UNIVERSITAS INDONESIA

UNIVERSITAS INDONESIA

PERENCANAAN MANAJEMEN RISIKO KEAMANAN INFORMASI: STUDI KASUS APLIKASI MODUL KEKAYAAN NEGARA DIREKTORAT JENDERAL KEKAYAAN NEGARA KEMENTERIAN KEUANGAN

KARYA AKHIR

SIGIT PRASETYO 1206194902

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JULI 2014

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

UNIVERSITAS INDONESIA

PERENCANAAN MANAJEMEN RISIKO KEAMANAN INFORMASI: STUDI KASUS APLIKASI MODUL KEKAYAAN NEGARA DIREKTORAT JENDERAL KEKAYAAN NEGARA KEMENTERIAN KEUANGAN

KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi

SIGIT PRASETYO 1206194902 HALAMAN JUDUL

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JULI 2014


HALAMAN PERNYATAAN ORISINALITAS

ii


HALAMAN PENGESAHAN

iii


KATA PENGANTAR Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa, karena atas berkat dan rahmat-Nya, penulis dapat menyelesaikan Karya Akhir ini. Penulisan Karya Akhir dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer – Universitas Indonesia. Penulis menyadari bahwa, tanpa bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada penyusunan karya akhir ini, sangatlah sulit bagi penulis untuk menyelesaikannya. Oleh karena itu, penulis mengucapkan terimakasih kepada: 1. Bapak Yudho Giri Sucahyo M.Kom., Ph.D dan Muh. Kasfu Hammi S.Kom., MTI selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan dalam penyusunan Karya Akhir ini. 2. Dosen Penguji yang telah menguji dan memberikan saran dan perbaikan pada Karya Akhir ini. 3. Direktorat Jenderal Kekayaan Negara (DJKN) yang telah memberikan bantuan beasiswa. 4. Istri tercinta, Andry Muji Asbiyanti, yang telah memberikan pengertian, perhatian, dukungan, dan semangat yang telah diberikan pada penulis. 5. Kedua orang tua tercinta, yang telah memberikan dukungan, doa, dan perhatian yang telah diberikan kepada penulis. 6. Staf di Magister Teknologi Informasi, yang telah membantu kelancaran perkuliahan dan Karya Akhir. 7. Teman – teman di MTI 2012SA, yang telah membantu melewati masa kuliah. Akhir kata, semoga Allah SWT membalas semua kebaikan dan bantuan yang telah diberikan dengan pahala yang berlipat ganda. Semoga Karya Akhir ini memberikan manfaat bagi pengembangan ilmu pada umumnya dan bagi penulis pada khususnya. Jakarta, 16 Juni 2014 Penulis

iv


HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS

v


ABSTRAK

Nama : Sigit Prasetyo Program Studi : Magister Teknologi Informasi Judul Karya Akhir : Perencanaan Manajemen Risiko Keamanan Informasi: Studi Kasus Aplikasi Modul Kekayaan Negara Direktorat Jenderal Kekayaan Negara Kementerian Keuangan Kementerian Keuangan khususnya Direktorat Jenderal Kekayaan Negara (DJKN) merupakan salah satu organisasi yang bertugas untuk melakukan pengelolaan barang milik negara dan melakukan peningkatan pelayanan terhadap stakeholder dengan menggunakan teknologi informasi sebagai elemen pendukungnya. Untuk mewujudkan database nilai kekayaan negara yang kredibel sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat, dan dapat digunakan untuk proses pengambilan keputusan bagi pimpinan Kementerian Keuangan maka dibutuhkan suatu perencanaan manajemen risiko keamanan informasi terhadap sistem informasi utama yang mendukung proses bisnis DJKN. Penelitian ini bertujuan untuk menyusun perencanaan manajemen risiko keamanan informasi untuk DJKN khususnya terhadap aplikasi yang mendukung proses bisnis utama yaitu aplikasi Modul KN dengan menggunakan framework ISO 27005 dan ISO 27002 untuk penanganan pengurangan risiko. Hasil yang didapat dari penelitian ini adalah perencanaan manajemen risiko keamanan informasi yang berupa dokumen penanganan risiko, rekomendasi kontrol untuk mengurangi risiko dan penerimaan risiko yang berisi tentang keputusan penanganan risiko serta penanggung jawab penanganan risiko. Kata Kunci : Manajemen Risiko, Keamanan Informasi, ISO 27005, ISO 27002

vi

Universitas Indonesia


ABSTRAC

Name Program of Study Topic

: Sigit Prasetyo : Magister Teknologi Informasi : Information Security Risk Management Planning: A Case Study at Application Module of State Asset, Directorate General of State Asset, Ministry of Finance

Ministry of Finance in particular the Directorate General of State Asset (DJKN) is one organization that is tasked to undertake the management of state asset and improved services to stakeholders using information technology as a supporting element . To realize the value database of state asset into a credible executive information intact, timely, accurate and can be used for decision making process for the leadership of the Ministry of Finance then needed an information security risk management plan to the main information systems that support business processes DJKN . This research aimed to develop an information security risk management plan for DJKN particularly to applications that support key business processes that called state assets module applications using the framework of ISO 27005 and ISO 27002 for risk reduction management. The results obtained from this research is the information security risk management plan that contains the document mitigation risk, control recommendations to reduce risk and acceptance of risk which contains risk management decisions also the person in charge of mitigation risk. Key Words :

Risk Management, Information Security, ISO 27005, ISO 27002

vii



DAFTAR ISI

HALAMAN JUDUL .............................................................................................. i HALAMAN PERNYATAAN ORISINALITAS ................................................ ii HALAMAN PENGESAHAN .............................................................................. iii KATA PENGANTAR .......................................................................................... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI.......................... v KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS .............................. v ABSTRAK ............................................................................................................ vi ABSTRAC............................................................................................................ vii DAFTAR ISI ....................................................................................................... viii DAFTAR GAMBAR ............................................................................................. x DAFTAR TABEL ................................................................................................ xi BAB I PENDAHULUAN ...................................................................................... 1 1.1 Latar Belakang .............................................................................................. 1 1.2 Perumusan Masalah ..................................................................................... 10 1.3 Pertanyaan Penelitian .................................................................................. 11 1.4 Tujuan Penelitian ......................................................................................... 11 1.5 Manfaat Penelitian ....................................................................................... 11 1.6 Batasan Penelitian ....................................................................................... 12 1.7 Sistematika Penulisan .................................................................................. 12 BAB II LANDASAN TEORI ............................................................................. 13 2.1 Keamanan Informasi ................................................................................... 13 2.2 Risiko........................................................................................................... 15 2.3 Manajemen Risiko ....................................................................................... 15 2.4 Perencanaan Manajemen Risiko.................................................................. 15 2.5 Metode Penelitian Manajemen Risiko Keamanan Informasi ...................... 16 2.5.1 ISO 27005 ............................................................................................. 16 2.5.2 NIST SP 800-30 .................................................................................... 23 2.5.3 OCTAVE .............................................................................................. 26 2.6 Perbandingan Metode Perancangan Manajemen Risiko ............................. 29 2.7 Penelitian Sejenis Sebelumnya .................................................................... 30 2.8 Kerangka Pemikiran (Theoritical Framework) ........................................... 31 BAB III METODOLOGI PENELITIAN ......................................................... 34 3.1 Alur Penelitian ............................................................................................. 34 3.2 Metode Pengumpulan Data ......................................................................... 35 3.3 Metode Analisis Data ................................................................................. 36 BAB IVPROFIL ORGANISASI........................................................................ 37 4.1 Sejarah Singkat DJKN................................................................................ 37 4.2 Visi, Misi dan Tugas Organisasi ................................................................ 38 4.3 Sasaran Strategis Organisasi ...................................................................... 39 4.4 Struktur Organisasi ..................................................................................... 40 4.5 Rincian tugas tiap Direktorat ...................................................................... 41 4.6 Penerapan Manajemen Risiko di DJKN ...................................................... 42 BAB V ANALISIS DAN PEMBAHASAN ........................................................ 46 5.1 Penetapan Konteks ..................................................................................... 47 viii



5.1.1 Kriteria Dasar Pengelolaan Risiko ........................................................ 47 5.1.2 Ruang Lingkup Perencanaaan Manajemen Risiko Keamanan Informasi ........................................................................................................ 50 5.1.3 Organisasi Manajemen Risiko Keamanan Informasi .......................... 55 5.2 Penilaian Risiko .......................................................................................... 57 5.2.1 Identifikasi Risiko ................................................................................. 57 5.2.2 Estimasi Risiko ..................................................................................... 67 5.3 Evaluasi Risiko ............................................................................................ 74 5.4 Penanganan Risiko ...................................................................................... 77 5.4.1 Mengurangi risiko ................................................................................. 77 5.4.2 Mempertahankan risiko ........................................................................ 78 5.4.3 Menghindari risiko................................................................................ 78 5.4.4 Mentransfer risiko ................................................................................. 78 5.5 Penerimaan Risiko ..................................................................................... 103 BAB VI PENUTUP ........................................................................................... 115 6.1 Kesimpulan ................................................................................................ 115 6.2 Saran .......................................................................................................... 116 DAFTAR PUSTAKA ........................................................................................ 117 LAMPIRAN ....................................................................................................... 120 A.TRANSKRIP WAWANCARA................................................................... 120 B. REKAP HELPDESK TIK DJKN ............................................................... 133 C. MATRIKS EVALUASI RISIKO ............................................................... 137

ix



DAFTAR GAMBAR

Gambar 1.1 Pie Chart Permasalahan layanan TIK DJKN ...................................... 8 Gambar 1.2 Gap Analysis TIK DJKN..................................................................... 9 Gambar 1.3 Analisis Fishbone .............................................................................. 10 Gambar 2.1 Model PDCA pada proses SMKI ...................................................... 14 Gambar 2.2 Proses Manajemen Risiko ISO 27005 ............................................... 18 Gambar 2.3 Proses Penanganan Risiko ................................................................. 20 Gambar 2.4 Proses Manajemen Risiko NIST 800-30 ........................................... 24 Gambar 2.5 Proses Manajemen Risiko OCTAVE ................................................ 27 Gambar 2.6 Kerangka Pemikiran .......................................................................... 32 Gambar 3.1 Metodologi Penelitian ....................................................................... 34 Gambar 4.1 Struktur organisasi kantor pusat ........................................................ 40 Gambar 4.2 Struktur organisasi kantor wilayah .................................................... 40 Gambar 4.3 Struktur organisasi KPKNL .............................................................. 41 Gambar 5.1 Proses Perencanaan Manajemen Risiko Keamanan Informasi ......... 46 Gambar 5.2 Proses bisnis pengelolaan BMN ........................................................ 51 Gambar 5.3 Pemetaan aplikasi di DJKN............................................................... 52 Gambar 5.4 Grid McFarlan .................................................................................. 52 Gambar 5.5 Proses bisnis aplikasi Modul KN ...................................................... 54 Gambar 5. 6 Arsitektur teknologi informasi aplikasi Modul KN ......................... 54 Gambar 5.7 Struktur organisasi manajemen risiko keamanan informasi di DJKN ............................................................................................................................... 56

x



DAFTAR TABEL

Tabel 1.1 Rangkuman Permasalahan Layanan TIK DJKN .................................... 7 Tabel 2.1 Penjelasan proses SMKI ....................................................................... 14 Tabel 2.2 Keselarasan antara proses SMKI dengan proses MRKI ....................... 23 Tabel 2.3 Perbandingan metode manajemen risiko keamanan informasi ............. 29 Tabel 4.1 Rincian tugas tiap Direktorat ................................................................ 42 Tabel 4.2 Laporan Profil Risiko DJKN semester 1 tahun 2014............................ 43 Tabel 4.3 Laporan Penanganan Risiko DJKN semester 1 tahun 2014 ................. 44 Tabel 5.1Kriteria Dampak ..................................................................................... 48 Tabel 5.2 Tingkat kecenderungan risiko ............................................................... 48 Tabel 5.3 Kriteria penerimaan risiko .................................................................... 49 Tabel 5.4 Kriteria risiko yang harus ditransfer ..................................................... 50 Tabel 5.5 Matriks selera risiko .............................................................................. 50 Tabel 5.6 Rincian aset pada Modul KN ................................................................ 58 Tabel 5.7 Identifikasi ancaman tiap aset ............................................................... 60 Tabel 5.8 Identifikasi kontrol yang sudah ada ...................................................... 62 Tabel 5.9 Identifikasi kerawanan tiap aset ............................................................ 64 Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset .................. 68 Tabel 5.11 Matriks penentuan tingkatan evaluasi risiko ....................................... 74 Tabel 5.12 Matrik nilai evaluasi risiko ................................................................. 75 Tabel 5.13 Prioritas risiko berdasarkan nilai risiko .............................................. 76 Tabel 5.14 Analisis Penanganan Risiko ................................................................ 80 Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol .............................................................................................. 96 Tabel 5.16 Analisis Penerimaan Risiko .............................................................. 104 Tabel C.1 Matriks evaluasi risiko untuk A1 dan T1 ........................................... 137 Tabel C.2 Matriks evaluasi risiko untuk A1 dan T2 ........................................... 137 Tabel C.3 Matriks evaluasi risiko untuk A1 dan T3 ........................................... 137 Tabel C.4 Matriks evaluasi risiko untuk A2 dan T4 ........................................... 137 Tabel C.5 Matriks evaluasi risiko untuk A3 dan T3 ........................................... 138 Tabel C.6 Matriks evaluasi risiko untuk A3 dan T5 ........................................... 138 Tabel C.7 Matriks evaluasi risiko untuk A4 dan T3 ........................................... 138 Tabel C.8 Matriks evaluasi risiko untuk A4 dan T5 ........................................... 138 Tabel C.9 Matriks evaluasi risiko A5 dan T3 ..................................................... 139 Tabel C.10 Matriks evaluasi risiko untuk A5 dan T6 ......................................... 139 Tabel C.11 Matriks evaluasi risiko untuk A6 dan T3 ......................................... 139 Tabel C.12 Matriks evaluasi risiko untuk A6 dan T6 ......................................... 139 Tabel C.13 Matriks evaluasi risiko untuk A7 dan T3 ......................................... 140 Tabel C.14 Matriks evaluasi risiko untuk A7 dan T6 ......................................... 140 Tabel C.15 Matriks evaluasi risiko untuk A8 dan T3 ......................................... 140 Tabel C.16 Matriks evaluasi risiko untuk A9 dan T7 ......................................... 140 Tabel C.17 Matriks evaluasi risiko untuk A10 dan T1 ....................................... 141 Tabel C.18 Matriks evaluasi risiko untuk A10 dan T8 ....................................... 141 Tabel C.19 Matriks evaluasi risiko untuk A11 dan T1 ....................................... 141 xi



Tabel C.20 Matriks evaluasi risiko untuk A12 dan T3 ....................................... 141 Tabel C.21 Matriks evaluasi risiko untuk A13 dan T3 ....................................... 142 Tabel C.22 Matriks evaluasi risiko untuk A14 dan T8 ....................................... 142 Tabel C.23 Matriks evaluasi risiko untuk A15 dan T9 ....................................... 142 Tabel C.24 Matriks evaluasi risiko untuk A15 dan T1 ....................................... 142 Tabel C.25 Matriks evaluasi risiko untuk A16 dan T9 ....................................... 143 Tabel C.26 Matriks evaluasi risiko untuk A16 dan T1 ....................................... 143 Tabel C.27 Matriks evaluasi risiko untuk A17 dan T1 ....................................... 143 Tabel C.28 Matriks evaluasi risiko untuk A18 dan T10 ..................................... 143 Tabel C.29 Matriks evaluasi risiko untuk A18 dan T11 ..................................... 144 Tabel C.30 Matriks evaluasi risiko untuk A19 dan T12 ..................................... 144 Tabel C.31 Matriks evaluasi risiko untuk A19 dan T13 ..................................... 144 Tabel C.32 Matriks evaluasi risiko untuk A20 dan T11 ..................................... 144 Tabel C.33 Matriks evaluasi risiko untuk A21 dan T12 ..................................... 145 Tabel C.34 Matriks evaluasi risiko untuk A22 dan T13 ..................................... 145 Tabel C.35 Matriks evaluasi risiko untuk A23 dan T13 ..................................... 145 Tabel C.36 Matriks evaluasi risiko untuk A24 dan T13 ..................................... 145 Tabel C.37 Matriks evaluasi risiko untuk A25 dan T8 ....................................... 146 Tabel C.38 Matriks evaluasi risiko untuk A26 dan T14 ..................................... 146 Tabel C.39 Nilai risiko dari tiap skenario ........................................................... 147

xii



1

BAB I PENDAHULUAN

Pada bab ini menjelaskan mengenai latar belakang penulisan penelitian terhadap kondisi terkini organisasi di Direktorat Jenderal Kekayaan Negara (DJKN), melakukan analisis permasalahan yang dihadapi sehingga menghasilkan perumusan masalah, menentukan ruang lingkup, tujuan, manfaat dan sistematika penulisan. 1.1 Latar Belakang Direktorat Jenderal Kekayaan Negara merupakan unit eselon 1 di lingkungan Kementerian Keuangan berdasarkan Peraturan Presiden Nomor 66 Tahun 2006 tentang Perubahan Keempat atas Peraturan Presiden Nomor 10 Tahun 2005 tentang Unit Organisasi dan Tugas Eselon I Kementerian Republik Indonesia. Direktorat Jenderal Kekayaan Negara mempunyai tugas merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara, piutang negara, dan lelang. Dalam melaksanakan tugas yang dibebankan kepada Direktorat Jenderal Kekayaan Negara, maka ditetapkan visi DJKN, yaitu: ”Menjadi Pengelola Kekayaan Negara, Piutang Negara dan Lelang yang profesional dan bertanggung jawab untuk sebesar-besar kemakmuran rakyat”. Profesional adalah bahwa tugas-tugas pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelayanan lelang dilaksanakan sesuai standar profesi dan standar keilmuan yang telah ditetapkan. Bertanggung jawab adalah bahwa pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelaksanaan lelang dilakukan secara transparan dan dapat dipertanggungjawabkan sesuai dengan ketentuan peraturan perundangundangan yang berlaku. Untuk sebesar-besar kemakmuran rakyat, merupakan cita-cita dan arah dari tujuan akhir pengelolaan kekayaan negara sesuai dengan jiwa Pasal 33 Undang-Undang Dasar Republik Indonesia tahun 1945.



2

Untuk merealisasikan visi yang telah ditetapkan, maka Direktorat Jenderal Kekayaan Negara menetapkan misi antara lain: a.

Mewujudkan

optimalisasi

penerimaan,

efisiensi

pengeluaran

dan

efektivitas pengelolaan kekayaan negara; b.

Mengamankan kekayaan negara secara fisik, administrasi dan hukum;

c.

Mewujudkan nilai kekayaan negara yang wajar dan dapat dijadikan acuan dalam berbagai keperluan;

d.

Melaksanakan

pengurusan

piutang

negara

yang

efektif,

efisien,

transparan dan akuntabel; e.

Mewujudkan lelang yang efektif, efisien, transparan, akuntabel, adil dan kompetitif sebagai instrumen jual beli yang mampu mengakomodasi kepentingan masyarakat.

