit Kerja
: Subdit Pengelolaan Data dan Layanan Operasional DJKN
Jabatan
: Kasubdit
Tanggal/Jam
: 4 Februari 2014
SP : Sigit Prasetyo IK : I Ketut Puja
SP :
Selamat Pagi Pak, apa kabar? Mohon waktu sebentar pak untuk wawancara terkait penyusunan tesis.
IK :
Kabar baik mas sigit. Rencana mau ngambil topik apa?
SP :
Rencananya mengambil topik manajemen risiko TI pak
IK :
Wah bagus itu. Kira-kira bentuknya seperti apa?
SP :
Begini pak, pertama melakukan analisis risiko berdasarkan aset informasi terhadap
proses bisnis utama di DJKN kemudian melakukan
penanganan risikonya. IK :
Kalau mau yang dianalisis proses bisnis utama aja yaitu pengelolaan barang milik negara. Itu juga udah banyak prosesnya. Dari poses pengadaan sampai penghapusan BMN
SP :
Permasalahan yang dihadapi apa saja pak?
IK :
Diantaranya kurangnya SDM TI dan kompetensinya.
SP :
Apakah sudah ada perancangan manajemen risiko TI di DJKN?
IK :
Sepertinya belum ada. Coba cek di Blue Print TIK DJKN sepertinya ada penjelasan mengenai risiko. Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
121
SP :
Oh gitu pak. Baik nanti saya cek di Blueprint. Baik Pak, saya rasa sudah cukup. Nanti kalau saya membutuhkan informasi bisa bertanya bapak lagi. Terima kasih Pak.
IK :
Sama-sama.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
122
Transkrip Wawancara dengan Kasi Pengolahan Data dan Layanan Informasi Narasumber
: Salman Paris Muda
Unit Kerja
: Subdit Pengelolaan Data dan Layanan Operasional DJKN
Jabatan
: Kasi
Tanggal/Jam
: 4 dan 27 Maret 2014
SP : Sigit Prasetyo SM : Salman Paris Muda
SP :
Selamat pagi pak, saya ingin berdiskusi tentang pengelolaan data dan informasi di DJKN terkait dengan tesis yang saat ini saya kerjakan. Bagaimana keadaan saat ini?
SM : Untuk saat ini pengelolaan data di DJKN masih terpisah-pisah dikarenakan aplikasi yang ada saat ini seperti seperti Sistem Informasi Manajemen Kepegawaian (SIMPEG), Sistem Informasi Piutang Lelang (SIMPLe), Modul Kekayaan Negara (Modul KN), aplikasi tata persuratan, modul rekonsiliasi BMN dan yang lain belum terintegrasi. SP :
Apakah ada permasalahan terkait hal tersebut?
SM : Seringkali pertukaran data antar aplikasi dilakukan dengan melakukan input ulang sehingga menyebabkan tingkat efektifitasnya menjadi rendah. Dengan data dan informasi yang terpisah-pisah tersebut menjadikan proses pembuatan laporan juga menjadi sulit dan harus dilakukan secara terpisah. SP :
Penyebabnya apa saja pak?
SM : DJKN melakukan pembelian perangkat keras dan pengembangan perangkat lunak pada waktu yang berbeda dan dari vendor yang berbeda. Perbedaan pengembang dan tahun pembuatan jelas berdampak pada kepemilikan sejumlah sistem dengan platform yang berbeda-beda, mulai dari perbedaan teknologi perangkat keras, bahasa pemrograman, sistem pengelola basis data, sistem operasi sampai dengan sistem aplikasi penunjang lainnya. DJKN sebagai satu kesatuan memerlukan integritas Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
123
data dan informasi dari seluruh fungsi baik fungsi utama maupun fungsifungsi pendukung. Namun integritas data dan informasi ini tidak dapat diperoleh melalui sistem yang dimiliki DJKN saat ini karena adanya perbedaan platform. Perbedaan platform menyebabkan terjadinya “pulaupulau” informasi karena setiap sistem tidak dapat berkomunikasi untuk saling berbagi pakai data dan informasi. SP :
Terkait dengan aplikasi kira-kita aplikasi mana yang paling penting di DJKN?