Pada tahun 2008 telah disusun Blue Print (Cetak Biru) TIK DJKN yang bertujuan sebagai rujukan dalam pengembangan dan implementasi TIK di DJKN selama 5 tahun yaitu tahun 2008 – 2012. Blue Print TIK DJKN tersebut mempunyai tujuan yaitu pemanfaatan teknologi dan informasi (TIK) yang handal, terintegrasi dan berkembang. Dalam analisis Strengths Weaknesses Opportunities and Threats (SWOT) khususnya mengenai kelemahan TIK DJKN terdapat beberapa permasalahan yaitu belum terdapatnya database yang lengkap, komprehensif dan terintegrasi, kemudian belum terdapatnya sistem informasi yang memadai untuk mendukung pelaksanaan proses-proses bisnis utama DJKN serta belum adanya infrastruktur perangkat keras dan lunak pendukung yang memadai di DJKN. Berdasarkan Peraturan Menteri Keuangan Nomor 191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan bahwa Setiap unit Eselon I di lingkungan Kementerian Keuangan harus menerapkan dan mengembangkan Manajemen Risiko di lingkungan masing-masing. Hal ini berdasarkan Peraturan Pemerintah nomor 60 tahun 2008 tentang Sistem Pengendalian Internal Pemerintah khususnya pada bagian ketiga pasal 13 ayat 1 yaitu pimpinan instansi pemerintah wajib melakukan penilaian risiko. Saat ini DJKN telah menyusun Laporan Manajemen Risiko pada awal tahun 2014 yang dibuat berdasarkan sasaran kinerja organisasi terhadap risiko yang berpotensi Universitas Indonesia


3

menghalangi, menurunkan atau menunda tercapainya sasaran kerja unit eselon I. Laporan tersebut menghasilkan profil risiko dan cara penanganannya berdasarkan sasaran kinerja masing-masing unit di DJKN. Sesuai dengan Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi (SMKI) di Lingkungan Kementerian Keuangan bahwa Unit TIK pusat dan unit TIK eselon I menerapkan dan mengembangkan manajemen risiko dalam rangka pelaksanaan pengamanan dan perlindungan aset informasi dengan mengikuti ketentuan mengenai penerapan manajemen risiko di lingkungan Kementerian Keuangan. Berdasarkan wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi Bpk. Agus Setyo Pambudi tanggal 27 Maret 2014 bahwa sampai saat ini baik Unit TIK Pusat maupun Unit TIK DJKN belum menerapkan dan mengembangkan manajemen risiko dalam rangka pelaksanaan pengamanan dan perlindungan aset informasi. Kebijakan dan standar SMKI di lingkungan Kementerian Keuangan tersebut disusun dengan memperhatikan Peraturan Menteri Komunikasi dan Informatika Nomor 41/PERMEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi

Informasi

dan

Komunikasi

Nasional,

lSO/IEC

27001:2005

(Information technology-Security techniques-Information security management system-Requirements) dan lSO/IEC 27002:2005 (Information technologySecuritytechniques-Code of practice for information security management). PMK Nomor 479/KMK.01/2010 tersebut mewajibkan setiap unit Eselon I menerapkan Kebijakan dan Standar SMKI di lingkungan unit eselon I masing-masing yang terdiri dari sebelas pengendalian antara lain: 

Pengendalian Umum;



Pengendalian Organisasi Keamanan Informasi;



Pengelolaan Aset Informasi;



Pengendalian Keamanan Sumber Daya Manusia;



Pengendalian Keamanan Fisik dan Lingkungan;



Pengendalian Pengelolaan Komunikasi dan Operasional; Universitas Indonesia


4 

Pengendalian Akses;



Pengendalian Keamanan Informasi dalam Pengadaan, Pengembangan dan Pemeliharaan Sistem Informasi;



Pengendalian Pengelolaan Gangguan Keamanan Informasi;



Pengendalian Keamanan Informasi dalam Pengelolaan Kelangsungan Kegiatan;



Pengendalian Kepatuhan.

Untuk menindaklanjuti keputusan tersebut DJKN telah membuat Surat Edaran No.6/KN/2012 tentang Struktur Tim Keamanan Informasi, Standarisasi Personal Computer, Pengelolaan dan Pengoperasian Perangkat Teknologi Informasi dan Komunikasi di Lingkungan Direktorat Jenderal Kekayaan Negara. Dalam hal ini DJKN baru melakukan dua pengendalian yang diamanatkan oleh Keputusan Menteri Keuangan yaitu pengendalian organisasi keamanan informasi dan pengendalian pengelolaan komunikasi dan operasional sehingga diperlukan tindak lanjut dalam menyusun pengendalian keamanan informasi. Pada tahun 2010 telah disusun Keputusan Direktur Jenderal Kekayaan Negara Nomor KEP-38/KN/2010 tentang Rencana Strategis Direktorat Jenderal Kekayaan Negara Tahun 2010 – 2014 yang merupakan penjabaran lebih lanjut dari Keputusan Menteri Keuangan Nomor 40/KMK.01/2010 tentang Rencana Strategis Kementerian Keuangan tahun 2010-2014. Dalam Renstra tersebut terdapat strategi organisasi di bidang Teknologi Informasi Keuangan (TIK) yaitu melakukan pengembangan Sistem Informasi Manajemen (SIM) di lingkungan Direktorat Jenderal Kekayaan Negara yang terdiri dari rencana aksi yaitu antara lain dengan melakukan pengembangan aplikasi, pengelolaan database dan pengembangan

infrastruktur

TIK.

Renstra

tersebut

juga

menjelaskan

permasalahan yaitu masih kurangnya kompetensi pegawai dalam pengoperasian aplikasi terkait penatausahaan Barang Milik Negara (BMN). Menurut Keputusan Menteri Keuangan Nomor 40/KMK.01/2010 tentang Rencana Strategis Kementerian Keuangan tahun 2010-2014 terdapat salah satu sasaran strategis dalam tema kekayaan negara yaitu terwujudnya database nilai kekayaan Universitas Indonesia


5

negara yang kredibel dengan cara mendapatkan, mengumpulkan dan mengolah data kekayaan negara sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat, dan dapat digunakan untuk proses pengambilan keputusan bagi pimpinan Kementerian Keuangan. Sedangkan permasalahan TIK yang dihadapi dalam pengelolaan kekayaaan negara yaitu penerapan Sistem Informasi Manajemen dan Akuntansi (SIMAK) BMN belum merata diseluruh K/L, kualitas dan kuantitas SDM belum memadai serta kurangnya sarana dan prasarana. Berdasarkan laporan hasil audit Inspektorat Jenderal Nomor 83 tahun 2011 terhadap pembangunan modul kekayaan negara di DJKN yang terdiri atas audit terkait pengandalian umum dan pengendalian aplikasi yang dapat dijelaskan sebagai berikut: a.

Pengendalian umum 

IT

Strategy

Plan:

Pengembangan

TI

tidak

melalui

rencana

strategis yang ada sehingga masih bersifat ad hoc; 

Arsitektur Informasi: DJKN belum memiliki Interprise Information Architecture Model yang menjadi acuan dalam pengembangan aplikasi;



Proses teknologi informasi, organisasi dan hubungan: tidak adanya IT Strategy Comittee, belum terdapat personel yang bertanggung jawab terhadap risiko, keamanan dan kepatuhan pada sistem TI DJKN, belum adanya tim Quality Assurance;



Tidak memiliki sistem manajemen kualitas;



Belum memiliki manajemen risiko yang baku terkait pengelolaan TI;



Tidak memiliki standar dan prosedur baku dalam manajemen proyek;



Pembangunan aplikasi hanya didasari oleh pengetahuan dan pengalaman dari individu kunci, tidak ada studi kelayakan dan analisis risiko;



Dalam pembangunan aplikasi tidak terdapat ruang lingkup testing, pengembangan, manajemen keamanan dan Software Quality Assurance (SQA);



Pengadaan infrastruktur tidak berdasarkan kebutuhan bisnis tapi dari sisi teknis, hal ini dikarenakan tidak adanya penerapan audit, security dan internal control untuk memproteksi sumber daya TIK dan memastikan Universitas Indonesia


6

availability dan integrity dari sistem dan data TIK serta tidak adanya perawatan berkala terhadap infrastruktur TI; 

Belum memilik standar baku manajemen perubahan;



Belum memiliki manajemen dan standar tingkat layanan;



Belum memiliki Business Continuity Plan (BCP) dan Disaster Recovery Plan (DRP) untuk layanan berkelanjutan;



Tidak ada manajemen service desk terhadap permasalahan;



Belum memiliki standar baku konfigurasi aset TIK;



Tidak memilik tata kelola TIK. Blue Print yang ada belum ditetapkan secara formal oleh pejabat yang berwenang;



Tidak ada dokumentasi hasil testing aplikasi Modul KN;



Pembentukan database server kurang akurat, tidak mendukung pertukaran data tingkat eselon I;



Belum adanya monitoring dan evaluasi pembangunan TI;



Tidak ada regulasi dalam penggunaan Modul KN untuk rekonsiliasi BMN dalam bentuk peraturan (Surat Edaran).

b.

Pengendalian Aplikasi Berisi tentang berbagai permasalahan yang ada dalam pengoperasian Modul KN yaitu adanya menu yang masih kurang, proses operasi yang lama, Standar Operating Procedure (SOP) yang kurang lengkap dan tidak ada indikator dalam proses eksekusi aplikasi.

Untuk menindaklanjuti hasil audit tersebut maka Direktorat PKNSI membuat matriks tindak lanjut temuan Itjen atas kegiatan pengelolaan BMN dimana akan melakukan perancangan pembuatan Blue Print (Cetak Biru) TIK yang didalamnya berisi tentang perencanaan strategi TI, arsitektur informasi, manajemen kualitas, manajemen risiko, manajemen proyek, kebutuhan proses bisnis dan solusi TI, manajemen layanan, manajemen service desk, konfigurasi aset TIK dan tata kelola TIK. Berdasarkan laporan jumlah permasalahan terkait dengan layanan TI yang didapat dari Aplikasi Helpdesk Layanan TIK DJKN pada tahun 2010 sampai dengan Universitas Indonesia


7

tahun 2013 terdapat permasalahan yang semakin bertambah setiap tahun terutama dalam hal pengelolaan TI dan keamanan informasi. Dalam hal pengelolaan TI yaitu bertambahnya permasalahan terkait infrastruktur TI. Sedangkan dalam hal keamanan informasi yaitu banyaknya permasalahan database yang hilang atau rusak, adanya orang yang tidak mempunyai otoritas menggunakan akun (user account) orang lain sehingga dapat melihat maupun merubah data, banyaknya software yang rusak dikarenakan faktor manusia maupun faktor lainnya misalnya karena terkena virus sehingga data tidak dapat diakses. Hal ini menyebabkan risiko keamanan informasi terjadi berulang dan tidak dikontrol dengan baik. Adapun rangkuman permasalahan seperti dijelaskan pada Tabel 1.1: Tabel 1.1 Rangkuman Permasalahan Layanan TIK DJKN No

Jenis Layanan

1 2 3 4 5 6 7 8 9 10 11 12

Umum Jaringan Aplikasi DJKN User account dan Email Hardware Software Rekonsiliasi BMN Database Konfigurasi Informasi Voip SSO DJKN Jumlah

Tahun 2010 2 13 4 1 3 4 27

Tahun 2011 79 26 10 17 5 2 5 144

Tahun 2012 13 98 19 90 35 21 1 25 302

Tahun 2013 17 75 32 13 27 10 4 34 6 3 242

Sumber: www.djkn.kemenkeu.go.id/helpdesktik

Pada Tabel 1.1 tersebut dapat dijelaskan bahwa terdapat permasalahan layanan TIK dari tahun 2010 sampai dengan tahun 2013 dengan jumlah insiden sebanyak 715 insiden. Terkait permasalahan keamanan informasi terdapat 560 insiden yang terdiri dari jenis layanan sebagai berikut: 

Jaringan sebanyak 265 insiden yang menyebabkan permasalahan terkait ketersediaan data (availability);



Aplikasi sebanyak 81 insiden yang menyebabkan permasalahan terkait kerahasiaan dan ketersediaan data (confidentiality dan availability); Universitas Indonesia


8 

Hardware sebanyak 82 insiden yang menyebabkan permasalahan terkait keutuhan dan ketersediaan data (integrity dan availability);



Software sebanyak 40 insiden yang menyebabkan permasalahan terkait keutuhan dan ketersediaan data (integrity dan availability);



Rekonsiliasi BMN sebanyak 7 insiden yang menyebabkan permasalahan terkait keutuhan data (integrity);



Database sebanyak 64 insiden yang menyebabkan permasalahan terkait kerahasiaan, keutuhan dan ketersediaan data (confidentiality, integrity dan availability);

Berdasarkan data tersebut maka dapat digambarkan porsi permasalahan keamanan informasi pada Gambar 1.1:

Gambar 1.1 Pie Chart Permasalahan layanan TIK DJKN Pada Gambar 1.1 dapat diketahui bahwa permasalahan terkait keamanan informasi sebesar 79 % dengan jumlah insiden sebanyak 560 insiden sedangkan untuk permasalahan diluar keamanan informasi sebesar 21 % dengan jumlah insiden sebanyak 155 insiden.



9

Berdasarkan hasil wawancara dengan Kasubdit Pengolahan Data dan Layanan Operasional Bpk. I Ketut Puja tanggal 4 Februari 2014 bahwa terdapat beberapa permasalahan TIK di DJKN yaitu: 

Belum adanya perencanaan manajemen risiko terhadap pengelolaan teknologi dan keamanan informasi di DJKN;



Kompetensi dan jumlah SDM TI di DJKN masih kurang;

Sesuai dengan paparan diatas, maka dapat ditarik permasalahan dengan menggunakan gap analysis (analisis kesenjangan) yang membandingkan antara keadaan yang diharapkan dengan kenyataan yang terjadi pada kondisi sekarang yang dapat dijelaskan pada Gambar 1.2:

Gambar 1.2 Gap Analysis TIK DJKN Pada Gambar 1.2 menjelaskan bahwa ekspektasi dari Kementerian Keuangan adalah DJKN dapat mewujudkan database nilai kekayaan negara yang kredibel sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat dan dapat digunakan untuk proses pengambilan keputusan. Menurut rekap helpdesk TIK DJKN sekarang ini database kekayaan negara yang terdapat dalam sistem informasi utama yaitu Modul Kekayaan Negara banyak mengalami loss of Universitas Indonesia


10

confidentiality, integrity dan availibility sehingga tidak kredibel dan tidak dapat digunakan untuk proses pengambilan keputusan. Dalam hal ini terdapat permasalahan yaitu risiko keamanan informasi database kekayaan negara yang terdapat dalam Modul Kekayaan Negara tidak dikontrol dengan baik. 1.2 Perumusan Masalah Berdasarkan permasalahan dan kondisi yang sudah dijelaskan diatas dapat dilakukan perumusan dengan menggunakan analisis fishbone pada Gambar 1.3:

Gambar 1.3 Analisis Fishbone Berdasarkan analisis fishbone pada Gambar 1.3 diatas, secara garis besar terdapat empat permasalahan mendasar yang menyebabkan risiko terkait keamanan informasi tidak dikontrol dengan baik yaitu: 

Sumber Daya Manusia (SDM): kompetensi dan jumlah SDM TI di DJKN masih kurang menyebabkan rendahnya awareness keamanan informasi dan penanganan risiko keamanan informasi tidak terselesaikan dengan baik;



Infrastruktur: tidak adanya perawatan berkala terhadap infrastruktur TI. Hal ini dapat menyebabkan kerusakan perangkat dan informasi yang terkandung Universitas Indonesia


11

di dalamnya sehingga terjadi permasalahan terkait keutuhan data (integrity) dan ketersediaan data (availability); 

Kebijakan: belum adanya evaluasi pembangunan SI/TI yang terkait dengan risiko keamanan informasi misalnya evaluasi terhadap waktu layanan (response time) dan keutuhan data sehingga kebutuhan pengendalian risiko keamanan informasi tidak terdefinisi. Belum adanya perencanaan manajemen risiko keamanan informasi sehingga perlindungan dan pengamanan aset informasi tidak dilakukan baik;



Organisasi: belum adanya unit yang bertanggung jawab melakukan koordinasi, penanganan dan monitoring terhadap risiko keamanan informasi.

1.3 Pertanyaan Penelitian Dari analisis permasalahan menggunakan fishbone diagram diatas, maka diambil salah satu akar permasalahan yang dijadikan pertanyaan penelitian yaitu: “ Bagaimanakah perencanaan manajemen risiko keamanan informasi yang tepat di Direktorat Jenderal Kekayaan Negara Kementerian Keuangan khususnya terhadap aplikasi yang mendukung proses bisnis utama (Modul Kekayaan Negara)?” 1.4 Tujuan Penelitian Adapun tujuan yang dicapai dalam penelitian ini antara lain: 

Mengetahui risiko-risiko apa saja yang teridentifikasi dalam penilaian risiko keamanan informasi;



Melakukan rencana penanganan (mitigasi) terhadap risiko keamanan informasi;



Menentukan unit yang bertanggung jawab terhadap penanganan risiko keamanan informasi.

1.5 Manfaat Penelitian Adapun manfaat yang diperoleh dalam penelitian ini antara lain: 

Memberikan rekomendasi pemilihan penanganan risiko berdasarkan analisis risiko yang telah dilakukan; Universitas Indonesia


12 

Memberikan rekomendasi kontrol (pengendalian) keamanan informasi yang tepat untuk mengurangi risiko.

1.6 Batasan Penelitian Penelitian ini dibatasi pada lingkungan Direktorat Jenderal Kekayaan Negara Kementerian Keuangan periode tahun 2010 – 2014. 1.7 Sistematika Penulisan Sistematika penulisan Karya Akhir ini dibagi menjadi 6 (enam) bab sebagai berikut: 

Bab 1. Pendahuluan, berisi latar belakang, perumusan masalah, pertanyaan penelitian, tujuan dan manfaat penelitian dan batasan penelitian;



Bab 2. Landasan Teori, berisi berbagai teori, metode, teknik, proses, dan prosedur yang terkait dengan topik penelitian;



Bab 3. Metodologi Penelitian, berisi langkah-langkah penelitian, metode yang digunakan dan output yang diharapkan;



Bab 4. Profil Organisasi, berisi sejarah singkat, visi, misi, rencana strategis, struktur organisasi dan tugas masing-masing unit di DJKN;



Bab 5. Analisis dan Pembahasan berisi penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko;



Bab 6. Kesimpulan dan Saran berisi tentang intisari penelitian dan masukan terhadap perencanaan manajemen risiko keamanan informasi di DJKN.



13

BAB II LANDASAN TEORI

Pada bab ini berisi penjelasan mengenai landasan teori yang terkait dengan topik penelitian yang berisi antara lain berbagai teori, metode dan analisis penelitian sebelumnya yang berhubungan dengan perancangan manajemen keamanan informasi sehingga menghasilkan kerangka pemikiran (theoritical framework). 2.1 Keamanan Informasi Menurut Andress (2011) keamanan informasi mempunyai tiga konsep dasar yaitu confidentiality,

integrity

dan

availability

(CIA).

Confidentiality

adalah

kemampuan untuk melindungi data dari seseorang yang tidak memiliki otoritas untuk melihat data tersebut. Integrity adalah kemampuan melindungi data agar tidak mengalami perubahan dari sesuatu yang tidak terotorisasi maupun yang tidak diinginkan. Availability adalah kemampuan untuk mengakses data pada saat data tersebut diperlukan. Keamanan informasi adalah perlindungan informasi dari berbagai macam ancaman untuk memastikan kelangsungan bisnis, meminimalisasi risiko bisnis, memaksimalkan pengembalian modal investasi dan peluang bisnis (Hintzbergen & Smulders, 2010). Berdasarkan ISO 27001 bahwa proses Sistem Manajemen Keamanan Informasi (SMKI) terdiri dari empat langkah yang disebut Plan-Do-Check-Act (PDCA) pada Gambar 2.1:



14

Gambar 2.1 Model PDCA pada proses SMKI Sumber: ISO 27001:2008

Pada Gambar 2.1 dapat dijelaskan bahwa proses SMKI adalah proses yang dilakukan secara terus menerus dan berkesinambungan yang dapat diterangkan pada Tabel 2.1: Tabel 2.1 Penjelasan proses SMKI Proses SMKI

Keterangan

Plan (Perencanaan)

Menetapkan kebijakan SMKI, tujuan, proses dan prosedur yang relevan dengan pengelolaan risiko dan peningkatan keamanan informasi untuk memberikan hasil yang sesuai dengan kebijakan dan tujuan organisasi

Do (Implementasi)

Melakukan implementasi kebijakan SMKI, kontrol, proses dan prosedur Melakukan pengawasan dan pengukuran terhadap implementasi kebijakan SMKI Melakukan koreksi dan tindakan pencegahan sesuai dengan hasil audit kebijakan SMKI

Check (Pemeriksaan) Act (Tindakan)

Sumber: ISO 27001:2008



15

2.2 Risiko Menurut Smith (2011) risiko adalah situasi potensial yang dapat melakukan ancaman terhadap aset. Jika kita mempunyai deskripsi terhadap situasi maka risiko mengidentifikasikan sesuatu yang buruk dapat terjadi menimpa aset kita. Risiko adalah kemungkinan dimana sesuatu yang tidak diinginkan akan terjadi, organisasi harus meminimalisasi risiko sesuai dengan tingkat risiko yang diinginkan yaitu jumlah dan bentuk risiko yang akan mereka terima (Michael Whiteman,2011). 2.3 Manajemen Risiko Manajemen risiko adalah langkah untuk mengidentifikasi, melakukan kualifikasi dan

mengendalikan

risiko

informasi

yang

berdampak

pada

organisasi

(Angus,2012). Menurut NIST (2002), manajemen risiko adalah proses yang memungkinkan manajer TI untuk menyeimbangkan biaya operasional dan ekonomi dalam tindakan pengamanan dan mencapai peningkatan kemampuan dengan melindungi data dan sistem TI yang mendukung misi organisasi mereka. 2.4 Perencanaan Manajemen Risiko Perencanaan manajemen risiko terkait dengan semua komponen manajemen risiko misalnya identifikasi risiko, analisis risiko dan mitigasi risiko dimana menjadi suatu kesatuan fungsional. Merupakan bagian yang menginformasikan kepada semua anggota tim dan pengawas tentang risiko proyek, bagaimana risiko akan dikelola, dan siapa yang akan mengelola risiko (COA, 2005). Perencanaan manajemen risiko merupakan skema dalam kerangka manajemen risiko dengan menetapkan pendekatan, komponen manajemen (prosedur, praktek, pembagian tanggung jawab, urutan dan waktu kegiatan) dan sumber daya untuk untuk diterapkan pada pengelolaan risiko (ISO 31000, 2009). Menurut ISACA (2013), dalam hal perencanaan dan sumber daya, manajemen risiko mendefinisikan tanggung jawab, wewenang, hubungan antar personil yang terlibat dan melakukan verifikasi pekerjaan yang terkait dengan manajemen risiko dimana

harus

didefinisikan

dan

didokumentasikan.

Organisasi

harus



16

mengidentifikasi kebutuhan sumber daya dan memfasilitasi pelaksanaan program manajemen risiko tersebut melalui penugasan personil terlatih dalam kegiatan manajemen yang sedang berlangsung dan melakukan verifikasi untuk review internal. 2.5 Metode Penelitian Manajemen Risiko Keamanan Informasi Dalam sub bab ini akan dibahas mengenai beberapa metode yang umum digunakan dalam perencanaan manajemen keamanan informasi yaitu antara lain: 2.5.1 ISO 27005 Merupakan standar yang dibuat oleh ISO (The International Organization for Standardization) dan IEC (The International Electrotechnical Commission), kedua badan tersebut sejak tahun 2005 mengembangkan sejumlah standardisasi di seluruh dunia yang salah satunya mengembangkan sejumlah standar tentang Information Security Management Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan. Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari: 

ISO/IEC 27000:2009 tentang ISMS Overview and Vocabulary;



ISO/IEC 27001:2005 tentang ISMS Requirement;



ISO/IEC 27002:2005 tentang Code of Practice for ISMS;



ISO/IEC 27003:2010 tentang ISMS Implementation Guidance;



ISO/IEC 27004:2009 tentang ISMS Measurements;



ISO/IEC 27005:2008 tentang Information Security Risk Management;



ISO/IEC 27006: 2007 tentang ISMS Certification Body Requirements;



ISO/IEC 27007 tentang Guidelines for ISMS Auditing.

Menurut ISO (2008), ISO 27005 memberikan pedoman manajemen risiko keamanan informasi dan dirancang untuk membantu pelaksaanaan proses keamanan informasi berdasarkan pendekatan manajemen risiko. Standar ini berlaku pada semua jenis organisasi misalnya perusahaan komersial, instansi



17

pemerintah maupun organisasi non-profit yang berniat untuk mengelola risiko yang dapat membahayakan keamanan informasi organisasi. Suatu pendekatan sistematis terhadap manajemen risiko keamanan informasi diperlukan untuk mengidentifikasi kebutuhan organisasi mengenai persyaratan keamanan informasi dan menciptakan sistem manajemen keamanan informasi yang efektif. Pendekatan ini harus sesuai untuk lingkungan organisasi dan khususnya harus diselaraskan dengan manajemen risiko perusahaan secara keseluruhan. Upaya keamanan harus menangani risiko secara efektif dan tepat waktu dimana dan kapan mereka dibutuhkan. SMKI harus menjadi bagian integral dari semua kegiatan manajemen keamanan informasi dan harus diterapkan baik untuk pelaksanaan dan operasi yang sedang berlangsung. Manajemen risiko keamanan informasi harus menjadi proses yang berkelanjutan. Proses ini harus menetapkan konteks, menilai risiko dan penanganan risiko menggunakan rencana penanganan untuk melaksanakan rekomendasi dan keputusan. Manajemen risiko menganalisis apa yang bisa terjadi dan konsekuensi apa yang ditimbulkan, sebelum memutuskan apa yang harus dilakukan dan kapan untuk mengurangi risiko ke tingkat yang dapat diterima. Manajemen risiko keamanan informasi harus berkontribusi pada hal-hal berikut: 

Risiko yang diidentifikasi;



Risiko yang dinilai dalam hal konsekuensi bisnis dan kemungkinan terjadinya risiko tersebut;



Kemungkinan dan konsekuensi risiko dikomunikasikan dan dipahami;



Urutan prioritas perlakuan resiko;



Prioritas tindakan untuk mengurangi risiko yang terjadi;



Para pemangku kepentingan terlibat ketika keputusan manajemen risiko dibuat dan selalu diinformasikan mengenai status manajemen risiko;



Efektivitas pemantauan perlakuan risiko;



Risiko dan proses manajemen risiko dipantau dan dikaji secara berkala;



Informasi ditangkap untuk meningkatkan pendekatan manajemen risiko;



18 

Manajer dan staf dididik tentang risiko dan tindakan yang diambil untuk menanggulanginya.

Proses manajemen risiko keamanan informasi dapat diterapkan pada organisasi secara keseluruhan, setiap bagian dari organisasi, setiap sistem informasi, aspek yang ada atau yang direncanakan

maupun untuk kontrol tertentu. Adapun

gambaran tentang proses manajemen risiko keamanan informasi dapat dilihat pada Gambar 2.2:

Gambar 2.2 Proses Manajemen Risiko ISO 27005 Sumber: ISO 27005:2008

Seperti yang digambarkan pada Gambar 2.2 bahwa proses manajemen risiko keamanan informasi dapat berulang untuk penilaian risiko dan/atau kegiatan penanganan risiko. Pendekatan iteratif untuk melakukan penilaian risiko dapat meningkatkan kedalaman dan rincian dari penilaian pada setiap iterasi. Pendekatan

berulang

itu

memberikan

keseimbangan

yang baik

antara

meminimalkan waktu dan usaha yang dihabiskan dalam mengidentifikasi kontrol.



19

Adapun langkah dalam proses manajemen risiko keamanan informasi adalah sebagai berikut: a.

Penetapan konteks Menerangkan konteks manajemen risiko keamanan informasi harus ditetapkan dimana melibatkan penetapan kriteria dasar yang diperlukan untuk manajemen risiko keamanan informasi, mendefinisikan ruang lingkup maupun batasan dan membentuk sebuah organisasi yang layak menjalankan manajemen risiko keamanan informasi.

b.

Penilaian risiko kemanan informasi Mengukur atau menggambarkan secara kualitatif suatu risiko dan memungkinkan manajer untuk memprioritaskan risiko sesuai dengan keseriusan yang dirasakan atau kriteria lain yang telah ditetapkan. Penilaian risiko memuat kegiatan analisis risiko yang terdiri dari identifikasi risiko, estimasi risiko dan evaluasi risiko.

c.

Penanganan risiko keamanan informasi Kontrol untuk mengurangi, mempertahankan, menghindari atau mentransfer risiko yang harus dipilih dan rencana penanganan ditetapkan. Opsi penanganan risiko harus dipilih berdasarkan pada hasil penilaian risiko, biaya yang dikeluarkan dan manfaat yang diharapkan dari penerapan opsi tersebut. Proses tersebut dapat dijelaskan pada Gambar 2.3:



20

Gambar 2.3 Proses Penanganan Risiko Sumber: ISO 27005:2008

Untuk mengurangi risiko maka harus menyusun rekomendasi kontrol yang bersumber pada ISO 27002 yang berisi tentang kode praktis dalam pengendalian keamanan informasi. Dalam ISO 27002 terdapat 12 kategori utama pengelolaan keamanan informasi yaitu antara lain: 

Kebijakan Keamanan;



Organisasi Keamanan Informasi;



Pengelolaan Aset;



Keamanan Sumber Daya Manusia;



Keamanan Lingkungan dan Fisik;



Pengelolaan Operasi dan Komunikasi;



Kontrol Akses;



Pemeliharaan, Pengembangan dan Penerimaan Sistem Informasi;



Pengelolaan Insiden Sistem Informasi; Universitas Indonesia


21

d.



Pengelolaan Kelangsungan Bisnis;



Kepatuhan.

Penerimaan risiko keamanan informasi Keputusan untuk menerima risiko dan tanggung jawab terhadap keputusan harus dibuat dan secara resmi dicatat. Dalam beberapa kasus level risiko residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria yang diterapkan tidak memperhitungkan keadaan yang berlaku. Sebagai contoh, dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat yang menyertai risiko sangatlah menarik atau karena biaya pengurangan risiko terlalu tinggi. Keadaan seperti itu menunjukkan bahwa kriteria penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan.

e.

Komunikasi risiko keamanan informasi Kegiatan untuk mencapai kesepakatan tentang bagaimana untuk mengelola risiko dengan bertukar dan/atau berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya. Komunikasi risiko harus dilaksanakan untuk mencapai hal-hal berikut: 

Untuk memberikan jaminan hasil manajemen risiko organisasi;



Untuk mengumpulkan informasi risiko;



Untuk membagi hasil dari penilaian risiko dan menyampaikan rencana penanganan risiko;



Untuk

menghindari

atau

mengurangi

baik

terjadinya

maupun

konsekuensi dari pelanggaran keamanan informasi karena kurangnya saling pengertian di antara para pembuat keputusan dan pemangku kepentingan; 

Untuk mendukung pengambilan keputusan;



Untuk mendapatkan pengetahuan baru tentang keamanan informasi;



Untuk bekerja sama dengan pihak lain dan merencanakan tanggapan untuk mengurangi konsekuensi dari kejadian apapun;



Untuk memberikan rasa tanggung jawab tentang risiko pada para pembuat keputusan dan pemangku kepentingan;



Untuk meningkatkan kesadaran. Universitas Indonesia


22

f.

Pemantauan dan peninjauan risiko keamanan informasi Resiko tidak statis. Ancaman, kerentanan, kemungkinan atau konsekuensi dapat berubah tiba-tiba tanpa ada indikasi. Oleh karena itu pemantauan konstan diperlukan untuk mendeteksi perubahan ini. Hal ini dapat didukung oleh layanan eksternal yang memberikan informasi mengenai ancaman atau kerentanan baru. Organisasi harus memastikan bahwa hal-hal berikut ini terus dipantau: 

Aset baru yang telah dimasukkan dalam lingkup manajemen risiko;



Modifikasi diperlukan terhadap nilai aset, misalnya karena perubahan kebutuhan bisnis;



Ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi dan yang belum dinilai;



Kemungkinan bahwa kerentanan baru atau yang meningkat dapat memungkinkan ancaman untuk mengeksploitasi kerentanan baru atau berubah;



Mengidentifikasi kerentanan untuk menentukan mereka yang terekspos sehingga menjadi ancaman baru atau yang muncul kembali;



Peningkatan dampak atau konsekuensi dari ancaman, kerentanan dan risiko yang telah dinilai dalam pengumpulan menghasilkan level risiko yang tidak dapat diterima;



Insiden keamanan informasi.

Dalam proses Manajemen Risiko Keamanan Informasi (MRKI) terdapat keselarasan dengan sistem manajemen keamanan informasi (SMKI) yang dapat dijelaskan pada Tabel 2.2:



23

Tabel 2.2 Keselarasan antara proses SMKI dengan proses MRKI Proses SMKI Plan (Perencanaan)

  

Do (Implementasi)

 

Check (Pemeriksaan)



Act (Tindakan)



Proses Manajemen Risiko Keamanan Informasi (MRKI) Menetapkan konteks Penilaian risiko Mengembangkan rencana penanganan risiko Penerimaan risiko Penerapan rencana penanganan risiko Pemantauan dan peninjauan berkala terhadap risiko Meningkatkan dan memelihara proses manajemen risiko keamanan informasi

Sumber: ISO 27005:2008

Pada Tabel 2.2 diatas menerangkan bahwa proses menetapkan konteks, penilaian risiko, mengembangkan rencanan penanganan risiko dan penerimaan risiko di Manajemen Risiko Keamanan Informasi selaras dengan proses perencanaan di Sistem Manajemen Keamanan Informasi dikarenakan dalam keseluruhan proses tersebut terdapat kebijakan dan prosedur yang digunakan untuk meningkatkan keamanan informasi. 2.5.2 NIST SP 800-30 Merupakan rekomendasi dari NIST (National Institute of Standard and Technology ) melalui publikasi khusus yang berisi tentang Risk Management Guide for Information Technology System. Menurut NIST (2002), terdapat tiga proses dalam melakukan manajemen risiko yang dapat dilihat pada Gambar 2.4:



24

Risk Assesment

Risk Evaluation

Risk Mitigation

Gambar 2.4 Proses Manajemen Risiko NIST 800-30 Pada Gambar 2.4 dapat dijelaskan bahwa terdapat tiga proses dalam melakukan manajemen risiko keamanan informasi yaitu: a.

Risk Assesment Adalah proses pertama dalam metodologi manajemen risiko. Organisasi menggunakan penilaian risiko untuk menentukan sejauh mana potensi ancaman dan risiko yang terkait dengan sistem TI. Hasil dari proses ini membantu untuk mengidentifikasi pengendalian yang tepat untuk mengurangi atau menghilangkan risiko selama proses mitigasi risiko. Dalam proses ini terdapat sembilan langkah penilaian risiko antara lain: 

Mengetahui karakteristik dari sistem TI : Hardware, software, sistem antarmuka (koneksi internal atau eksternal), data dan informasi, orang yang mendukung atau menggunakan sistem, tujuan dari sistem, data kritis dan sensitifitas data;



Melakukan identifikasi terhadap ancaman yang dapat menyerang kelemahan sistem TI. Proses ini terdiri dari identifikasi sumber ancaman dan identifikasi motifikasi serta aksi ancaman;



Identifikasi kerawanan (vulnerability). Tujuan dari proses ini adalah mengembangkan daftar kerawanan dari sistem yang dapat dieksploitasi sumber ancaman; Universitas Indonesia


25 

Melakukan analisis kontrol. Tujuan dari proses ini adalah untuk melakukan analisis terhadap kontrol yang sudah diimplementasikan dan atau kontrol yang direncanakan untuk diimplementasikan ;



Menetapkan

kecenderungan

(likelihood)

yang

dipengaruhi

oleh

kemampuan dan motivasi sumber ancaman, sifat kerawanan dan efektifitas dari kontrol yang telah digunakan; 

Analisa terhadap dampak yang dihasilkan dari suksesnya ancaman seperti loss of integrity, loss of availability, dan loss of confidentiality. Beberapa dampak yang nyata dapat diukur secara kuantitatif dalam kehilangan pendapatan, biaya perbaikan sistem, atau tingkat usaha yang dibutuhkan untuk memperbaiki masalah yang disebabkan oleh tindakan ancaman yang sukses. Dampak lainnya (hilangnya kepercayaan masyarakat, kehilangan kredibilitas, kerusakan kepentingan organisasi) tidak dapat diukur dalam satuan tertentu tetapi dapat memenuhi syarat atau dijelaskan dalam hal tinggi, sedang, dan dampak yang rendah.



Melakukan penilaian level risiko dari sistem TI dengan mengembangkan matrik level dan risiko skala risiko;



Rekomendasi kontrol dengan tujuan untuk mengurangi level risiko sistem TI sehingga mencapai level dapat diterima;



Dokumentasi hasil yang berisi laporan penilaian risiko yang menjelaskan ancaman

dan

kerawanan,

pengukuran

risiko

dan

menyediakan

rekomendasi implementasi kontrol. b.

Proses Pengurangan Resiko (Risk Mitigation) Merupakan langkah kedua dalam proses manajemen risiko. Proses ini terdiri dari beberapa langkah antara lain: 

Menentukan aksi prioritas berdasarkan level resiko dari hasil penilaian resiko, implementasi dari aksi yang diprioritaskan. Hasil dari langkah pertama ini adalah ranking tindakan mulai dari tinggi hingga rendah;



Melakukan evaluasi terhadap pilihan kontrol yang direkomendasikan. Kelayakan dan efektifitas dari pilihan kontrol yang direkomendasikan dianalisis dengan tujuan untuk meminimalkan risiko. Hasilnya adalah susunan daftar kontrol yang layak; Universitas Indonesia


26 

Menyusun cost-benefit analysis. Hasilnya adalah penjelasan biaya dan manfaat

jika

organisasi

mengimplementasikan

atau

tidak

mengimplementasikan kontrol tersebut; 

Memilih kontrol berdasarkan hasil dari cost-benefit analysis dimana manajemen menentukan kontrol dengan biaya paling efektif untuk mengurangi risiko terhadap misi organisasi. Hasilnya adalah daftar kontrol yang dipilih;



Memberikan tanggung jawab. Menentukan personil yang sesuai yang memiliki

keahlian

dan

ketrampilan

ditugaskan

untuk

mengimplementasikan pemilihan kontrol yang telah diidentifikasi dan bertanggung jawab terhadap apa yang sudah ditugaskan. Hasilnya adalah daftar tanggung jawab personal; 

Mengembangkan rencana implementasi keamanan yang

mempunyai

informasi terhadap risiko, rekomendasi kontrol, prioritas aksi, kontrol, daftar tanggung jawab dan implementasi;  Implementasikan kontrol. Hasilnya adalah risiko residual. c.

Proses Evaluasi Risiko (Risk Evaluation) Bagian ini menekankan praktek yang baik, kebutuhan untuk penilaian dan evaluasi risiko yang sedang berlangsung dan faktor-faktor yang akan mengarah pada kesuksesan program manajemen risiko.

2.5.3 OCTAVE Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) yang dikembangkan Software Engineering Institute, Carnegie Mellon University. Menurut SEI (2011) bahwa metode manajemen risiko di dalam Octave dapat dilihat pada Gambar 2.5:



27

Gambar 2.5 Proses Manajemen Risiko OCTAVE Sumber: Octave Catalog of Practise:2001

Pada Gambar 2.5 menggambarkan tiga langkah dalam melakukan metode manajemen risiko Octave yang terdiri dari: a.

Membangun profil ancaman berdasarkan aset Fase ini adalah evaluasi dari sebuah organisasi. Tim analisis menentukan aset mana yang paling penting untuk organisasi (aset kritis) dan melakukan identifikasi apa yang telah dilakukan untuk melindungi aset-aset tersebut. Survei berdasarkan katalog penerapan yang digunakan untuk memperoleh informasi dari personil organisasi tentang apa saja yang sudah dilakukan dengan memperhatikan penerapan keamanan. Proses yang dilakukan antara lain: 

Proses 1: Identifikasi pengetahuan manajemen senior. Manajer senior yang terpilih mengidentifikasi aset penting, ancaman yang dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan kerentanan organisasi;



Proses 2: Identifikasi pengetahuan manajemen area operasional. Manajer Operasional yang terpilih mengidentifikasi aset penting, ancaman yang Universitas Indonesia


28

dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan kerentanan organisasi; 

Proses 3: Identifikasi pengetahuan staf. Pegawai staf TI dan di luar TI mengidentifikasi aset penting, ancaman yang dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan kerentanan organisasi;



Proses 4: Membuat Profil Ancaman. Tim analisis menganalisis informasi dari Proses 1 sampai 3, memilih aset kritis, memperbaiki persyaratan keamanan terkait dengan aset tersebut, mengidentifikasi ancaman terhadap aset kritis dan membuat profil ancaman.

b.

Melakukan identifikasi kerawanan infrastruktur Fase ini adalah evaluasi dari infrastruktur informasi. Tim analisis mengkaji kunci komponen operasional untuk mencari kelemahan (kerentanan teknologi) yang dapat menyebabkan tindakan yang tidak terotorisasi terhadap aset kritis. Proses yang dilakukan dalam fase ini antara lain: 

Proses 5: Identifikasi Komponen Kunci - Tim analisis mengidentifikasi informasi kunci sistem dan komponen teknologi untuk setiap aset kritis. Kasus tertentu kemudian dipilih untuk evaluasi;



Proses 6: Evaluasi Komponen Terpilih - Tim analisis mengkaji sistem dan komponen kunci untuk kelemahan teknologi. Hasilnya diperiksa dan diringkas kemudian mencari relevansi untuk aset kritis dan profil ancaman.

c.