SM : Saya kira aplikasi Modul Kekaan Negara yang paling penting karena berisi tentang pengelolaan BMN yang ada di seluruh Kementerian/Lembaga dan menjadi proses bisnis utama di DJKN SP :
Mengenai
database
Modul
KN
seperti
apa
dan
bagaimana
permasalahannya? SM : Modul KN adalah aplikasi berbasis desktop jadi database tersimpan di laptop tapi kita usahakan agar database tersebut kita arahkan ke server database di masing-masing kantor agar aman dan tidak hilang. Permasalahannya adalah operator KPKNL/Kanwil biasanya masih menggunakan sharing password di servernya padahal sudah kita buatkan user admin dan lainnya. Dampaknya database menjadi terhapus/rusak. SP :
Apakah sudah ada kontrol terkait hal tersebut?
SM : Sepertinya belum ada, saat ini masih berupa himbauan dan teguran. SP :
Baik pak. Sepertinya sudah cukup. Terima kasih.
SM : Sama-sama. --------------------------------------------------------------------------------------------------SP :
Siang Pak. Maaf mengganggu. Saya mau wawancara lagi terkait dengan tingkat dampak terkait manajemen risiko keamanan informasi. Apakah sudah ada standar tentang tingkatan dampak apabila database mengalami permasalahan?
SM : Sampai saat ini belum ada. SP : Kira-kira yang mempunyai dampak paling tinggi terhadap data itu seperti apa? Apakah tingkat ketersediaan data, keutuhan data atau kerahasiaan data? Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
124
SM : Kalau untuk ketersediaan data kan kita bicara tentang jaringan yang menghubungkan antara data dan pengguna, biasanya kita golongkan rendah karena tidak merusak data, untuk yang sedang itu apabila ada kerusakan/kehilangan data tapi kita masih menyimpan backupnya. Sedangkan yang tinggi itu apabila tidak ada backupnya dan data rahasia tersebar. SP : Apakah saat ini pernah terjadi untuk dampak tinggi tersebut? SM : Pernah, data rusak tapi tidak ada backupnya, padahal kita sudah backup otomatis tiap hari nya tapi hasil backupnya error. SP : Untuk data rahasia tersebar bagaimana? SM : Belum pernah ada laporan seperti itu. Ya semoga jangan. SP : Baik Pak. Terima kasih.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
125
Transkrip Wawancara dengan Administrator Modul KN Narasumber
: Aris Suhada Mian
Unit Kerja
: Subdit Perancangan dan Pengembangan Aplikasi
Jabatan
: Pelaksana
Tanggal/Jam
: 4 Maret 2014
SP : Sigit Prasetyo AM : Aris Suhada Mian
SP :
Selamat pagi mas, saya mau bertanya tentang aplikasi Modul KN. Sebenarnya Modul KN itu aplikasi apa dan apa yang menjadi latar belakangnya?
AM : Latar belakang pembuatan Modul KN terkait dengan PMK 120 /PMK.06/2007 tentang Penatausahaan BMN dan PMK 102/PMK.05/2009 tentang Tatacara Rekonsiliasi BMN dalam rangka penyusunan LKPP. Modul KN merupakan aplikasi yang digunakan untuk rekonsiliasi data pengelolaan BMN di SIMAK-BMN dengan data penggunaan anggaran di SAKPA sehingga menghasilkan neraca yang seimbang. SP : Apa saja permasalahan yang dihadapi? AM : Update aplikasi Modul KN sering dilakukan dikarenakan tiap tahun selalu ada perubahan proses bisnis misalnya tahun kemarin adanya pergantian kode barang terkait dengan Perubahan PMK Nomor: 97/PMK.06/1997 menjadi PMK Nomor: 29/PMK.06/2010 tentang Penggolongan dan Kodefikasi BMN SP : Dampaknya apa mas? AM : Kita harus cepat membuat update aplikasi Modul KN, namun karena terbatasnya waktu dan sumberdaya masih terdapat error di aplikasi tersebut sehingga menyulitkan operator di KPKNL/Kanwil. SP : Permasalahan apalagi yang ditemui?