Mengembangkan rencana dan strategi keamanan Dalam tahap evaluasi ini, tim analisis mengidentifikasi risiko terhadap aset kritis organisasi dan memutuskan cara untuk mengatasi risiko. Proses pada tahap ini antara lain: 

Proses 7: Melakukan Analisis Risiko - Tim analisis mengidentifikasi dampak ancaman terhadap aset penting untuk menentukan risiko, mengembangkan mengevaluasi

kriteria

dampak

untuk

risiko

mengevaluasi

berdasarkan

risiko-risiko,

kriteria

tersebut.

dan Ini

menghasilkan profil risiko untuk setiap aset kritis; 

Proses 8: Mengembangkan Strategi Perlindungan - Tim analisis menciptakan strategi perlindungan organisasi dan mitigasi rencana untuk Universitas Indonesia


29

aset kritis, berdasarkan analisis informasi yang dikumpulkan. Manajer senior kemudian meninjau, memperbaiki, dan menyetujui strategi dan rencana; 2.6 Perbandingan Metode Perancangan Manajemen Risiko Dari pembahasan ketiga metode perencanaan manajemen risiko keamanan informasi seperti dibahas pada sub bab 2.4, maka dapat dilakukan perbandingan dari karakteristik pada masing-masing metode perencanaan manajemen risiko keamanan informasi untuk selanjutnya digunakan sebagai

pertimbangan dan

panduan dalam metodologi penelitian. Adapun kriteria dan perbedaan dari metode perencanaan manajemen risiko keamanan informasi adalah seperti yang ditunjukkan pada Tabel 2.3: Tabel 2.3 Perbandingan metode manajemen risiko keamanan informasi No

Metodologi

NIST SP 800-30

OCTAVE

ISO 27005

1

Vendor

National Institute for Standard and Technology (NIST)

Carnegie Mellon University, Software Engineering Institute (SEI)

International Standard Organization (ISO)

2

Risk Metodologi

 Memberikan panduan dan identifikasi yang rinci (checklist, grafis dan rumus matematika) dalam manajemen dan penilaian risiko keamanan informasi.

 Bersifat selfdirected, yang berarti bahwa personel dalam organisasi bertanggung jawab untuk menetapkan strategi keamanan organisasi.

3

Target Organisasi

 Small Medium Enterprise (SME)

4

Target Level Organisasi

 Pemerintahan  Perusahaan besar  Small Medium Enterprise (SME)  Teknikal  Operasional

 Menjelaskan dengan lengkap proses manajemen risiko keamanan informasi  Masih berkaitan dengan ISO 27001 dan ISO 27002  Terdapat kriteria unit dan ruang lingkup dalam penetapan konteks manajemen risiko keamanan informasi  Pemerintahan  Perusahaan besar  Small Medium Enterprise (SME)  Manajemen  Operasional

 Manajemen  Operasional

Sumber: The European Union Agency for Network and Information Security: 2014



30

2.7 Penelitian Sejenis Sebelumnya Sebagai bahan pertimbangan dan rujukan dalam penyusunan penelitian yang disusun, penulis telah menemukan beberapa penelitian sejenis sebelumnya yang mengambil topik yang berkaitan dengan perencanaan manajemen risiko keamanan informasi. Berikut pembahasan mengenai penelitian tersebut: a. Perancangan Manajemen Resiko Sistem Informasi di Instansi Pemerintah: Studi Kasus Direktorat Jenderal Perkeretaapian oleh Ary Lundi Ayu Oktrada tahun 2012. Dalam penelitian ini menggunakan metodologi NIST 800-30 dikarenakan standar tersebut sudah banyak digunakan di pemerintahan. Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut:  Identifikasi sistem informasi;  Pemilihan sistem informasi;  Penyusunan perencanaan manajemen risiko TI. Keluaran yang dihasilkan adalah daftar kontrol yang digunakan untuk mengurangi risiko. Kekurangan dari penelitian ini adalah pada

proses

penilaian risiko dimana penentuan kecenderungan kurang lengkap dan kuantifikasi dampak serta analisis biaya kurang terperinci. b. Manajemen Resiko Sistem Informasi: Studi Kasus Pusat Komunikasi Kementerian Luar Negeri oleh Feradhian Prasastie tahun 2013. Dalam penelitian ini menggunakan metodologi NIST 800-30 dikarenakan standar tersebut tepat untuk diimplementasikan di lingkungan pemerintahan. Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut:  Perumusan masalah;  Studi literatur;  Pengumpulan data;  Penilaian risiko;  Prioritas tindakan;  Evaluasi kontrol;  Analisis biaya dan manfaat;  Pemilihan kontrol. Universitas Indonesia


31

Keluaran yang dihasilkan adalah kontrol yang digunakan untuk mengurangi risiko yang ada dilengkapi dengan analisis biaya. Kekurangan dari penelitian ini adalah objek penelitian terlalu luas yaitu seluruh sistem informasi dan teknologi informasi di Pusat Komunikasi Kementerian Luar Negeri sehingga penilaian risiko kurang mendalam dan tidak adanya strategi penanganan risiko dimana disusun rekomendasi kontrol untuk semua risiko yang sudah dievaluasi. c. Evaluasi Manajemen Risiko Keamanan Informasi Sistem Provisionong Gateway Telkom Flexy oleh Ega Lestaria Sukma tahun 2011 Penelitian ini menggunakan metodologi ISO 27001 dan ISO 27002 dikarenakan memiliki kontrol objektif yang lengkap. Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut: 

Perencanaan;



Pengumpulan data;



Analisis;



Penyelesaian.

Keluaran yang dihasilkan adalah evaluasi risiko dan penyusunan prosedur keamanan informasi pada sistem provisioning gateway Telkom Flexi. Kekurangan dari penelitian ini adalah tidak adanya definisi kriteria penanganan risiko sehingga keputusan untuk menerima risiko kurang jelas. 2.8 Kerangka Pemikiran (Theoritical Framework) Adapun kerangka pemikiran dari penelitian ini dapat dilihat pada Gambar 2.6:



32

Kondisi Organisasi saat ini

PMK No 191/PMK.09/2008 KMK No 479/KMK.01/2010

Perencanaan Manajemen Risiko Keamanan Informasi Penentuan konteks Penilaian Risiko

NIST 800-30

Penanganan Risiko

ISO 27005

Penerimaan Risiko

Rancangan Pengendalian Keamanan Informasi Analisis Kebutuhan Kontrol ISO 27002

Analisis Biaya dan Manfaat Rekomendasi Kontrol

Gambar 2.6 Kerangka Pemikiran Pada Gambar 2.6 dapat dijelaskan bahwa proses perencanaan manajemen risiko keamanan informasi di Direktorat Jenderal Kekayaan Negara Kementerian Keuangan dipengaruhi oleh: a.

Kondisi organisasi saat ini yang diperoleh dari pengumpulan data baik data primer maupun data sekunder;

b.

Adanya PMK No. 191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Kementerian Keuangan yang mengamanatkan agar tiap eselon I menerapkan dan mengembangkan Manajemen Risiko di lingkungan masingmasing. KMK No. 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan yang mengamanatkan agar tiap eselon I melakukan pengendalian terhadap keamanan informasi dan menerapkan serta mengembangkan manajemen risiko keamanan informasi;

c.

Metode manajemen risiko keamanan informasi ISO 27005 dikarenakan memberikan panduan perencanaan manajemen risiko yang secara khusus dan lebih komprehensif dalam melakukan assesment terkait keamanan informasi serta memiliki alur kerangka kerja (framework) yang sama dengan manajemen risiko yang tertuang dalam PMK No. 191/PMK.09/2008;



33

d.

Kode penerapan manajemen keamanan informai ISO 27002 dikarenakan telah menjadi kerangka pemikiran pada KMK No. 479/KMK.01/2010 dan memiliki panduan yang lengkap terkait pengendalian keamanan informasi.

e.

NIST 800-30 digunakan untuk melakukan penilaian matriks risiko dikarenakan terdapat identifikasi yang rinci (checklist, grafis dan rumus matematika) dalam penilaian risiko keamanan informasi dan mempunyai format matriks yang sama dengan penilaian risiko di PMK No. 191/PMK.09/2008.



34

BAB III METODOLOGI PENELITIAN

Pada bab ini membahas mengenai tahapan penelitian yang harus dilakukan untuk melakukan perencanaan manajemen risiko keamanan informasi. 3.1 Alur Penelitian Merupakan urutan proses penelitian yang harus dilakukan dari awal sampai akhir yang dapat dilihat pada Gambar 3.1:

Gambar 3.1 Metodologi Penelitian



35

Pada Gambar 3.1 diatas dapat dijelaskan mengenai alur penelitian yang terdiri dari beberapa tahap antara lain: a.

Merumuskan masalah terhadap berbagai permasalahan yang telah ditemukan yang didapat dari kondisi organisasi saat ini. Pada tahap ini menghasilkan fishbone analysis yang menyebutkan permasalahan utama dan penyebab dari permasalahan tersebut;

b.

Melakukan studi literatur terhadap teori dan metode yang berhubungan dengan penelitian serta referensi dari penelitian sejenis sebelumnya bersarkan pertanyaan penelitian. Pada tahap ini menghasilkan kerangka pemikiran yang akan disusun dalam penelitian;

c.

Mengumpulkan data baik data primer maupun sekunder sehingga menghasilkan dokumentasi pendukung sebagai bahan penyusunan penelitian;

d.

Menetapkan kriteria dan ruang lingkup perencanaan manajemen risiko sehingga menghasilkan penetapan konteks manajemen risiko;

e.

Melakukan penilaian risiko berdasarkan dokumentasi data dan aset sehingga menghasilkan dokumen evaluasi risiko;

f.

Melakukan penanganan risiko berdasarkan prioritas risiko yang telah dipilih dan menghasilkan dokumen rencana penanganan risiko;

g.

Melakukan pengendalian dan penerimaan keamanan informasi sesuai dengan cost benefit analysis sehingga menghasilkan dokumen rencana pengendalian dan penerimaan keamanan informasi.

3.2 Metode Pengumpulan Data Pada penelitian ini menggunakan data primer dan sekunder yang mempunyai pengertian sebagai berikut: a.

Data primer: merupakan data yang diperoleh dari sumber asli dengan menggunakan teknik tertentu, dengan cara melakukan wawancara dengan pihak yang terkait dengan penelitian, baik pimpinan unit TI di DJKN maupun pihak yang melakukan implementasi dan pengembangan TIK di DJKN. Observasi ke lapangan untuk melakukan pengamatan kondisi bisnis dan SI/TI yang terjadi dalam organisasi;



36

b.

Data sekunder: merupakan data yang secara tidak langsung diperoleh melalui sumber asli. Data ini diperoleh dari dokumen yang berkaitan dengan penelitian.

3.3 Metode Analisis Data Setelah mendapatkan data yang dibutuhkan maka dilakukan analisis data yaitu antara lain: a.

Analisis perencanaan manajemen risiko keamanan informasi menggunakan metode ISO 27005;

b.

Analisis pengendalian keamanan informasi menggunakan ISO 27002.



37

BAB IV PROFIL ORGANISASI

Pada bab ini menjelaskan tentang sejarah singkat berdirinya DJKN sebagai unit eselon I Kementerian Keuangan, menjabarkan tentang visi, misi dan tugas pokok yang dimiliki DJKN, sasaran strategis yang dilakukan dalam mencapai tujuan yang diharapkan serta struktur organisasi yang ada dalam mendukung kinerja organisasi. 4.1 Sejarah Singkat DJKN Direktorat Jenderal Kekayaan Negara (DJKN) merupakan salah satu unit Eselon I pada Kementerian Keuangan. Direktorat Jenderal Kekayaan Negara dibentuk ketika terjadi penataan organisasi di lingkungan Departemen Keuangan pada tahun 2006 dimana fungsi Pengurusan Piutang Negara dan Pelayanan Lelang di Direktorat Jenderal Piutang dan Lelang Negara (DJPLN) digabung dengan fungsi Pengelolaan Kekayaan Negara Direktorat Pengelolaan Barang Milik/Kekayaan Negara (PBM/KN) di Direktorat Jenderal Perbendaharaan (DJPB), sehingga Direktorat Jenderal Piutang dan Lelang Negara (DJPLN) berubah menjadi Direktorat Jenderal Kekayaan Negara (DJKN) berdasarkan Peraturan Presiden Nomor 66 Tahun 2006 tentang Perubahan Keempat atas Peraturan Presiden Nomor 10 Tahun 2005 tentang Unit Organisasi dan Tugas Eselon I Kementerian Republik Indonesia. Hal ini merupakan salah satu hasil Reformasi Birokasi yaitu dalam hal penyatuan fungsi-fungsi yang sejenis ke dalam satu unit Eselon I. Direktorat Jenderal Kekayaan Negara beralamat di Gedung Syafruddin Prawiranegara II Jl. Lapangan Banteng Timur 2-4 Jakarta Pusat, 10710. Jumlah pegawai sekitar 3000 orang yang tersebar di kantor pusat, kantor wilayah dan kantor operasional di seluruh Indonesia.



38

4.2 Visi, Misi dan Tugas Organisasi Direktorat Jenderal Kekayaan Negara mempunyai tugas merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara, piutang negara, dan lelang. Dalam melaksanakan tugas yang dibebankan kepada Direktorat Jenderal Kekayaan Negara, maka ditetapkan visi DJKN, yaitu: ”Menjadi Pengelola Kekayaan Negara, Piutang Negara dan Lelang yang profesional dan bertanggung jawab untuk sebesar-besar kemakmuran rakyat”. Profesional adalah bahwa tugas-tugas pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelayanan lelang dilaksanakan sesuai standar profesi dan standar keilmuan yang telah ditetapkan. Bertanggung jawab adalah bahwa pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan pelaksanaan lelang dilakukan secara transparan dan dapat dipertanggungjawabkan sesuai dengan ketentuan peraturan perundangundangan yang berlaku. Untuk sebesar-besar kemakmuran rakyat, merupakan cita-cita dan arah dari tujuan akhir pengelolaan kekayaan negara sesuai dengan jiwa Pasal 33 Undang-Undang Dasar Republik Indonesia tahun 1945. Untuk merealisasikan visi yang telah ditetapkan, maka Direktorat Jenderal Kekayaan Negara menetapkan misi antara lain: 1. Mewujudkan optimalisasi penerimaan, efisiensi pengeluaran dan efektivitas pengelolaan kekayaan negara; 2. Mengamankan kekayaan negara secara fisik, administrasi dan hukum; 3. Mewujudkan nilai kekayaan negara yang wajar dan dapat dijadikan acuan dalam berbagai keperluan; 4. Melaksanakan pengurusan piutang negara yang efektif, efisien, transparan dan akuntabel; 5. Mewujudkan lelang yang efektif, efisien, transparan, akuntabel, adil dan kompetitif sebagai instrumen jual beli yang mampu mengakomodasi kepentingan masyarakat.



39

Direktorat Jenderal Kekayaan Negara mempunyai tugas merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara, piutang negara, dan lelang. 4.3 Sasaran Strategis Organisasi Sasaran Strategis Direktorat Jenderal Kekayaan Negara yang terdapat dalam Rencana Strategis (Renstra) DJKN tahun 2010 - 2014 antara lain: 1. Menyusun dan menyempurnakan peraturan perundang-undangan di bidang pengelolaan kekayaan negara, penilaian kekayaan negara, pengurusan piutang negara, dan lelang; 2. Menatausahakan kekayaan negara, piutang negara, dan lelang dengan akurat dan akuntabel; 3. Meningkatkan pengamanan kekayaan negara baik secara administrasi, fisik dan tertib hukum; 4. Mengintegrasikan perencanaan kebutuhan Barang Milik Negara (BMN) dengan penganggaran; 5. Meningkatkan kualitas pelayanan pengelolaan kekayaan negara, penilaian, pengurusan piutang negara, dan lelang; 6. Mengoptimalkan pengelolaan kekayaan negara termasuk aset idle dan pengurusan piutang negara; 7. Meningkatkan penerimaan kembali (recovery) yang berasal dari pengeluaran pembiayaan APBN dan Penerimaan Negara Bukan Pajak (PNBP); 8. Meningkatkan kesadaran (awareness) dan kemitraan dengan stakeholder dalam pengelolaan kekayaan negara, penilaian, pengurusan piutang negara, dan lelang; 9. Meningkatkan monitoring dan evaluasi kinerja pelaksanaan pengelolaan kekayaan negara, pengurusan piutang negara, dan lelang; 10.Meningkatkan kualitas sumber daya manusia (SDM), Organisasi, Teknologi Informasi dan Komunikasi (TIK), dan Pengelolaan Anggaran.



40

4.4 Struktur Organisasi Struktur organisasi di DJKN terdiri dari Kantor Pusat, Kantor Wilayah dan Kantor Pelayanan Kekayaan Negara dan Lelang (KPKNL) yang dapat dilihat pada Gambar 4.1: a.

Kantor Pusat

Gambar 4.1 Struktur organisasi kantor pusat Pada Gambar 4.1 dapat dilihat struktur organisasi yang dimiliki oleh DJKN yang dipimpin oleh Direktur Jenderal. Unit kerja Kantor Pusat DJKN terdiri dari 8 unit eselon II. Selain unit Kantor Pusat, DJKN juga mempunyai unit kerja vertikal yang tersebar di seluruh Indonesia, yang terdiri dari 17 Kantor Wilayah dan 70 KPKNL. b.

Kantor Wilayah

Gambar 4.2 Struktur organisasi kantor wilayah Pada Gambar 4.2 dapat dilihat struktur organisasi pada kantor wilayah dipimpin oleh Kepala Kanwil. Unit kerja kantor wilayah terdiri dari 6 unit eselon III, yaitu: Bagian Umum, Bidang Pengelolaan Kekayaan Negara, Universitas Indonesia


41

Bidang Penilaian, Bidang Piutang Negara, Bidang Lelang dan Bidang Hukum dan Informasi. c.

Kantor Pelayanan Kekayaan Negara dan Lelang (KPKNL)

Gambar 4.3 Struktur organisasi KPKNL Pada Gambar 4.3 dapat dilihat struktur organisasi pada KPKNL yang dipimpin oleh Kepala Kantor. Unit kerja KPKNL terdiri dari 7 unit eselon IV, yaitu: Sub bagian Umum, Seksi Pengelolaan Kekayaan Negara, Seksi Pelayanan Penilaian, Seksi Piutang Negara, Seksi Pelayanan Lelang, Seksi Hukum dan Informasi serta Seksi Kepatuhan Internal. 4.5 Rincian tugas tiap Direktorat Berdasarkan PMK No.184/PMK.01/2010 tentang Organisasi dan Tata Kerja Kementerian Keuangan dan PMK No.170/PMK.01/2012 tentang Organisasi dan Tata Kerja Instansi Vertikal di Direktorat Jenderal Kekayaan Negara, maka dapat dijelaskan tugas untuk tiap unit kerja di DJKN pada Tabel 4.1:



42

Tabel 4.1 Rincian tugas tiap Direktorat No.

Direktorat

1.

Sekretariat

2.

Barang Milik Negara (BMN) Kekayaan Negara Dipisahkan (KND)

3.

4.

5. 6.

7.

Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI) Penilaian Piutang Negara dan Kekayaan Negara Lain-lain (PNKNL) Lelang

8.

Hukum dan Hubungan Masyarakat

9

Kantor Wilayah

10

KPKNL

Tugas Melaksanakan koordinasi pelaksanaan tugas serta pembinaan dan pemberian dukungan administrasi kepada semua unsur di lingkungan direktorat jenderal. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang barang milik negara. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara dipisahkan. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang pengelolaan kekayaan negara dan sistem informasi. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang penilaian. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang piutang negara dan kekayaan negara lain-lain. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang lelang. Merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang hukum dan hubungan masyarakat. melaksanakan koordinasi, bimbingan teknis, pengendalian, evaluasi dan pelaksanaan tugas di bidang kekayaan negara, piutang negara dan lelang. melaksanakan pelayanan di bidang kekayaan negara, penilaian, piutang negara dan lelang.

4.6 Penerapan Manajemen Risiko di DJKN Berdasarkan PMK No.191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan bahwa Setiap unit Eselon I di lingkungan Kementerian Keuangan harus menerapkan dan mengembangkan Manajemen Risiko di lingkungan masing-masing dan diwajibkan menyusun laporan profil risiko, penanganan risiko dan monitoring risiko setiap enam bulan sekali. Laporan manajemen risiko DJKN dapat dilihat pada Tabel 4.2 dan Tabel 4.3:



43 Tabel 4.2 Laporan Profil Risiko DJKN semester 1 tahun 2014 No

Sasaran Strategis

Kategori Risiko

Identifikasi Risiko Deskripsi Risiko

Deskripsi Konsekuensi

Analisis Risiko Konsekuensi

Kemungkinan

Level

(1)

(2)

(5)

(6)

(7)

(8)

(9)

(10)

1

Utilisasi kekayaan negara yang optimal

Risiko Strategik

Tidak tercapainya target utilisasi kekayaan negara

BMN pada K/L belum seluruhnya diusulkan permohonan pengelolaan BMN

tidak tercapainya realisasi utilisasi kekayaan negara

Dokumen Utilisasi

Tinggi

Tinggi

Tinggi

2

Penerimaan pembiayaan dari aset recovery

Risiko Strategik

Adanya perubahan target HPA dalam APBN-P

Tidak optimalnya pengurusan aset kredit dan aset properti

Peraturan, SOP

Tinggi

Sedang

Tinggi

3

Penyelesaian BMN Kemenkeu yang bermasalah

Risiko Strategik

Tidak tercapainya target jumlah penerimaan kembali yang berasal dari pengeluaran APBN Rendahnya persentase penyelesaian BMN Kemenkeu yang bermasalah

tidak terselesaikannya penyelesaian BMN Kemenkeu yang bermasalah

Tingkat kepercayaan menurun

Peraturan, SOP

Sedang

Sedang

Sedang

4

Pelaksanaan Pelayanan pengelolaan kekayaan negara yang efektif dan efisien

Risiko operasional

Rendahnya persentase ppermohonan pengelolaan kekayaan negara tepat waktu

Peraturan pengelolaan kekayaan negara belum memadai

Tingkat kepercayaan menurun

Peraturan, SOP

Sedang

Sedang

Sedang

5

Pengelolaan dan pengembangan TIK yang optimal

Risiko Operasional

tidak terealisasinya pembangunan sistem informasi yang mendukung proses bisnis

Peraturan/kebutuhan pengguna belum terdefinisi dengan baik, perancangan sistem informasi belum siap, atau pengadaan sistem informasi terkendala.

Tidak tercapainya dukungan sistem informasi terhadap proses bisnis

Sedang

Sedang

Sedang

6

Kepuasan Pengguna Layanan yang tinggi

Risiko Operasional

Rendahnya indeks kepuasan pengguna layanan

Tingkat kepercayaan stake holder menurun

Kuesioner

Sedang

Sedang

Sedang

7

Pelaksanaan anggaran yang optimal

Risiko Operasional


Peraturan, SOP

Sedang

Sedang

Sedang

8

Penataan organisasi yang adaptif

Risiko Operasional

Tidak tercapainya penyerapan DIPA secara optimal Tidak tercapainya penerapan manajemen risiko

Banyaknya keluhan (komplain) dari stakeholder internal dan eksternal implementasi kegiatan mengalami perubahan Penerapan manajemen risiko belum optimal


Peraturan, SOP

Sedang

Rendah

Rendah

(3)

(4)

Penyebab

Pengendalian Yang Ada



44

Tabel 4.3 Laporan Penanganan Risiko DJKN semester 1 tahun 2014 Penanganan Risiko No

(1)

Risiko

(3)

Rincian Penanganan

Penanggung Jawab

Risiko residual yang diharapkan Konsekuensi

Kemungkinan

Level

(5)

(6)

(7)

(8)

(9)

1

Tidak tercapainya target utilisasi kekayaan negara

Mengurangi risiko

Peningkatan koordinasi dengan K/L yang kurang aktif

Tahun 2014

Dirjen KN

Sedang

Rendah

Rendah

2

Tidak tercapainya target jumlah penerimaan kembali (recovery) yang berasal dari pengeluaran APBN

Menghindari risiko

peningkatan koordinasi dengan kantor operasional dalam rangka pengurusan piutang, lelang aset PPA, BDL, dan BPPN dalam rangka memenuhi perubahan target HPA

Tahun 2014

Dirjen KN

Sedang

Rendah

Rendah

3

Rendahnya persentase penyelesaian BMN Kemenkeu yang bermasalah

Mengurangi risiko

koordinasi dengan Setjen Kemenkeu dan pelaksanaan revisi KMK 31/KM.06/2010 tentang pendelegasian wewenang atau rekonsiliasi data dengan Kanwil/KPKNL

Tahun 2014

Dirjen KN

Sedang

Rendah

Rendah

4

Rendahnya persentase ppermohonan pengelolaan kekayaan negara tepat waktu

Mengurangi risiko

melakukan evaluasi dan monitoring penyelesaian permohonan pengelolaan kekayaan negara serta pelaksanaan revisi KMK 31/KM.06/2010 tentang pendelegasian wewenang

Tahun 2014

Dirjen KN

Sedang

Rendah

Rendah

5

tidak terealisasinya pembangunan sistem informasi yang mendukung proses bisnis

Menghindari risiko

mendefinisikan peraturan/kebutuhan pengguna dengan baik. Dalam hal peraturan/kebutuhan sistem informasi yang memerlukan pengetahuan teknis yang tidak sederhana, pembangunan sistem informasi diserahkan kepada unit teknis terkait untuk menghindari kesalahan interpretasi.

Tahun 2014

Dirjen KN

Sedang

Rendah

Rendah

6

Rendahnya indeks kepuasan pengguna layanan

Menghindari risiko

Penyelesaian permohonan pengelolaan kekayaan negara secara tepat waktu

Tahun 2014

Dirjen KN

Sedang

Rendah

Rendah

7

Tidak tercapainya penyerapan DIPA secara optimal Tidak tercapainya penerapan manajemen risiko

Menghindari risiko

rapat koordinasi internal Direktorat terkait evaluasi penyerapan DIPA atau penyusunan disbursement plan

Tahun 2014

Dirjen KN

Sedang

Rendah

rendah

Menghindari risiko

rapat koordinasi internal Direktorat dan permintaan masukan atas MR yang telah dibuat

Tahun 2014

Dirjen KN

Sedang

Rendah

Rendah

8

(2)

Rencana Penanganan

Jadwal Implementasi

(4)



45

Pada Tabel 4.2 diatas merupakan laporan profil risiko di DJKN pada awal semeter tahun 2014. Laporan tersebut disusun berdasarkan sasaran strategis yang harus dicapai oleh DJKN dimana dibagi menjadi dua jenis risiko yaitu risiko stategis dan risiko operasional. Selanjutnya dilakukan identifikasi risiko yang mungkin terjadi terhadap pencapaian sasaran strategis dengan mengetahui deskripsi, penyebab dan konsekuensi risiko. Melakukan identifikasi terhadap penanganan yang sudah ada dan melakukan analisis risiko sehingga menghasilkan tingkat konsekuensi, tingkat kemungkinan dan level risiko. Pada Tabel 4.3 menjelaskan mengenai rencana dan diskripsi penanganan terhadap risiko yang timbul, menentukan jadwal implementasi, menentukan penanggung jawab penanganan risiko dan menentukan risiko residual yang diharapkan. Dalam hal ini DJKN hanya melaporkan profil risiko dan penanganan risiko dikarenakan DJKN baru menyusun laporan tersebut pada awal semester tahun 2014 sehingga belum terdapat laporan monitoring risiko.



46

BAB V ANALISIS DAN PEMBAHASAN

Pada bab ini menjelaskan proses perencanaan manajemen risiko keamanan informasi yang dimulai dari penetapan konteks, penilaian risiko sehingga menghasilkan daftar risiko yang diprioritaskan, penanganan risiko dan penerimaan risiko pada Gambar 5.1:

Gambar 5.1 Proses Perencanaan Manajemen Risiko Keamanan Informasi Universitas Indonesia


47

Pada Gambar 5.1 diatas menggambarkan proses perencanaan manajemen risiko keamanan informasi yang dapat dijelaskan sebagai berikut: 5.1 Penetapan Konteks Sebelum melakukan proses analisis risiko maka harus menentukan dahulu kriteria dasar terkait dengan pengelolaan risiko, ruang lingkup proses

perencanaan

manajemen risiko keamanan informasi dan organisasi yang layak dalam menjalankan manajemen risiko keamanan informasi di DJKN. 5.1.1 Kriteria Dasar Pengelolaan Risiko Dalam hal ini terdapat kriteria dalam pengelolaan risiko yang terdiri dari kriteria evaluasi risiko, kriteria dampak dan kriteria penerimaan risiko. Adapun penjelasan setiap kriteria sebagai berikut: a.

Kriteria Evaluasi Risiko Berdasarkan ISO 27005 bahwa terdapat beberapa macam kriteria evaluasi risiko yang dapat ditentukan dari beberapa faktor antara lain:  Nilai strategis dari proses informasi bisnis;  Kebutuhan untuk regulasi dan hukum;  Tingkat aset informasi yang terlibat;  Kepentingan operasional bisnis terkait confidentiality, integrity dan availability;  Pengaruh terhadap kepentingan stakeholder;  Konsekuensi terhadap reputasi organisasi. Dalam penelitian ini menggunakan faktor kriteria evaluasi risiko yaitu kepentingan

operasional

bisnis

terkait

confidentiality,

integrity

dan

availability dan faktor pengaruh terhadap kepentingan stakeholder yang dapat mempengaruhi proses kinerja DJKN, hal ini sesuai dengan tingkat evaluasi risiko yang terdapat di PMK No.191/PMK.09/2008. b.

Kriteria Dampak Dalam

penelitian

ini

menggunakan

kriteria

dampak

dan

kriteria

kecenderungan risiko berdasarkan PMK No.191/PMK.09/2008 tentang Universitas Indonesia


48

Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan yaitu pada Tabel 5.1 dan Tabel 5.2: Tabel 5.1Kriteria Dampak Tingkat Dampak

PMK No.191/PMK.09/2008

Penelitian

Tinggi

 Pengaruh terhadap strategi dan aktivitas operasi tinggi  Pengaruh terhadap kepentingan para stakeholder tinggi

 Proses bisnis terhenti dalam jangka waktu lebih dari 12 jam.  Adanya informasi rahasia yang tersebar ke pihak yang tidak berwenang  Adanya data yang rusak/hilang dan tidak terdapat backup  Berdampak lebih dari 20 % jumlah kantor operasional (diatas 20 kantor operasional)

Sedang

 Pengaruh terhadap strategi dan aktivitas operasi sedang  Pengaruh terhadap kepentingan para stakeholder sedang

 Proses bisnis terhenti dalam jangka waktu 3 – 12 jam.  Adanya data yang rusak/hilang namun terdapat backup  Berdampak antara 5% - 20% jumlah kantor operasional (beberapa / antara 5-20 kantor operasional)

Rendah

 Pengaruh terhadap strategi dan aktivitas operasi rendah  Pengaruh terhadap kepentingan para stakeholder rendah

 Proses bisnis terhenti kurang dari 3 jam.  Berdampak kurang dari 5 % jumlah kantor operasional (sebagian kecil / dibawah 5 kantor operasional)

Tabel 5.2 Tingkat kecenderungan risiko Tingkat Kecenderungan Tinggi

PMK No.191/PMK.09/2008 Kemungkinan terjadinya tinggi atau hampir pasti terjadi

Sedang

Kemungkinan terjadinya sedang

Rendah

Tidak pernah atau jarang terjadi

Penelitian  Banyaknya permasalahan lebih dari 50 kali dalam setahun  Kontrol tidak berjalan efektif  Banyaknya permasalahan antara 5 sampai 50 kali dalam setahun  Kontrol dapat mengurangi ancaman  Banyaknya permasalahan kurang dari 5 kali dalam setahun  Kontrol dapat mengurangi atau mencegah ancaman



49

Pada Tabel 5.1 dijelaskan mengenai tingkat dampak yang dapat berpengaruh terdapat strategi dan aktivitas operasi maupun terhadap kepentingan para stakeholder dan Tabel 5.2 menerangkan tingkat kecenderungan terjadinya risiko berdasarkan PMK No.191/PMK.09/2008. Namun keterangan tersebut masih bersifat umum sehingga dalam penelitian ini perlu disusun kriteria yang lebih spesifik dan terukur sehingga memudahkan dalam proses penilaian risiko. Tingkat dampak penelitian bersumber pada hasil wawancara dengan berbagai narasumber yang terkait sedangkan tingkat kecenderungan penelitian bersumber pada Rekap helpdesk TIK dan NIST SP 800-30. c.

Kriteria Penerimaan Risiko Dalam penelitian ini menggunakan kriteria penerimaan risiko dan kriteria risiko yang harus ditransfer berdasarkan PMK No.191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan dapat dilihat pada Tabel 5.3 dan Tabel 5.4: Tabel 5.3 Kriteria penerimaan risiko PMK No.191/PMK.09/2008

Penelitian

 Maksimal memiliki tingkat konsekuensi

 Selera risiko maksimal memiliki tingkat

pada level yang telah ditetapkan untuk

risiko residual rendah yang terdiri dari

diretensi sesuai dengan toleransi dan

tingkat konsekuensi sedang dan tingkat

selera

kecenderungan rendah.

risiko

instansi

yang

telah

ditetapkan.  Terdapat perlindungan hukum yang memadai mencakup regulasi dan atau perjanjian/kontrak;

 Terdapat

perlindungan

hukum

yang

memadai mencakup regulasi dan atau perjanjian/kontrak;  Unit pengambil risiko dan pemilik risiko

 Unit pengambil risiko dan pemilik

terkait dapat memastikan dengan tingkat

risiko terkait dapat memastikan dengan

keyakinan diatas 85 % bahwa tidak akan

tingkat keyakinan diatas 85 % bahwa

terjadi kegagalan pada orang, proses dan

tidak akan terjadi kegagalan pada orang,

sistem yang ada.

proses dan sistem yang ada.



50

Tabel 5.4 Kriteria risiko yang harus ditransfer PMK No.191/PMK.09/2008

Penelitian

 Risiko-risiko residual dengan tingkat  Risiko

residual

dengan

tingkat

konsekuensi pada level yang tidak dapat

konsekuensi pada level yang tidak dapat

diterima sesuai dengan toleransi dan

diterima sesuai dengan selera risiko;  DJKN tidak memiliki sumber daya yang

risiko instansi yang dapat diterima.  Instansi tidak memiliki sumber daya yang

memadai

untuk

membiayai

memadai untuk melakukan pengurangan risiko tersebut.

konsekuensi risiko yang diperkirakan.

Adapun penentuan selera risiko pada penelitian ini bersumber pada laporan manajemen risiko DJKN semester I tahun 2014 yang dapat dilihat pada Tabel 5.5: Tabel 5.5 Matriks selera risiko Dampak

Rendah (10)

Sedang (50)

Tinggi (100)

Kecenderungan Tinggi (1.0)

Mitigate

Mitigate

Mitigate

Sedang (0.5)

Accept

Mitigate

Mitigate

Rendah (0.1)

Accept

Accept

Mitigate

5.1.2 Ruang Lingkup

Perencanaaan

Manajemen

Risiko Keamanan

Informasi Berdasarkan ISO 27005 bahwa organisasi harus menentukan ruang lingkup dan batasan manajemen risiko keamanan informasi. Ruang lingkup dari proses manajemen risiko keamanan informasi perlu ditetapkan untuk memastikan bahwa semua aset yang relevan diperhitungkan dalam penilaian risiko. Berdasarkan PMK No.120/PMK.06/2007 tentang Penatausahaan BMN dan PMK No.96/PMK.06/2007 tentang Tata Cara Pelaksanaan Penggunaan, Pemanfaatan, Penghapusan dan Pemindahtanganan BMN dapat diketahui bahwa proses bisnis utama di DJKN adalah melakukan pengelolaan barang milik negara yang secara



51

umum dibagi menjadi 3 tahapan yaitu tahap awalan, tahap utama, dan tahap ikutan dapat dilihat pada Gambar 5.2:

Gambar 5.2 Proses bisnis pengelolaan BMN Pada Gambar 5.2 dapat dijelaskan bahwa siklus awalan adalah proses pertama dalam pengelolaan barang milik negara meliputi perecanaan, penganggaran dan pengadaan dimana sampai saat ini masih dikelola oleh Kementerian/Lembaga. Siklus reguler dalam tahap utama memiliki pengertian bahwa setiap barang milik negara yang telah diadakan pasti akan melalui siklus ini artinya setiap barang pasti akan digunakan, diawasi, ditatausahakan, dan sampai dengan tahap dihapuskan. Sebaliknya siklus insidentil ini memiliki makna bahwa hanya barang – barang tertentu atau dalam hal – hal tertentu saja barang milik negara tersebut akan dimanfaatkan, dipindahtangankan, dinilai, atau bahkan dimusnahkan. Sedangkan yang dimaksud dengan siklus ikutan ini adalah suatu tahapan dimana diadakan pelaksanaan lelang atau timbulnya piutang merupakan akibat dari pelaksanaan sebagian siklus utama tersebut. Siklus utama dan ikutan saat ini sudah dikelola oleh Direktorat Jenderal Kekayaan Negara (DJKN). Apabila ditarik dari segi aplikasi, maka pada proses utama menggunakan aplikasi Modul KN sedangkan proses ikutan menggunakan aplikasi Simple. Berdasarkan Blue Print (Cetak Biru) TIK DJKN, bahwa terdapat beberapa sistem aplikasi yang ada di DJKN dalam menunjang kinerja organisasi yaitu dapat dilihat pada Gambar 5.3: Universitas Indonesia


52

Gambar 5.3 Pemetaan aplikasi di DJKN Sumber: Blue Print TIK DJKN: 2008

Pada Gambar 5.3 tersebut dapat diketahui bahwa terdapat beberapa aplikasi yang dipetakan sesuai dengan ApplicationsPortofolio (Ward & Peppard, 2002) yang dapat dijelaskan pada Gambar 5.4:

Gambar 5.4 Applications Portofolio Sumber: Strategic Planning for Information Systems Third Edition: 2002

Sesuai dengan keterangan pada Gambar 5.4 terdapat aplikasi yang bersifat keyoperasional yaitu aplikasi yang sangat vital dimana apabila aplikasi tersebut mengalami gangguan maka proses bisnis tidak dapat berjalan dan memberikan kerugian yang besar bagi DJKN. Kedua aplikasi tersebut adalah Modul Kekayaan Universitas Indonesia


53

Negara (Modul KN) dan Sistem Informasi Piutang dan Lelang (SIMPLE). Oleh karena itu penelitian ini difokuskan pada aplikasi Modul KN dikarenakan memiliki proses bisnis dan informasi utama dalam menunjang kinerja di lingkungan DJKN. Berdasarkan laporan manajemen risiko semester I tahun 2014 pada sub bab 4.6 dapat diketahui bahwa laporan tersebut menjelaskan tentang risiko bisnis yang dapat terjadi berdasarkan sasaran strategis. Dalam hal ini tidak terdapat laporan tentang risiko TI dan risiko keamanan informasi yang dapat menyebabkan risiko bisnis

dikarenakan

belum

adanya

framework

pengelolaan

risiko

yang

komprehensif. Untuk itu dalam penelitian ini dilakukan analisis terhadap sasaran strategis yang berhubungan antara risiko bisnis, risiko TI dan risiko keamanan informasi dimana terdapat pada sasaran strategis pengelolaan dan pengembangan TIK yang optimal. Adapun risiko yang dihadapi yaitu tidak terealisasinya pembangunan sistem informasi yang mendukung proses bisnis dimana mempunyai nilai risiko sedang, sedangkan nilai risiko residual yang diharapkan adalah bernilai rendah. Oleh karena itu perlu dilakukan analisis manajemen risiko terhadap aplikasi Modul KN sebagai sistem informasi utama khususnya dalam hal keamanan informasi sehingga dapat mendukung proses bisnis di DJKN dengan baik. Aplikasi Modul KN adalah aplikasi yang digunakan oleh DJKN yang mendapatkan data dari aplikasi Sistem Informasi Manajemen dan Akutansi Barang Milik Negara (SIMAK-BMN) Kementerian/Lembaga yang bertujuan untuk melakukan rekonsiliasi pengelolaan BMN dalam rangka penyusunan Laporan Keuangan Pemerintah Pusat (LKPP) yang dapat dilihat pada Gambar 5.5:



54

KANTOR PUSAT

KPKNL/KANWIL

SATKER K/L Mengirim data dari SIMAK BMN

Selesai Tidak sesuai

Sesuai

Sesuai Mulai

DJPB

Melakukan rekonsiliasi

Pembuatan Laporan

Melakukan rekapitulasi Tidak sesuai

Mengirim data dari SAKPA

Gambar 5.5 Proses bisnis aplikasi Modul KN Pada Gambar 5.5 dapat dijelaskan bahwa proses bisnis aplikasi Modul KN dimulai setelah mendapatkan data SIMAK-BMN dari Kementerian/Lembaga dan data Sistem Akuntansi Pengguna Anggaran (SAKPA) dari Ditjen Perbendaharaan (DJPB). KPKNL/Kanwil melakukan rekonsiliasi pengelolaan BMN menggunakan aplikasi Modul KN, apabila telah sesuai maka akan dilakukan pembuatan laporan tapi apabila tidak sesuai makadikembalikan ke Kementerian/Lembaga untuk dilakukan perbaikan. KPKNL/Kanwil mengirimkan laporan ke kantor pusat untuk dilakukan rekapitulasi, apabila tidak sesuai maka akan dikembalikan ke KPKNL/Kanwil untuk dilakukan perbaikan. Adapun mengenai topologi jaringan yang digunakan oleh aplikasi Modul KN dapat dilihat pada Gambar 5.6:

Access Switch

Switch Access

Core Switch

Router

Firewall PC KANWIL

Database Server DATA CENTER

Access Switch

Storage Server

ISP Access Switch Router

Distributor Switch

PC KPKNL

Database Server

KANTOR PUSAT

PC

Gambar 5.6 Arsitektur teknologi informasi aplikasi Modul KN Universitas Indonesia


55

Pada Gambar 5.6 merupakan arsitektur teknologi informasi yang mendukung aplikasi Modul KN yang terdiri dari perangkat keras (hardware), perangkat lunak (software) maupun perangkat jaringan (network). Aplikasi modul KN merupakan aplikasi berbasis desktop sehingga harus diinstal di tiap PC baik di KPKNL, Kanwil maupun Kantor Pusat. Database aplikasi disimpan di masing-masing server database KPKNL/Kanwil kemudian ditarik oleh kantor pusat dan disimpan di server storage. Media jaringan menggunakan Virtual Private Network (VPN) melalui Telkom dan melalui jaringan Pusintek. 5.1.3 Organisasi Manajemen Risiko Keamanan Informasi Berdasarkan PMK No.191/PMK.09/2008 dijelaskan bahwa terdapat dua tingkatan dalam pengorganisasian manajemen risiko yaitu: a.