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
126
AM : Kebetulan saya punya lembar hasil audit terkait pembangunan Modul KN yang dilakukan oleh
Inspektorat Jenderal, disitu banyak sekali
permasalahan Modul KN. SP : Baik pak nanti saya minta salinannya, terkait dengan penggunaan Modul KN di KPKNL/Kanwil apakah ada permasalahan? AM : Ada yang mengoperasikan Modul KN tidak sesuai prosedur misalnya menggunakan user orang lain sehingga menyebabkan data menjadi tidak sesuai SP : Apakah sudah ada kontrol? AM : Kita berikan sanksi nantinya sesuai di Perdirjen 07 tapi saat ini masih belum ditetapkan. SP : Dampaknya seperti apa? AM : Keterlambatan pelaporan sehingga menyebabkan satker harus bolak balik ke kantor terkait dengan data dan sehingga memperlambat pelayanan dan proses kerja lebih lama. SP : Apakah dampak secara finansial? AM : Sampai saat ini belum ada. SP : Apakah sudah ada prosedur pengoperasian Modul KN? AM : Sudah ada. Kita berikan manual instalasi dan cara pengoperasian Modul KN. Bahkan kita sering memberikan pelatihan pengoperasian Modul KN ke tiap daerah. SP : Apakah ada keluhan dari user terkait aplikasi Modul KN? AM : Terkait dengan aplikasi yang masih berbabasis desktop sehingga harus instalasi sistemnya di laptop/PC. Kadang ada yang berhasil ada yang tidak. Sehingga menyulitkan kinerja mereka. SP : Baik mas. Itu saja barangkali yang saya tanyakan. Terima kasih AM : Sama-sama.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
127
Transkrip Wawancara dengan Pranata Komputer DJKN Narasumber
: Arizal Fauzi
Unit Kerja
: Subdit Pengolahan Data dan Layanan Operasional
Jabatan
: Pelaksana
Tanggal/Jam
: 4 Maret 2014
SP : Sigit Prasetyo AF : Arizal Fauzi
SP :
Siang mas. Saya ingin menanyakan tentang infrastruktur terkait dengan aplikasi Modul KN. Bagaimana tentang kondisi jaringannya?
AF :
Sekarang ini untuk jaringan menggunakan VPN Pusintek Sekjen melalui operator Telkom.
SP :
Apakah ada permasalahan?
AF : Biasanya respon time yang tinggi dikarenakan banyaknya bandwith yang digunakan dan adanya kondisi daerah yang jauh terutama di daerah timur dikarenakan masih menggunakan satelit. SP :
Dampaknya seperti apa?
AF :
Proses pengiriman data menjadi lambat dan kadang gagal. Makanya kita berikan server database di tiap kantor untuk menyimpan data dan dari kantor pusat dapat mengambil data tersebut sewaktu-waktu apabila dibutuhkan.
SP :
Terkait dengan database di server apakah ada permasalahan?
AF : Kalau database di server pusat jarang sekali terjadi permasalahan sedangkan di kantor daerah sering terjadi, misalnya database yang tiba-tiba drop sehingga menyebabkan data hilang/rusak. SP :
Penyebabnya apa?
AF :
Kadang user menggunakan password root sehingga dapat merubah data padahal sudah kita anjurkan untuk menggunakan user masing-masing.
SP :
Dari sisi hardware bagaimana?
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
128
AF :
User tidak memantau kapasitas hard disk di server sehingga kaspasitas penuh dan tidak bisa diakses. Untuk daerah timur biasanya ada masalah listrik sehingga dapat merusak server.
SP :
Apakah sering terjadi?
AF :
Sering terjadi, makanya kita akan gunakan monitoring jaringan dan kapasitas server untuk memantau keadaan di daerah. Kalau mau lebih jelasnya bisa di cek di web layanan helpdesk tik djkn. Disana banyak mencatat permasalahan baik aplikasi, jaringan, hardware maupun software yang berkaitan dengan Modul KN.
SP :
Baik mas. Nanti saya coba untuk meminta datanya. Terima kasih.
AF :
Sama-sama.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
129
Transkrip Wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi Narasumber
: Agus Setyo Pambudi
Unit Kerja
: Subdit Pengolahan Data dan Layanan Operasional
Jabatan
: Kasi
Tanggal/Jam
: 27 Maret dan 16 April 2014
SP : Sigit Prasetyo AP : Agus Setyo Pambudi
SP :
Selamat siang Pak. Mohon kesediaan waktunya untuk wawancara terkait manajemen risiko di DJKN. Setelah saya membaca PMK 191 tahun 2008, siapa yang ditunjuk sebagai ketua manajemen risiko?