Pengendalian tingkat kebijakan (tingkat kementerian) dimana membentuk komite manajemen risiko yang terdiri dari pejabat eselon I dan dua orang pejabat eselon II pada tiap eselon I sebagai anggota (salah satu pejabat eselon II ditunjuk sebagai ketua manajemen risiko);

b.

Pengendalian tingkat operasional (tingkat eselon I) yang terdiri dari satu orang pejabat eselon II yang ditunjuk sebagai ketua manajemen risiko, unit eselon II sebagai pemilik risiko, unit eselon III sebagai koordinator manajemen risiko dan pejabat eselon IV yang ditunjuk sebagai administrator manajemen risiko.

Menurut hasil wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi Bpk. Agus Setyo Pambudi tanggal 27 Maret 2014 bahwa DJKN telah menunjuk sekretaris DJKN sebagai ketua manajemen risiko dan Direktur PKNSI sebagai anggota komite manajemen risiko. Berdasarkan Surat Edaran No.6/KN/2012 tentang struktur tim keamanan informasi bahwa DJKN telah menunjuk Direktur Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI) sebagai ketua tim keamanan informasi kantor pusat (CISO DJKN) dan Kasubdit Pengolahan Data dan Layanan Operasional (PDLO) sebagai koordinator keamanan informasi kantor pusat (IS Manager DJKN). Universitas Indonesia


56

Oleh karena itu dapat ditunjuk Direktur Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI) sebagai ketua manajemen risiko khususnya terkait keamanan informasi dikarenakan telah menjadi CISO DJKN dan mengelola aplikasi Modul Kekayaan Negara yang menampung informasi utama yang dibutuhkan oleh unit eselon II lainnya dan kantor operasional sebagai pemilik risiko. Adapun posisi ketua manajemen risiko keamanan informasi berada dibawah ketua manajeme risiko yang mengelola semua risiko di DJKN. Struktur organisasi manajemen risiko keamanan informasi dapat dilihat pada Gambar 5.7:

Gambar 5.7 Struktur organisasi manajemen risiko keamanan informasi di DJKN Pada Gambar 5.7 digambarkan struktur organisasi terkait dengan manajemen risiko keamanan informasi di DJKN yang terdiri Ketua Manajemen Risiko di DJKN adalah Sekretaris DJKN, Ketua Manajemen Risiko Keamanan Informasi adalah Direktur PKNSI dan Unit Pemilik Resiko adalah seluruh unit eselon II dan kantor operasional DJKN. Alur koordinasi antar tingkatan struktur ditunjukkan oleh tanda panah kebawah dan alur pelaporan antar tingkatan struktur ditunjukkan Universitas Indonesia


57

oleh tanda panah putus-putus keatas. Adapun peran dan tanggung jawab struktur manajemen risiko keamanan informasi sebagai berikut: 

Ketua Manajemen Risiko berperan sebagai pimpinan tertinggi dalam pengelolaan risiko di DJKN. Bertanggung jawab untuk menyusun arah kebijakan, strategi penerapan, metodologi manajemen risiko dan mengembangkan kerangka kerja manajemen risiko secara terpadu dan menyeluruh.



Ketua Manajemen Risiko Keamanan Informasi berperan sebagai pimpinan tertinggi dalam pengelolaan risiko keamanan informasi di DJKN. Bertanggung jawab untuk memelihara, mengendalikan, mengukur efektivitas dan konsistensi penerapan kebijakan, standar dan risiko keamanan informasi.



Unit Pemilik Risiko berperan sebagai pihak yang memiliki risiko. Bertanggung jawab untuk menetapkan dan menyusun laporan tentang profil, penanganan dan monitoring risiko keamanan informasi.

5.2 Penilaian Risiko Pada sub bab ini dilakukan dua tahap yaitu tahap identifikasi risiko dan estimasi risiko. Identifikasi risiko dilakukan dengan mengidentifikasi aset, ancaman, kontrol dan kerawanan sedangkan estimasi risiko adalah menentukan dampak dan kecenderungan risiko yang diukur secara kualitatif maupun kuantitatif. 5.2.1 Identifikasi Risiko Dalam hal ini dilakukan identifikasi terhadap aset utama dan aset pendukung dalam aplikasi Modul KN kemudian langkah selanjutnya melakukan identifikasi terhadap ancaman yang terjadi pada setiap aset, mengidentifikasi pengendalian (control) yang sudah digunakan dalam melindungi aset serta mengidentifikasi kerawanan yang diakibatkan oleh kontrol yang tidak berjalan dengan baik atau belum terdapat kontrol dalam mencegah ancaman tersebut. Aset utama berupa proses bisnis yang ada dalam aplikasi Modul KN (rekonsiliasi, rekapitulasi, pembuatan laporan, backup data dan restore data) dan informasi Universitas Indonesia


58

yang ada didalamnya (database kekayaan negara). Aset pendukung berupa elemen atau perangkat yang menjadi wadah terhadap proses bisnis dan informasi yang berjalan. Untuk lebih jelasnya dapat dilihat pada Tabel 5.6: Tabel 5.6 Rincian aset pada Modul KN No

Jenis Aset

Aset

Nilai Aset

Pemilik Aset

Lokasi Aset  KPKNL  Kanwil  Kantor Pusat

Aplikasi Modul KN

Aset Pendukung

2

Database Kekayaan Negara

Aset utama

Subdit Pengolahan Data dan Layanan Operasional

3

Database server

Aset Pendukung


4

Storage Server

Aset Pendukung


Kantor Pusat

5

Core switch

Aset Pendukung


Kantor Pusat

6

Distributor Switch

Aset Pendukung


Kantor Pusat

7

Access Switch

Aset Pendukung


8

Firewall

Aset Pendukung


 KPKNL  Kanwil  Kantor Pusat Kantor Pusat

9

Kabel Jaringan

Aset Pendukung

 KPKNL  Kanwil  Kantor Pusat


10

PC

Aset Pendukung

11

Windows OS

Aset Pendukung

12

Oracle 10G

Aset Pendukung

 KPKNL  Kanwil  Kantor Pusat  KPKNL  Kanwil  Kantor Pusat Subdit Pengolahan Data dan Layanan Operasional

13

Linux Redhat

Aset Pendukung


14

Antivirus

Aset Pendukung

 KPKNL  Kanwil  Kantor Pusat  KPKNL  Kanwil  Kantor Pusat  KPKNL  Kanwil  Kantor Pusat  KPKNL  Kanwil  Kantor Pusat  KPKNL  Kanwil  Kantor Pusat

1

Subdit Perancangan dan Pengembangan Aplikasi

Teknologi


 KPKNL  Kanwil  Kantor Pusat  KPKNL  Kanwil



59

Tabel 5.6 Rincian aset pada Modul KN (lanjutan) No

Jenis Aset

Aset

Nilai Aset

Pemilik Aset

Lokasi Aset

15

Operator KPKNL

Aset Pendukung

KPKNL

KPKNL

16

Operator Kanwil

Aset Pendukung

Kanwil

Kanwil

Operator Kantor Pusat

Aset Pendukung

Kantor Pusat

Kantor Pusat

Programmer

Aset Pendukung

Subdit Perancangan dan Pengembangan Aplikasi

Kantor Pusat

19

Teknisi Jaringan

Aset Pendukung


Kantor Pusat

20

Database Administrator

Aset Pendukung


Kantor Pusat

21

Petugas Help Desk

Aset Pendukung


Kantor Pusat

22

Proses Rekonsiliasi

Aset utama

 KPKNL  Kanwil


23

Proses Rekapitulasi

Aset utama

 Kantor Pusat

 Kantor Pusat

Proses Pembuatan Laporan

Aset utama



25

Proses backup data

Aset utama

26

Proses restore data

Aset utama

 KPKNL  Kanwil  Kantor Pusat  KPKNL  Kanwil  Kantor Pusat

 KPKNL  Kanwil  Kantor Pusat  KPKNL  Kanwil  Kantor Pusat

17

18

24

Sumber Daya Manusia (SDM)

Proses Bisnis

Setelah dilakukan identifikasi aset utama dan pendukung terhadap aplikasi Modul KN selanjutnya dilakukan identifikasi ancaman pada setiap aset dan menentukan sumber dari ancaman tersebut. Untuk lebih jelasnya dapat dilihat pada Tabel 5.7:



60

Tabel 5.7 Identifikasi ancaman tiap aset No 1.

Aset Aplikasi Modul KN

Ancaman

Sumber

 Terjadi permasalahan saat mengoperasikan aplikasi  Proses troubleshooting aplikasi terhambat

 Vendor  Programmer  Vendor  Programmer

 Penyalahgunaan hak

 Hacker

2


 Informasi rahasia mudah dibaca

 Hacker  Orang yang tidak berhak

3

Database server


 Hacker  Orang yang tidak berhak

4

Storage Server

 Server tidak bisa diakses  Penyalahgunaan hak

 Database Administrator  Hacker

5

Core switch

 Server tidak bisa diakses  Penyalahgunaan hak

 Database Administrator  Hacker

 Koneksi terputus

 Hacker  Listrik  Hacker

6

Distributor Switch

 Penyalahgunaan hak  Koneksi terputus

7

Access Switch


8

Router


9

Kabel Jaringan

10

PC

 Hacker  Listrik  Hacker  Hacker  Listrik  Hacker

 Koneksi ke perangkat mengalami gangguan  Permasalahan penggunaan

 Hacker  Listrik  Teknisi Jaringan  Pengguna  Virus

 Data hilang/rusak

 Virus  Virus

11

Windows OS

12

Oracle 10G

 Permasalahan saat penggunaan  Penyalahgunaan hak

13

Linux Redhat


 Hacker

14

Antivirus


 Virus

 Hacker



61

Tabel 5.7 Identifikasi ancaman tiap aset (lanjutan) No

Aset

Ancaman

Sumber  Operator KPKNL  Operator KPKNL

Operator Kanwil

 Kerusakan perangkat  Adanya permasalahan dalam pengoperasian  Kerusakan perangkat

 Operator Kanwil

17


 Adanya permasalahan dalam pengoperasian  Kerusakan perangkat

18

Programmer

 Programmer

19

Teknisi Jaringan

 Update aplikasi kurang sempurna  Kebocoran data  Kerusakan perangkat  Informasi hilang atau rusak

 Teknisi Jaringan

15

Operator KPKNL

16

 Operator Kanwil

 Operator Kantor Pusat

 Hacker  Teknisi Jaringan

20


 Kebocoran data

 Database Administrator

21

Petugas Help Desk

 Proses kerja lebih lama

 Petugas Helpdesk

22

Proses Rekonsiliasi

 Adanya proses data yang ilegal

 Operator KPKNL

23

Proses Rekapitulasi



24



25

Proses backup data

 Adanya proses data yang ilegal  Kesalahan pelaporan  Database hilang/rusak

26

Proses restore data

 Kesalahan data

 Operator KPKNL  Operator Kanwil  Operator Kantor Pusat  Database Administrator

 Operator Kantor Pusat  Operator KPKNL  Operator Kanwil  Operator Kantor Pusat  Database Administrator

Untuk menekan ancaman yang dapat merugikan kinerja DJKN khususnya terkait dengan aplikasi Modul KN maka telah dilakukan beberapa kontrol yaitu dapat dilihat pada Tabel 5.8:



62

Tabel 5.8 Identifikasi kontrol yang sudah ada No

Aset

Deskripsi kontrol yang sudah ada  Prosedur penggunaan dan pengoperasian aplikasi  Role Authorization  Koordinasi internal dengan instansi terkait  Ditampung dalam server database dan storage

1.

Aplikasi Modul KN

2


3

Database server

 Diletakkan pada ruang data center  Terdapat access control yaitu finger print saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus  Adanya prosedur backup dan restore database

4

Storage Server

5

Core switch

 Diletakkan pada ruang data center  Terdapat access control yaitu finger print saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus  Adanya prosedur backup dan restore database  Diletakkan pada ruang data center  Terdapat access control yaitu finger print saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus

6

Distributor Switch

 Diletakkan pada ruang data center  Terdapat access control yaitu finger print saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus

7

Access Switch

 Diletakkan pada ruang data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus

8

Router

9

Kabel Jaringan

 Diletakkan pada ruang data center  Terdapat access control yaitu finger print saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus  Adanya prosedur instalasi jaringan



63

Tabel 5.8 Identifikasi kontrol yang sudah ada (lanjutan) No

Aset

Deskripsi kontrol yang sudah ada  Diletakkan di ruangan kantor yang terkunci  Masuk dalam daftar inventarisasi aset  Adanya lisensi namun terbatas  Adanya inventarisasi lisensi  Adanya lisensi namun terbatas  Adanya inventarisasi lisensi  Adanya lisensi namun terbatas  Adanya inventarisasi lisensi  Adanya lisensi namun terbatas

10

PC

11

Windows OS

12

Oracle 10G

13

Linux Redhat

14

Antivirus

15

Operator KPKNL

16

Operator Kanwil

17


18

Programmer

      

19

Teknisi Jaringan

 Adanya prosedur penambahan instalasi jaringan

20


21

Petugas Help Desk

22

Proses Rekonsiliasi

     

23

Proses Rekapitulasi

 Adanya prosedur dalam proses rekapitulasi

24


 Adanya prosedur dalam proses pembuatan laporan

25

Proses backup data

 Adanya prosedur umum dalam proses backup data

26

Proses restore data

 Adanya prosedur umum dalam proses restore data

Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Adanya role authorization Adanya prosedur pelaporan gangguan aplikasi Adanya prosedur pengelolaan aplikasi

Adanya prosedur pengelolaan database Adanya prosedur backup dan restore database Adanya prosedur penanganan gangguan Adanya web help desk untuk mengelola gangguan Adanya dokumentasi gangguan yang sudah terjadi Adanya prosedur dalam proses rekonsiliasi

Setelah melakukan identifikasi ancaman dan kontrol yang ada pada setiap aset, maka dilakukan identifikasi kerentanan (vulnerability) yang terjadi pada aset tersebut. Kerentanan dapat terjadi dikarenakan belum adanya kontrol atau kontrol yang sudah ada belum dapat mengelola atau mengurangi ancaman yang terjadi. Tabel 5.9 menjelaskan mengenai identifikasi kerawanan pada tiap aset.



64

Tabel 5.9 Identifikasi kerawanan tiap aset No 1.

Aset

Ancaman

Aplikasi Modul KN

 Terjadi permasalahan saat mengoperasikan aplikasi  Proses troubleshooting aplikasi terhambat

Deskripsi kontrol yang sudah ada  Prosedur penggunaan dan pengoperasian aplikasi  Role Authorization


Kerawanan  Proses testing aplikasi tidak lengkap  Dokumentasi terhadap source code aplikasi tidak lengkap  Tidak ada logout otomatis saat meninggalkan workstation  Data tidak dienkripsi

2


 Informasi rahasia mudah dibaca

 Ditampung dalam server database dan storage

3

Database server

 Server tidak bisa diakses


 Tidak ada manajemen kapasitas


 Sharing password


4

Storage Server

 Penyalahgunaan hak  Server tidak bisa diakses


 Tidak ada manajemen kapasitas



65

Tabel 5.9 Identifikasi kerawanan tiap aset (lanjutan) No 5

6

7

8

Aset

Ancaman

Core switch


Distributor Switch


Access Switch


Router





Deskripsi kontrol yang sudah ada

Kerawanan









 Adanya port yang dibuka untuk komunikasi data





66

Tabel 5.9 Identifikasi kerawanan tiap aset (lanjutan) No

Aset

Ancaman

Deskripsi kontrol yang sudah ada

Kerawanan

9

Kabel Jaringan

 Koneksi ke perangkat mengalami gangguan

 Adanya prosedur instalasi jaringan

 Instalasi kabel jaringan tidak rapi

10

PC

 Permasalahan saat penggunaan

 Diletakkan di ruangan kantor yang terkunci

 OS bajakan

 Data hilang/rusak 11

Windows OS

 Permasalahan saat penggunaan

12

Oracle 10G


13

Linux Redhat


14

Antivirus


15

Operator KPKNL

 Kerusakan perangkat  Adanya permasalahan dalam pengoperasian

16

Operator Kanwil

 Kerusakan perangkat  Adanya permasalahan dalam pengoperasian

17


18

Programmer

 Tidak ada antivirus  Adanya lisensi namun terbatas  Adanya inventarisasi lisensi  Adanya lisensi namun terbatas  Adanya inventarisasi lisensi  Adanya lisensi namun terbatas  Adanya inventarisasi lisensi  Adanya lisensi namun terbatas  Adanya role authorization  Adanya prosedur pelaporan gangguan aplikasi  Adanya role authorization  Adanya prosedur pelaporan gangguan aplikasi

 OS bajakan



 Anti virus bajakan  Proses perekrutan kurang memadai  Penggunaan software dan hardware yang tidak benar  Proses perekrutan kurang memadai  Penggunaan software dan hardware yang tidak benar

 Kerusakan perangkat

 Adanya role authorization  Adanya prosedur pelaporan gangguan aplikasi

 Penggunaan software dan hardware yang tidak benar

 Update aplikasi kurang sempurna

 Adanya prosedur pengelolaan aplikasi

 Perubahan proses bisnis yang cepat

 Kebocoran data

 Tidak ada kebijakan clear desk dan clear screen



67

Tabel 5.9 Identifikasi kerawanan tiap aset (lanjutan) No 19

Aset

Ancaman

Teknisi Jaringan

 Kerusakan perangkat

Deskripsi kontrol yang sudah ada  Adanya prosedur penambahan instalasi jaringan

 Informasi hilang atau rusak

Kerawanan  Proses rekrutmen kurang memadai  Tidak ada kebijakan clear desk dan clear screen

20

Database Administra tor

 Kebocoran data

 Adanya prosedur pengelolaan database  Adanya prosedur backup dan restore database  Adanya prosedur penanganan gangguan  Adanya web help desk untuk mengelola gangguan  Adanya dokumentasi gangguan yang sudah terjadi  Adanya prosedur dalam proses rekonsiliasi

 Tidak ada kebijakan clear desk dan clear screen

21

Petugas Help Desk

 Proses kerja lebih lama

22

Proses Rekonsilia si


23

Proses  Adanya proses data yang ilegal Rekapitulasi


 Adanya proses yang tidak sesuai prosedur

24



 Adanya prosedur dalam proses pembuatan laporan


25

Proses backup data

 Database hilang/rusak

 Adanya prosedur umum dalam proses backup data


26

Proses restore data

 Kesalahan data


 Kesalahan pemilihan data yang direstore

 Proses rekrutmen kurang memadai


5.2.2 Estimasi Risiko Tahap selanjutnya setelah dilakukan identifikasi risiko yaitu melakukan estimasi risiko dengan menentukan tingkat dampak yang ditimbulkan apabila ancaman pada setiap aset berhasil dieksploitasi dan menentukan tingkat kecenderungan yang dinilai berdasarkan wawancara dengan narasumber terkait dan pengalaman Universitas Indonesia


68

kejadian sebelumnya yang bersumber dari rekap helpdesk TIK DJKN dapat dijabarkan pada Tabel 5.10: Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset No

1.