AP : DJKN telah menunjuk sekretaris DJKN sebagai ketua manajemen risiko dan Direktur PKNSI sebagai anggota komite manajemen risiko. SP :
Menurut PMK 191 tahun 2008 bahwa setiap unit eselon I wajib membuat laporan manajemen risiko setiap 6 bulan. Apakah DJKN sudah melakukan hal itu?
AP : DJKN pada semester I tahun ini sudah membuat laporan manajemen risiko yang dibuat di tiap unit eselon II. Isinya berupa analis risiko berdasarkan sasaran kerja tiap unit, kemudian ditentukan risiko apa yang sudah atau mungkin terjadi selanjutnya menentukan penyebab timbulnya risiko tersebut. SP : Proses terakhir sampai tahap apa pak? AP :
Sebenarnya sampai tahap monitoring dan koreksi namun karena kita baru membuat pada semester ini jadi hanya sampai tahap penanganan risiko.
SP : Apakah ada analisi tentang penanganan risiko? AP : Nah sebelum proses itu harus ditentukan dulu seberapa besar dampak yang terjadi dan sejauh mana kecenderungannya. Kalau mau lihat saya ada contoh laporannya.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
130
SP : Prosesnya mirip dengan analisis yang saya kerjakan di penelitian saya pak. Bagaimana menentukan tingkat dampak dan kecenderungannya? AP : Kita melakukan rapat di lingkungan unit eselon II untuk menentukan tingkat dampak tersebut. SP :
Di PMK sebenarnya ada definisi tingkat dampak dan kecenderungan pak tapi saya rasa terlalu umum masih kurang jelas.
AP : Makanya kita tentukan tingkat tersebut dengan melalui rapat tadi dengan diskusi penentuan tingkatannya. SP :
Begini pak, saya sebenernya juga ingin membuat tingkat dampak dan kecenderungan tapi belum punya gambaran terkait tesis saya tentang manajemen risiko keamanan informasi di Modul KN. Kira-kira tingkat dampak untuk Modul KN itu seperti apa? Kita kan punya sekitar 95 kantor operasional apakah bisa ditentukan?
AP : Sebenarnya bisa kita tentukan sendiri berdasarkan pengalaman kejadian masa lalu, terkait aplikasi Modul KN kalau ada permasalahan kurang dari 5 kantor operasional biasanya masih rendah, bila sampai sekitar 20-25 kantor kita golongkan sedang tapi kalo lebih dari itu tinggi. SP : Apakah sudah ada standar semacam itu pak? AP : Untuk saat ini belum ada. SP :
Kalau terkait dengan availability seperti apa pak? Misalnya tingkat availability dari layanan pendukung aplikasi Modul KN?
AP : Itu juga belum ada standarnya. Biasanya kalau rendah itu misalnya gangguan di pagi hari maksimal siang sebelum istirahat sudah selesai, kalau sedang itu selesai satu hari kerja, tinggi biasanya lebih dari 1 hari jam. SP : Untuk saat ini standar apa saja yang sudah ditetapkan? AP : Standar pemasangan jaringan, penamaan komputer, pembangunan data center di kantor operasional. Istilahnya masih banyak di bidang hardware. SP : Terkait dengan pengurangan risiko dimana harus terdapat kontrol tambahan, kira-kira seperti apa kriteria kontrol tersebut? AP : Harus terdapat dukungan dana dan unit yang bertanggung jawab, efektif dan efisien, tidak mengganggu proses bisnis dan terdapat manfaat. Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
131
SP : Oh iya pak. terkait dengan implementasi kontrol tambahan, apakah di kantor pusat dan kantor operasional terdapat dana untuk membiayai hal tersebut? AP :
Pasti ada. Kalau tidak salah saya dapat informasi di pusat itu di PKNSI anggaran untuk perawatan TI sekitar Rp 15 milyar untuk tahun ini. Untuk sosialisasi kurang lebih Rp 500 juta. Untuk di kantor operasional kira-kira Rp 100 juta untuk perawatan TI.
--------------------------------------------------------------------------------------------------SP : Begini Pak, terkait dengan laporan manajemen risiko semester I DJKN tahun 2014 apakah ada sasaran strategis yang menyinggung tentang keamanan informasi? AP : Sasaran strategis itu mempunyai risiko yang bersifat strategis maupun operasional. Kalau risiko strategis biasanya berhubungan dengan stakeholder di Kementerian/Lembaga.