Aset Aplikasi Modul KN (A1)

Ancaman

Dampak

Level

Terjadi permasalahan saat mengoperasikan aplikasi (T1)

 Aplikasi tidak bisa digunakan  Seluruh kantor operasional tidak dapat menggunakan aplikasi  Terdapat beberapa atau semua menu aplikasi bermasalah  Berdampak pada seluruh kantor operasional  Informasi rahasia tersebar ke orang yang tidak berhak

Tinggi

Rata-rata terjadi 9 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada

Sedang

Tinggi

Rata-rata terjadi 9 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada

Sedang

Tinggi

Rata-rata terjadi 9 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada

Sedang

Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada

Sedang

Proses troubleshooting dan update aplikasi terhambat (T2)

Penyalahgunaan hak (T3)

2

Database Kekayaan Negara (A2)

Informasi rahasia mudah dibaca (T4)

 Informasi rahasia tersebar ke orang yang tidak berhak  Berdampak pada seluruh kantor operasional

Tinggi

3

Database server (A3)


 Data hilang/rusak  Berdampak pada seluruh kantor operasional

Tinggi

Server tidak bisa diakses (T5)

 Proses bisnis terhenti antara 312 jam  Berdampak pada beberapa kantor operasional

Sedang

Kecenderungan

Level

Sedang

Sedang



69

Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No 4

Aset Storage Server

Ancaman

Dampak

Level


 Data hilang/rusak (ada backup)  Berdampak pada kantor pusat

Sedang

Server tidak bisa diakses

 Proses bisnis terhenti antara 312 jam  Berdampak pada kantor pusat

Sedang


 Koneksi jaringan di kantor pusat terhenti 3-12 jam

Sedang

Koneksi lambat (T6)

 Koneksi jaringan di kantor pusat lambat 3-12 jam

Sedang


 Koneksi jaringan di kantor pusat terhenti kurang dari 3 jam

Sedang

Koneksi lambat (T6)

Koneksi jaringan di kantor pusat lambat kurang dari 3 jam

Sedang


 Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam

Sedang

Koneksi lambat (T6)

 Koneksi jaringan di beberapa kantor operational lambat 3-12 jam

Sedang

(A4)

(T5)

5

6

7

Core switch (A5)

Distributor Switch (A6)

Access Switch (A7)

Kecenderungan

Level

Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada

Rendah

Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan Rata-rata terjadi 16 kali permasalahan dalam setahun di KPKNL dan Kanwil dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 16 kali permasalahan dalam setahun di KPKNL dan Kanwil dan kontrol sudah dapat mengurangi kerawanan yang ada

Rendah

Rendah

Rendah

Rendah

Sedang

Sedang

Sedang



70

Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No

Aset

Dampak

Konsekuensi

Level

8

Router (A8)



Sedang

9

Kabel Jaringan (A9)

Koneksi ke perangkat mengalami gangguan (T7)

 Koneksi jaringan kurang dari 20 kantor operasional terhenti kurang dari jam

Rendah

10

PC

Permasalahan saat penggunaan (T1)

 Aplikasi tidak bisa dijalankan di beberapa kantor operasional

Sedang

Data hilang/rusak (T8)

 Data hilang/rusak di beberapa kantor operasional

Sedang

(A10)

11

Windows OS (A11)



Sedang

12

Oracle 10G (A12)


 Data hilang/rusak pada beberapa kantor operasional

Sedang

13

Linux Redhat (A13)



Sedang

14

Antivirus (A14)



Sedang

Kecenderungan Rata-rata terjadi 16 kali permasalahan dalam setahun di KPKNL dan Kanwil dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 16 kali permasalahan dalam setahun di KPKNL dan Kanwil dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 11 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 11 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada Rata-rata terjadi 6 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan Rata-rata terjadi 16 kali permasalahan dalam setahun dan kontrol sudah dapat mengurangi kerawanan

Level Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang

Sedang



71


16

Aset

Ancaman

Operator KPKNL (A15)

Operator Kanwil (A16)

Dampak

Level

Kecenderungan

Level

Kurang menguasai penggunaan aplikasi (T9)

 Proses bisnis terhenti lebih dari 12 jam  Berdampak lebih dari 20 kantor operasional

Tinggi

Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan yang ada

Rendah

Adanya permasalahan dalam pengoperasian perangkat (T1)

 Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam

Tinggi


Rendah



Tinggi


Rendah


Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam

Tinggi


Rendah

Kerusakan perangkat sehingga layanan terhenti 3 - 12 jam

Sedang


Rendah

17

Operator Kantor Pusat (A17)


18

Programmer (A18)

Update aplikasi kurang sempurna (T10)

 Aplikasi mengelami masalah di semua kantor operasional

Tinggi


Rendah

Kebocoran data (T11)

 Informasi rahasia tersebar

Tinggi

Permasalahan kurang dari 5 kali dalam setahun dan kontrol sudah dapat mengurangi kerawanan

Rendah



72


Aset

Ancaman

Dampak

Level

Teknisi Jaringan (A19)

Kecenderungan

Level

Kurangnya pemeliharaan (T12)

 Kerusakan perangkat yang berdampak pada beberapa kantor operasional

Sedang


Rendah

Akses ilegal (T13)

 Layanan lambat/terhenti 312 jam di beberapa kantor operasional

Sedang


Rendah

20

Database Admin (A20)



Tinggi


Rendah

21

Petugas Help Desk (A21)

Proses kerja lebih lama (T12)

 Pelayanan lambat/terhenti di beberapa kantor operasional

Sedang


Rendah

22

Proses Rekonsiliasi (A22)

Adanya proses data yang ilegal (T13)

 Adanya kerusakan data di hampir semua kantor operasional

Tinggi


Rendah

23

Proses Rekapitulasi (A23)


 Adanya kerusakan data di kantor pusat

Sedang


Rendah

24

Proses Pembuatan Laporan (A24)



Sedang


Rendah



73


Aset

Ancaman

Dampak

Level

Teknisi Jaringan (A19)

Kecenderungan

Level



Sedang


Rendah

Akses ilegal (T13)

 Layanan lambat/terhenti 312 jam di beberapa kantor operasional

Sedang


Rendah

20




Tinggi


Rendah

21




Sedang


Rendah

22

Proses Rekonsiliasi (A22)



Tinggi


Rendah

23

Proses Rekapitulasi (A23)



Sedang


Rendah

24




Sedang


Rendah



74

Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan) No

Aset

Ancaman

Dampak

Level

Kecenderungan

25

Proses backup data (A25)

Database hilang/rusak (T8)

 Data hilang/rusak di beberapa kantor operasional

Sedang


26

Proses restore data (A26)

Kesalahan data (T14)

 Layanan terhenti di sebagian kecil kantor operasional

Rendah


5.3 Evaluasi Risiko Pada tahap ini dilakukan evaluasi risiko berdasarkan dampak yang dapat terjadi oleh tiap ancaman

pada masing-masing aset terhadap kecenderungan atau

peluang terjadinya dampak tersebut. Berdasarkan ISO 27005 terdapat lima tingkatan dampak dan kecenderungan, dikarenakan tingkatan dampak dan kecenderungan yang dianalisis memiliki tiga tingkatan oleh karena itu proses evaluasi risiko menggunakan framework dari NIST 800-30. Adapun evaluasi risiko berdasarkan matriks pada Tabel 5.11: Tabel 5.11 Matriks penentuan tingkatan evaluasi risiko Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)

Rendah (10)

Sedang (50)

Tinggi (100)

Rendah 10 x 1.0 = 10 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1

Sedang 50 x 1.0 =50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5

Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10

Tabel 5.11 menjelaskan terdapat tiga tingkatan evaluasi risiko yang merupakan hasil matrik dari tingkat dampak terhadap kecenderungan pada masing-masing aset dan ancaman yang menyertai. Cara mengetahui tingkatan risiko yaitu:



75 

Rendah (1 sampai 10);



Sedang (>10 sampai 50);



Tinggi (>50 sampai 100).

Berikut adalah rangkuman keseluruhan nilai evaluasi risiko pada tiap skenario risiko yang ditunjukkan pada Tabel 5.12: Tabel 5.12 Matrik nilai evaluasi risiko

Berdasarkan hasil penghitungan nilai risiko pada Tabel 5.12 maka dapat dilakukan prioritas penanganan risiko dari nilai risiko tertinggi sampai dengan nilai risiko terendah pada Tabel 5.13:



76

Tabel 5.13 Prioritas risiko berdasarkan nilai risiko Prioritas 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38

Skenario A1 dan T1 A1 dan T2 A1 dan T3 A2 dan T4 A3 dan T3 A13 dan T3 A14 dan T8 A3 dan T5 A7 dan T3 A7 dan T6 A8 dan T3 A10 dan T1 A10 dan T8 A11 dan T1 A12 dan T3 A15 dan T1 A15 dan T9 A16 dan T1 A16 dan T9 A18 dan T10 A18 dan T11 A20 dan T11 A22 dan T13 A4 dan T3 A4 dan T5 A5 dan T3 A5 dan T6 A6 dan T3 A6 dan T6 A9 dan T7 A17 dan T1 A19 dan T12 A19 dan T13 A21 dan T12 A23 dan T13 A24 dan T13 A25 dan T8 A26 dan T14

Nilai Risiko Sedang(50) Sedang(50) Sedang(50) Sedang(50) Sedang(50) Sedang(50) Sedang(50) Sedang(25) Sedang(25) Sedang(25) Sedang(25) Sedang(25) Sedang(25) Sedang(25) Sedang(25) Rendah(10) Rendah(10) Rendah(10) Rendah(10) Rendah(10) Rendah(10) Rendah(10) Rendah(10) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah(5) Rendah (1)



77

5.4 Penanganan Risiko Menurut ISO 27005 terdapat empat macam penanganan risiko yaitu kontrol untuk mengurangi (reduction), mempertahankan (retention), menghindari (avoidance) atau mentransfer (transfer). Kontrol harus dipilih dan kemudian mempersiapkan rencana penanganan risiko tersebut. Pemilihan kontrol harus disesuaikan dengan risiko residual yang diharapkan. Apabila sudah sesuai dengan risiko residual yang diharapkan maka sebaiknya tidak perlu dilakukan kontrol tambahan, apabila nilai risiko lebih tinggi dari risiko residual yang diharapkan maka harus dilakukan kontrol tambahan. Berdasarkan hasil wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi terkait Laporan Manajemen Risiko semester I tahun 2014 bahwa risiko residual yang diharapkan adalah risiko yang mempunyai: 

Maksimal mempunyai nilai dampak dengan tingkat sedang dan mempunyai nilai kecenderungan dengan tingkat rendah;



Maksimal mempunyai nilai risiko dengan tingkat rendah atau bernilai 5.

Adapun penjelasan mengenai pelaksanaan penanganan risiko di DJKN antara lain: 5.4.1 Mengurangi risiko Merupakan tindakan yang dilakukan untuk mengurangi risiko melalui pemilihan kontrol sehingga risiko risidual dapat dinilai sebagai risiko yang dapat diterima. Secara umum kontrol dapat memberikan satu atau lebih dari jenis perlindungan misalnya berupa koreksi, eliminasi, pencegahan, minimalisasi dampak, penolakan, deteksi, pemulihan, pengawasan dan kesadaran. Adapun kondisi risiko yang dapat dikurangi dalam penelitian ini antara lain: 

DJKN memiliki sumber daya yang memadai untuk membiayai pelaksanaan kontrol yang digunakan;



Pemilihan kontrol dilakukan dengan efektif, efisien dan tidak mengganggu proses bisnis yang berjalan;



Manfaat yang diperoleh dari pemilihan kontrol harus lebih besar terhadap biaya yang akan dikeluarkan.



78

5.4.2 Mempertahankan risiko Menurut ISO 27005 bahwa mempertahankan risiko adalah tanpa melakukan tindakan lebih lanjut asalkan memenuhi kriteria penerimaan risiko. Seperti yang telah dijelaskan sebelumnya pada sub bab 5.1 tentang penetapan konteks penerimaan risiko, maka keadaan yang harus dipenuhi antara lain: 

Selera risiko maksimal memiliki tingkat risiko residual rendah yang terdiri dari tingkat konsekuensi sedang dan tingkat kecenderungan rendah;



Terdapat perlindungan hukum yang memadai mencakup regulasi dan atau perjanjian/kontrak;



Unit pengambil risiko dan pemilik risiko terkait dapat memastikan dengan tingkat keyakinan diatas 85 % bahwa tidak akan terjadi kegagalan pada orang, proses dan sistem yang ada.

5.4.3 Menghindari risiko Merupakan kegiatan menghindari risiko sepenuhnya dikarenakan risiko yang teridentifikasi dianggap terlalu tinggi atau biaya pelaksanaan pilihan penanganan risiko melebihi manfaatnya. Hal ini dapat dilakukan dengan membatalkan suatu kegiatan yang direncanakan atau yang sudah ada. Risiko yang disebabkan oleh alam, alternatif yang paling efektif adalah untuk memindahkan fasilitas pengolahan informasi secara fisik ke tempat dimana tidak ada risiko yang dapat menyebakan kerugian bagi DJKN. 5.4.4 Mentransfer risiko Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal yang mampu dan bertanggung jawab terhadap pengelolaan risiko. Adapun kriteria risiko yang harus ditransfer dalam penelitian ini antara lain: 

Risiko residual dengan tingkat konsekuensi pada level yang tidak dapat diterima sesuai dengan selera risiko;



DJKN tidak memiliki sumber daya yang memadai untuk melakukan pengurangan risiko tersebut.



79

Berdasarkan penjelasan diatas maka dapat dilakukan analisis penanganan risiko terhadap tiap skenario yang telah diprioritaskan menurut nilai risiko yaitu dapat dijelaskan pada Tabel 5.14:



80

Tabel 5.14 Analisis Penanganan Risiko No

Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko

Kontrol yang sudah ada

Rekomendasi kontrol

Keterangan

1

Aplikasi Modul KN (A1)


Proses testing tidak lengkap

 Vendor  Programmer

 Aplikasi tidak bisa digunakan  Seluruh kantor operasional tidak dapat menggunakan aplikasi

Sedang (50)

 Prosedur penggunaan dan pengoperasian aplikasi  Role Authorization

 Prosedur pengetesan aplikasi  Evaluasi pembuatan aplikasi

 Nilai risiko melebihi nilai risiko residual yang diharapkan  Harus dilakukan kontrol tambahan

2



Dokumentasi terhadap source code aplikasi tidak lengkap


Sedang (50)


 Prosedur serah terima aplikasi


3



Tidak ada logout otomatis saat meninggalkan workstation

 Vendor  Programmer  Operator KPKNL  Operator Kanwil

 Terdapat beberapa atau semua menu aplikasi bermasalah  Berdampak pada seluruh kantor operasional  Informasi rahasia tersebar ke orang yang tidak berhak

Sedang (50)


 Pembuatan logout otomatis aplikasi




81

Tabel 5.14 Analisis Penanganan Risiko (lanjutan) No

Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko


4



Data rahasia tidak dienkripsi

 Database Admin


Sedang (50)

Ditampung dalam server database dan storage

5



Sharing password

 Database Admin  Operator KPKNL  Operator Kanwil  Operator Kantor Pusat


Sedang (50)

 Diletakkan pada ruang data center  Terdapat access control yaitu finger print dan CCTV saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus  Adanya prosedur backup dan restore database

Rekomendasi control

Keterangan

 Melakukan enkripsi terhadap elemen data yang bersifat rahasia


 Pembuatan role authorization




82


Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko


Rekomendasi kontrol

6

Linux Redhat (A13)


Sharing Password

 Hacker


Sedang (50)

 Adanya lisensi namun terbatas  Adanya inventarisasi lisensi


7

Antivirus (A14)


Anti virus bajakan

 Virus


Sedang (50)

 Adanya lisensi namun terbatas

 Pengadaan software antivirus

8



Tidak ada manajemen kapasitas

 Database Admin

 Proses bisnis terhenti antara 3-12 jam  Berdampak pada beberapa kantor operasional

Sedang (25)

 Diletakkan pada ruang data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus Adanya prosedur backup dan restore database

 Pembuatan manajemen kapasitas menggunakan software monitoring

Keterangan

 Nilai risiko melebihi nilai risiko residual yang diharapkan  Harus dilakukan kontrol tambahan  Nilai risiko melebihi nilai risiko residual yang diharapkan  Harus dilakukan kontrol tambahan  Nilai risiko melebihi nilai risiko residual yang diharapkan  Harus dilakukan kontrol tambahan



83


Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko


Rekomendasi kontrol

 Diletakkan pada ruang data center  Terdapat access control yaitu finger print saat masuk data center  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus  Diletakkan pada ruang data center  Terdapat access control yaitu finger print saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus



 Manajemen port  Pengadaan CCTV


9

Access Switch (A7)


Sharing password

 Hacker


Sedang (25)

10

Access Switch (A7)

Koneksi lambat (T6)

Adanya port yang dibuka untuk komunikasi data

 Hacker

 Koneksi jaringan di beberapa kantor operational lambat 3-12 jam

Sedang (25)

Keterangan



84


Aset

Ancaman

Kerawanan

Sumber

11

Router (A8)


Sharing password

 Hacker

12

PC (A10)


OS bajakan

 Virus

13

PC (A10)


Tidak ada antivirus

 Virus

14

OS Windows (A11)


OS bajakan

 Virus

Konsekuensi

Nilai Risiko


Rekomendasi kontrol

Keterangan

 Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam  Aplikasi tidak bisa dijalankan di beberapa kantor operasional  Data hilang/rusak di beberapa kantor operasional

Sedang (25)

 Diletakkan pada ruang data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset



Sedang (25)

 Masuk dalam daftar inventarisasi aset  Diletakkan di ruangan kantor yang terkunci

 Pengadaan OS asli

Sedang (25)

 Masuk dalam daftar inventarisasi aset  Diletakkan di ruangan kantor yang terkunci

 Pengadaan antivirus asli


Sedang (25)



 Nilai risiko melebihi nilai risiko residual yang diharapkan  Harus dilakukan kontrol tambahan  Nilai risiko melebihi nilai risiko residual yang diharapkan  Harus dilakukan kontrol tambahan  Nilai risiko melebihi nilai risiko residual yang diharapkan  Harus dilakukan kontrol tambahan



85


Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko


Rekomendasi kontrol

15

Oracle 10G (A12)


Sharing password

 Hacker


Sedang (25)



16



Proses perekrutan kurang memadai

 Operator KPKNL


Rendah (10)


 Peningkatan kompetensi pegawai

17



Penggunaan software dan hardware yang tidak benar

 Operator KPKNL


Rendah (10)



Keterangan

 Nilai risiko melebihi nilai risiko residual yang diharapkan  Harus dilakukan kontrol tambahan  Nilai risiko melebihi nilai risiko residual yang diharapkan  Harus dilakukan kontrol tambahan




86


Aset

Ancaman

Kerawanan

Sumber

18




 Operator Kanwil

19




Operator Kanwil

20

Program mer (A18)


Perubahan proses bisnis yang cepat

Programmer

Konsekuensi

Nilai Risiko


Rekomendasi kontrol

Keterangan

 Proses bisnis terhenti lebih dari 12 jam  Berdampak lebih dari 20 kantor operasional  Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam

Rendah (10)




Rendah (10)





Rendah (10)


 Evaluasi dan monitoring pembuatan aplikasi




87


Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko


Rekomendasi kontrol

Keterangan

21

Program mer (A18)

Kecoran data (T11)

Tidak ada kebijakan clear desk dan clear screen

Programmer


Rendah (10)


 Awareness keamanan informasi


22




 Database Admin


Rendah (10)

 Adanya prosedur pengelolaan database  Adanya prosedur backup dan restore database



23

Proses Rekon siliasi (A22)


Adanya proses yang tidak sesuai prosedur

 Operator KPKNL  Operator Kanwil


Rendah (10)