Sedangkan
risiko
operasional
biasanya berhubungan dengan proses bisnis yang ada di DJKN. SP :
Kalau saya lihat ada di sasaran strategis yaitu pengelolaan dan pengembangan TIK yang optimal pak.
AP : Nah itu bisa terjadi keterkaitan. SP : Tapi di kriteria evaluasi risiko yang digunakan itu bersifat kuantitatif pak yaitu jumlah pembangunan sistem informasi yang tidak terlaksana. Saya rasa kriterianya kurang pas pak. Memangnya kalau sudah membangun sistem informasi secara otomatis mendukung proses bisnis pak? AP : Memang kurang pas sih. Harusnya ada kriteria secara kualitatif mas. Bukannya mas sudah membuat kriteria evaluasi risiko tentang Modul KN? SP : Sudah Pak. AP : Itu saja dipakai dulu. Nanti semester depan kan kita buat laporan manajemen risiko lagi dan sebaiknya ditambahkan di kriteria secara kualitatif. SP : Terkait dengan risiko residual yang diharapkan seperti apa pak? Saya lihat di laporan nilai risikonya rendah yang terdiri dari nilai dampak sedang dan nilai kecenderungan rendah.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
132
AP : Hasil keputusan nilai residual yang diharapkan rendah kan hasil dari Forum Group Discussion (FGD) dari perwakilan unit eselon II di DJKN mas. Saya kira pakai patokan itu saja. SP : Baik pak. Saya rasa sudah cukup. Terima Kasih pak.
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
133
B. REKAP HELPDESK TIK DJKN Rekap Helpdesk tahun 2010
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
134 Rekap Helpdesk tahun 2011
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
135 Rekap Helpdesk tahun 2012
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
136 Rekap Helpdesk tahun 2013
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
137
C. MATRIKS EVALUASI RISIKO Tabel C.1 Matriks evaluasi risiko untuk A1 dan T1 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.2 Matriks evaluasi risiko untuk A1 dan T2 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.3 Matriks evaluasi risiko untuk A1 dan T3 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.4 Matriks evaluasi risiko untuk A2 dan T4 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10 Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
138
Tabel C.5 Matriks evaluasi risiko untuk A3 dan T3 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.6 Matriks evaluasi risiko untuk A3 dan T5 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.7 Matriks evaluasi risiko untuk A4 dan T3 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.8 Matriks evaluasi risiko untuk A4 dan T5 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10 Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
139
Tabel C.9 Matriks evaluasi risiko A5 dan T3 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.10 Matriks evaluasi risiko untuk A5 dan T6 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.11 Matriks evaluasi risiko untuk A6 dan T3 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.12 Matriks evaluasi risiko untuk A6 dan T6 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
140
Tabel C.13 Matriks evaluasi risiko untuk A7 dan T3 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.14 Matriks evaluasi risiko untuk A7 dan T6 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.15 Matriks evaluasi risiko untuk A8 dan T3 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.16 Matriks evaluasi risiko untuk A9 dan T7 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10 Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
141
Tabel C.17 Matriks evaluasi risiko untuk A10 dan T1 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.18 Matriks evaluasi risiko untuk A10 dan T8 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.19 Matriks evaluasi risiko untuk A11 dan T1 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.20 Matriks evaluasi risiko untuk A12 dan T3 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
142
Tabel C.21 Matriks evaluasi risiko untuk A13 dan T3 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.22 Matriks evaluasi risiko untuk A14 dan T8 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.23 Matriks evaluasi risiko untuk A15 dan T9 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.24 Matriks evaluasi risiko untuk A15 dan T1 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
143
Tabel C.25 Matriks evaluasi risiko untuk A16 dan T9 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.26 Matriks evaluasi risiko untuk A16 dan T1 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.27 Matriks evaluasi risiko untuk A17 dan T1 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.28 Matriks evaluasi risiko untuk A18 dan T10 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
144
Tabel C.29 Matriks evaluasi risiko untuk A18 dan T11 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.30 Matriks evaluasi risiko untuk A19 dan T12 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.31 Matriks evaluasi risiko untuk A19 dan T13 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.32 Matriks evaluasi risiko untuk A20 dan T11 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
145
Tabel C.33 Matriks evaluasi risiko untuk A21 dan T12 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.34 Matriks evaluasi risiko untuk A22 dan T13 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.35 Matriks evaluasi risiko untuk A23 dan T13 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.36 Matriks evaluasi risiko untuk A24 dan T13 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
146
Tabel C.37 Matriks evaluasi risiko untuk A25 dan T8 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Tabel C.38 Matriks evaluasi risiko untuk A26 dan T14 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)
Rendah (10)
Sedang (50)
Tinggi (100)
Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1
Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5
Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
147
Tabel C.39 Nilai risiko dari tiap skenario No
Skenario
Dampak
Kecenderungan
Nilai Risiko
1
A1 dan T1
Tinggi(100)
Sedang(0.5)
Sedang(50)
2
A1 dan T2
Tinggi(100)
Sedang(0.5)
Sedang(50)
3
A1 dan T3
Tinggi(100)
Sedang(0.5)
Sedang(50)
4
A2 dan T4
Tinggi(100)
Sedang(0.5)
Sedang(50)
5
A3 dan T5
Tinggi(100)
Sedang(0.5)
Sedang(50)
6
A3 dan T6
Sedang(50)
Sedang(0.5)
Sedang(25)
7
A4 dan T7
Sedang(50)
Rendah(0.1)
Rendah(5)
8
A4 dan T8
Sedang(50)
Rendah(0.1)
Rendah(5)
9
A5 dan T9
Sedang(50)
Rendah(0.1)
Rendah(5)
10
A5 dan T10
Sedang(50)
Rendah(0.1)
Rendah(5)
11
A6 dan T11
Sedang(50)
Rendah(0.1)
Rendah(5)
12
A6 dan T12
Sedang(50)
Rendah(0.1)
Rendah(5)
13
A7 dan T13
Sedang(50)
Sedang(0.5)
Sedang(25)
14
A7 dan T14
Sedang(50)
Sedang(0.5)
Sedang(25)
15
A8 dan T15
Sedang(50)
Sedang(0.5)
Sedang(25)
16
A9 dan T16
Rendah(10)
Sedang(0.5)
Rendah(5)
17
A10 dan T17
Sedang(50)
Sedang(0.5)
Sedang(25)
18
A10 dan T18
Sedang(50)
Sedang(0.5)
Sedang(25)
19
A11 dan T19
Sedang(50)
Sedang(0.5)
Sedang(25)
20
A12 dan T20
Sedang(50)
Sedang(0.5)
Sedang(25)
21
A13 dan T21
Sedang(50)
Tinggi(1.0)
Sedang(50)
22
A14 dan T22
Sedang(50)
Tinggi(1.0)
Sedang(50)
23
A15 dan T23
Tinggi(100)
Rendah(0.1)
Rendah(10)
24
A15 dan T24
Tinggi(100)
Rendah(0.1)
Rendah(10)
25
A16 dan T25
Tinggi(100)
Rendah(0.1)
Rendah(10)
26
A16 dan T26
Tinggi(100)
Rendah(0.1)
Rendah(10)
27
A17 dan T27
Sedang(50)
Rendah(0.1)
Rendah(5)
28
A18 dan T28
Tinggi(100)
Rendah(0.1)
Rendah(10)
29
A18 dan T29
Tinggi(100)
Rendah(0.1)
Rendah(10)
30
A19 dan T30
Sedang(50)
Rendah(0.1)
Rendah(5)
31
A19 dan T31
Sedang(50)
Rendah(0.1)
Rendah(5)
32
A20 dan T32
Tinggi(100)
Rendah(0.1)
Rendah(10)
33
A21 dan T33
Sedang(50)
Rendah(0.1)
Rendah(5)
34
A22 dan T34
Tinggi(100)
Rendah(0.1)
Rendah(10)
35
A23 dan T35
Sedang(50)
Rendah(0.1)
Rendah(5)
36
A24 dan T36
Sedang(50)
Rendah(0.1)
Rendah(5)
37
A25dan T37
Sedang(50)
Rendah(0.1)
Rendah(5)
38
A26 dan T38
Rendah (10)
Rendah(0.1)
Rendah(1)
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014
148
Universitas Indonesia
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014