 Adanya prosedur dalam proses rekonsiliasi

 Menetapkan aturan dan sanksi terhadap proses ilegal




88


24

Aset

Storage server (A4)

Ancaman

Penyalah-gunaan hak (T3)

Kerawanan

Sharing password

Sumber

 Hacker

Konsekuensi

Nilai Risiko


 Data hilang/rusak (ada backup)  Berdampak pada kantor pusat

Rendah (5)

 Diletakkan pada ruang data center  Terdapat access control yaitu finger print dan CCTV saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus  Adanya prosedur backup dan restore database

Rekomendasi kontrol




89


Aset

Ancaman

Kerawanan

25

Storage server (A4)



26

Core Switch (A5)


Sharing password

Sumber

Konsekuensi

Nilai Risiko


Rekomendasi kontrol

Keterangan

 Database Admin

 Proses bisnis terhenti antara 3-12 jam  Berdampak pada kantor pusat

Rendah (5)


 Nilai risiko sama dengan nilai risiko residual yang diharapkan  Tidak perlu dilakukan kontrol tambahan

 Hacker

Koneksi jaringan di kantor pusat terhenti 3-12 jam

Rendah (5)

 Diletakkan pada ruang data center  Terdapat access control yaitu finger print dan CCTV saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus  Adanya prosedur backup dan restore database  Diletakkan pada ruang data center  Terdapat access control yaitu finger print dan CCTV saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset





90


Aset

Ancaman

Koneksi lambat (T6)

27

Core Switch (A5)

28

Distributor Penyalahgunaan Switch (A6) hak (T3)

Kerawanan

Sumber

Konsekuensi

Nilai Risiko


Rekomendasi kontrol

 Diletakkan pada ruang data center  Terdapat access control yaitu finger print dan CCTV saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus  Diletakkan pada ruang data center  Terdapat access control yaitu finger print saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset  Adanya firewall dan antivirus

 Adanya manajemen dan monitoring port  Pelabelan port





 Hacker

Koneksi jaringan di kantor pusat lambat 3-12 jam

Rendah (5)

Sharing password

 Hacker

 Koneksi jaringan di kantor pusat terhenti kurang dari 3 jam

Rendah (5)

Keterangan



91


Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko


Rekomendasi kontrol

Keterangan


 Hacker

Koneksi jaringan di kantor pusat lambat kurang dari 3 jam

Rendah (5)

 Diletakkan pada ruang data center  Terdapat access control yaitu finger print saat masuk data center  Adanya inventarisasi perangkat  Terdapat UPS, baterai dan genset

 Adanya manajemen dan monitoring port  Pelabelan port



Instalasi kabel jaringan tidak rapi

 Teknisi Jaringan  Pegawai

Koneksi jaringan kurang dari 20 kantor operasional terhenti kurang dari jam

Rendah (5)

 Adanya prosedur instalasi jaringan

 Adanya monitoring dan audit instalasi jaringan




 Operator kantor pusat

Kerusakan perangkat sehingga layanan terhenti 3 - 12 jam

Rendah (5)


 Peningkatan kompetensi pegawai  Awareness keamanan informasi


29

Distributor Koneksi lambat Switch (A6) (T6)

30

Kabel Jaringan (A9)

31




92


Aset

Ancaman

Kerawanan

32

Teknisi jaringan (A19)


Kurangnya personil

33


Akses ilegal (T13)

34



Sumber

Konsekuensi

Nilai Risiko


Rekomendasi kontrol

Keterangan



Rendah (5)

Adanya prosedur penambahan instalasi jaringan

 Peningkatan kompetensi PIC TIK di KPKNL dan Kanwil


Tidakada kebijakan clear desk dan clear screen

 Teknisi Jaringan  Hacker

Rendah  Layanan lambat/terhenti (5) 3-12 jam di beberapa kantor operasional

Adanya prosedur penambahan instalasi jaringan


Proses rekrutmen kurang memadai


Rendah  Pelayanan lambat/terhenti (5) di beberapa kantor operasional

 Adanya prosedur penanganan gangguan  Adanya web help desk untuk mengelola gangguan  Adanya dokumentasi gangguan yang sudah terjadi

 Meningkatkan kompetensi pegawai  Meningkatkan layanan prima

 Nilai risiko sama dengan nilai risiko residual yang diharapkan  Tidak perlu dilakukan kontrol tambahan  Nilai risiko sama dengan nilai risiko residual yang diharapkan  Tidak perlu dilakukan kontrol tambahan



93


Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko


Rekomendasi kontrol

Keterangan

35

Proses Rekapitula si (A23)



 Operator KantorPusat


Rendah (5)



36






Rendah (5)



37






Rendah (5)

 Adanya prosedur dalam proses restore data

 Awareness keamanan informasi  Penambahan prosedur backup dan restore data

 Nilai risiko sama dengan nilai risiko residual yang diharapkan  Tidak perlu dilakukan kontrol tambahan  Nilai risiko sama dengan nilai risiko residual yang diharapkan  Tidak perlu dilakukan kontrol tambahan  Nilai risiko sama dengan nilai risiko residual yang diharapkan  Tidak perlu dilakukan kontrol tambahan



94


Aset

38


Ancaman

Kerawanan


Kesalahan pemilihan data yang direstore

Sumber


Konsekuensi

Nilai Risiko


Rekomendasi kontrol


Rendah (1)


 Penambahan prosedur backup dan restore data

Keterangan




95

Setelah dilakukan analisis penanganan risiko maka harus dilakukan pemilihan risiko mana saja yang harus dilakukan pengurangan risiko. Untuk risiko yang mempunyai nilai sama atau dibawah nilai risiko residual yang diharapkan maka risiko tersebut dipertahankan sedangkan untuk risiko yang mempunyai nilai diatas nilai risiko residual yang diharapkan maka harus dilakukan pengurangan risiko dengan menggunakan analisis biaya dan manfaat (cost benefit analisys) terhadap setiap kontrol yang akan ditambahkan. Hasil dari analisis tersebut dapat mengetahui seberapa besar biaya yang akan dikeluarkan terhadap manfaat yang akan didapatkan baik secara tangible maupun intangible. Selanjutnya ditunjuk pihak yang bertugas untuk melaksanakan tambahan kontrol tersebut berdasarkan tugas dan wewenang masing-masing. Berdasarkan analisis biaya dan manfaat tersebut dapat menentukan apakah rekomendasi kontrol tersebut dapat dijalankan atau tidak. Adapun kondisi yang ditentukan antara lain: 

Apabila biaya pengurangan risiko lebih kecil dari manfaat yang diperoleh dan terdapat sumber daya yang memadai untuk membiayai pelaksanaan kontrol maka harus dilakukan implementasi kontrol tambahan;



Apabila biaya pengurangan risiko lebih besar dari manfaat yang diperoleh dan tidak terdapat sumber daya yang memadai untuk membiayai pelaksanaan kontrol maka risiko tersebut harus dihindari (avoidance) atau ditransfer. Berikut adalah analisis biaya dan manfaat (cost benefit analisys) terhadap rekomendasi kontrol yang digunakan yang dapat dijelaskan pada Tabel 5.15:



96

Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol No

Rekomendasi Kontrol

Kontrol

Skenario

Biaya/Kegiatan

Manfaat

ISO 27002 1

Melakukan enkripsi terhadap elemen data yang bersifat rahasia

Kriptograpi (Information system acquisition, development and maintenance)

2

Menetapkan peraturan dan sanksi terhadap proses ilegal

Identifikasi peraturan yang berlaku (Compliance)

Stretegi

PIC

Penanganan A2-T4

 Honor tim untuk mengelola,  Menghindari tersebarnya melakukan monitor dan informasi rahasia perawatan elemen data pada  Penghematan: Biaya iklan di aplikasi Modul Kekayaan koran nasional untuk Negara. klarifikas terkait informasi  Biaya: (10 orang x 12 bulan rahasia yang tersebar (10 x Rp 300.000,- sebesar Rp koran nasional x 5 kali tayang 36.000.000 pertahun) x Rp 5.000.000,- sebesar Rp 250.000.000,-)

 Reduction

 Subdit Pengolahan Data dan Layanan Operasional

A22-T13

 Honor tim untuk  Terhindar dari data yang tidak menetapkan peraturan dan akurat sanksi terkait pelanggaran  Penghematan: Biaya transport prosedur aplikasi Modul dan konsumsi terkait Kekayaan Negara. pemutakhiran data (100 satker  Biaya: (10 orang x 12 bulan x 3 hari x Rp 500.000,x Rp 300.000,- sebesar Rp sebesar Rp 150.000.000,-) 36.000.000 pertahun)

 Reduction

 Direktorat dan Humas

Hukum



97

Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan) No

Rekomendasi Kontrol

Kontrol

Skenario

Biaya/Kegiatan

Manfaat

ISO 27002

Stretegi

PIC

Penanganan

3

Prosedur pengetesan aplikasi dan Evaluasi pembuatan aplikasi

Persyaratan keamanan sistem informasi (Information system acquisition, development and maintenance)

A1-T1 A18-T10

4

Prosedur serah terima aplikasi

Akses kontrol ke dalam source code program (Information system acquisition, development and maintenance)

A1-T2

 Honor tim untuk mengelola  Aplikasi Modul Kekayaan  Reduction prosedur evaluasi dan serah Negara dapat dioperasikan terima aplikasi Modul dengan baik dan jarang terjadi Kekayaan Negara. permasalahan  Biaya: (10 orang x 12 bulan  Penghematan: Biaya perbaikan x Rp 300.000,- sebesar Rp aplikasi oleh vendor di luar 36.000.000 pertahun) kontrak sebesar Rp 300.000.000,-

 Memudahkan dalam proses troubleshooting dan update aplikasi Modul Kekayaan Negara  Penghematan: Biaya perbaikan aplikasi oleh vendor di luar kontrak sebesar Rp 300.000.000,-

 Reduction

 Subdit Perancangan dan Pengembangan Sistem Aplikasi

 Subdit Perancangan dan Pengembangan Sistem Aplikasi



98


Rekomendasi Kontrol

Kontrol

Skenario

Biaya/Kegiatan

Manfaat

ISO 27002

Stretegi

PIC

Penanganan

5

Pembuatan logout otomatis aplikasi

Sesi time-out (Access Control)

A1-T3

 Honor tim untuk mengelola  Menghindari penyalahgunaan fitur logout otomatis hak oleh orang yang tidak aplikasi Modul Kekayaan berwenang Negara.  Penghematan: Biaya transport  Biaya: (10 orang x 12 bulan dan konsumsi terkait x Rp 300.000,- sebesar Rp pemutakhiran data (100 satker 36.000.000 pertahun) x 3 hari x Rp 500.000,sebesar Rp 150.000.000,-)

 Reduction

 Subdit Peancangan dan Pengembangan Sistem Aplikasi

6

Pembuatan role authorization

Pengelolaan privilege (Access Control)

A3-T5 A13-T3 A7-T3 A8-T3 A12-T3

 Honor tim untuk mengelola  Menghindari penyalahgunaan fitur role authorization hak akibat sharing password aplikasi Modul Kekayaan yang dapat mengakibatkan Negara. kerusakan data  Biaya: (10 orang x 12 bulan  Penghematan: Biaya transport x Rp 300.000,- sebesar Rp dan konsumsi terkait 36.000.000 pertahun) pemutakhiran data (100 satker x 3 hari x Rp 500.000,sebesar Rp 150.000.000,-)

 Reduction




99


Rekomendasi Kontrol

Kontrol

Skenario

Biaya/Kegiatan

Manfaat

ISO 27002

Stretegi

PIC

Penanganan

7

Pengadaan software antivirus

Kontrol terhadap malicious code (Communication and Information Management)

A14-T8 A10-T8

 Pengadaan antivirus untuk  Menghindari kerusakan atau PC kehilangan data  Biaya: Tiap kantor membeli  Penghematan: Biaya transport 5 antivirus x Rp200.000 = dan konsumsi terkait Rp1.000.000 pemutakhiran data (100 satker x 3 hari x Rp 500.000,sebesar Rp 150.000.000,-)

 Reduction


8

Pembuatan manajemen kapasitas menggunakan software monitoring

Monitoring penggunaan sistem (Communication and Information Management)

A3-T5 A4-T5

 Reduction


9

Manajemen dan pelabelan port

Kontrol Jaringan (Communication and Information Management)

A7-T6

 Honor tim untuk mengelola  Mencegah terhentinya kapasitas dan port perangkat layanan terkait permasalahan TI. kapasitas server database  Biaya: (10 orang x 12 bulan (permasalahan hard disk) x Rp 300.000,- sebesar Rp  Penghematan: Biaya 36.000.000 pertahun) perjalanan dinas untuk perbaikan hard disk (rata-rata 10 kantor x 2 orang x Rp 10.000.000,- sebesar Rp 200.000.000, Menghindari penyalahgunaan oleh orang yang tidak berhak  Penghematan: Biaya perjalanan dinas untuk perbaikan perangkat jaringan (rata-rata 10 kantor x 2 orang x Rp 10.000.000,- sebesar Rp 200.000.000,-

 Reduction

 Subdit Pengolahan Data dan Layanan Operasional  KPKNL  Kanwil



100


Rekomendasi Kontrol

Kontrol

Skenario

Biaya/Kegiatan

Manfaat

ISO 27002

Stretegi

PIC

Penanganan

10

Pengadaan CCTV

Monitoring penggunaan sistem (Communication and Information Management)

A7-T3

 Pembelian perangkat CCTV  Menghindari gangguan dari  Biaya: Tiap kantor membeli orang yang tidak berhak 1 paket CCTV seharga Rp  Penghematan: Biaya 10.000.000 perbaikan kerusakan perangkat yang sudah habis masa garansi (rata-rata 20 perangkat x Rp 30.000.000,sebesar Rp 600.000.000,-

 Reduction


11

Pengadaan OS Windows asli

Kontrol terhadap malicious code (Communication and Information Management)

A10-T1 A11-T1

 Pembelian OS Windows asli  Menghindari kerusakan atau  Biaya: Tiap kantor membeli kehilangan data 5 OS x Rp1.000.000 =  Penghematan: Biaya transport Rp5.000.000 dan konsumsi terkait pemutakhiran data (100 satker x 3 hari x Rp 500.000,sebesar Rp 150.000.000,-)

 Reduction




101


Rekomendasi Kontrol

Kontrol

Skenario

Biaya/Kegiatan

Manfaat

ISO 27002 12

Meningkatkan kompetensi pegawai

Pelatihan, pendidikan kesadaran terhadap keamanan informasi (Human Resources Security)

dan

Stretegi

PIC

Penanganan A15-T9 A16-T9 A16-T1

 Kegiatan pelatihan  Operator KPKNL, Kanwil peningkatan kompetensi dan Kantor Pusat dapat pegawai dalam penggunaan menguasai penggunaan perangkat SI/TI aplikasi aplikasi, perangkat keras dan Modul Kekayaan Negara. lunak  Tiap kantor terdapat 3 orang  Terhindar dari kerusakan data operator dan perangkat TI  Biaya dinas rata-rata Rp5  Penghematan: Biaya transport juta tiap orang dan konsumsi terkait  Biaya hotel Rp300.000 tiap pemutakhiran data (100 satker x 3 hari x Rp 500.000,orang sebesar Rp 150.000.000,-)  Jumlah = Rp250.000.000  Penghematan: Biaya perbaikan kerusakan perangkat yang sudah habis masa garansi (rata-rata 20 perangkat x Rp 30.000.000,sebesar Rp 600.000.000,-

 Reduction

 PKNSI  KPKNL  Kanwil



102


Rekomendasi Kontrol

Kontrol

Skenario

Biaya/Kegiatan

Manfaat

ISO 27002 13

Awareness keamanan informasi

Pelatihan, pendidikan kesadaran terhadap keamanan informasi (Human Resources Security)

dan

Stretegi

PIC

Penanganan A18-T11 A20-T11

 Kegiatan sosialisasi dan pelatihan terkait awareness keamanan informasi dalam penggunaan perangkat SI/TI dan pengamanan informasi pada aplikasi Modul Kekayaan Negara.  Tiap kantor terdapat 3 orang operator  Biaya dinas rata-rata Rp5 juta tiap orang  Biaya hotel Rp300.000 tiap orang  Jumlah = Rp250.000.000

 Operator KPKNL, Kanwil dan Kantor Pusat dapat mengetahui dan memiliki awareness keamanan informasi  Terhindar dari kerusakan data dan perangkat TI  Penghematan: Biaya transport dan konsumsi terkait pemutakhiran data (100 satker x 3 hari x Rp 500.000,sebesar Rp 150.000.000,-)  Penghematan: Biaya perbaikan kerusakan perangkat yang sudah habis masa garansi (rata-rata 20 perangkat x Rp 30.000.000,sebesar Rp 600.000.000,-

 Reduction




103

Berdasarkan hasil analisis biaya dan manfaat pada Tbel 5.15 dapat diketahui bahwa seluruh rekomendasi kontrol yang harus dilakukan mempunyai biaya pengurangan risiko lebih kecil dari manfaat yang diperoleh dan terdapat sumber daya yang memadai untuk membiayai pelaksanaan kontrol maka harus dilakukan implementasi kontrol tambahan. Dengan demikian tidak ada risiko yang akan ditransfer atau dihindari. 5.5 Penerimaan Risiko Berdasarkan ISO 27005, penerimaan risiko adalah keputusan untuk menerima risiko dan bertanggung jawab terhadap keputusan yang diambil dalam mengelola risiko tersebut. Dalam hal ini keputusan harus secara resmi dicatat dan dipatuhi oleh semua pihak. Oleh karena itu dalam penelitian ini disusun daftar risiko beserta keputusan dan pihak yang bertanggung jawab dalam penanganan risiko sehingga dapat memenuhi kriteria penerimaan risiko keamanan informasi yang dapat dilihat pada Tabel 5.16:



104

Tabel 5.16 Analisis Penerimaan Risiko No

Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko

Penanganan Risiko

Rekomendasi kontrol

Penanggung Jawab

 Aplikasi tidak bisa digunakan  Seluruh kantor operasional tidak dapat menggunakan aplikasi  Terdapat beberapa atau semua menu aplikasi bermasalah  Berdampak pada seluruh kantor operasional  Informasi rahasia tersebar ke orang yang tidak berhak

Sedang (50)

Reduction

 Prosedur pengetesan aplikasi  Evaluasi pembuatan aplikasi

 Subdit Perencanaan dan Pengembangan Aplikasi

 Juli-Desember 2014

Sedang (50)

Reduction

 Prosedur serah terima aplikasi



Sedang (50)

Reduction

 Pembuatan logout otomatis aplikasi



1



Proses testing tidak lengkap


2



Dokumentasi terhadap source code aplikasi tidak lengkap


3



Tidak ada logout otomatis saat meninggalkan workstation

 Vendor  Programmer  Operator KPKNL  Operator Kanwil  Operator Kantor Pusat

Rencana Kerja



105

Tabel 5.16 Analisis Penerimaan Risiko (lanjutan) No

Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko

Penanganan Risiko

Rekomendasi kontrol

4


5

6

Penanggung Jawab

Rencana Kerja


Data rahasia tidak dienkripsi

 Database Admin


Sedang (50)

Reduction

 Melakukan enkripsi terhadap elemen data yang bersifat rahasia





Sharing password


Sedang (50)

Reduction




Linux Redhat (A13)


Sharing Password

 Database Admin  Operator KPKNL  Operator Kanwil  Operator Kantor Pusat  Hacker


Sedang (50)

Reduction






106


Aset

Ancaman

Kerawanan

Sumber

7

Antivirus (A14)


Anti virus bajakan

 Virus

8




 Database Admin

9

Access Switch (A7)


Sharing password

 Hacker

10

Access Switch (A7)

Koneksi lambat (T6)


 Hacker

Konsekuensi

Nilai Risiko

Penanganan Risiko

Rekomendasi kontrol

Penanggung Jawab

Rencana Kerja

 Data hilang/rusak pada beberapa kantor operasional  Proses bisnis terhenti antara 3-12 jam  Berdampak pada beberapa kantor operasional  Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam  Koneksi jaringan di beberapa kantor operational lambat 3-12 jam

Sedang (50)

Reduction

 Pengadaan software antivirus



Sedang (25)

Reduction




Sedang (25)

Reduction


 Subdit Pengolahan Data dan Layanan Operaional


Sedang (25)

Reduction

 Manajemen port





107


Aset

Ancaman

Kerawanan

Sumber

11

Router (A8)


Sharing password

 Hacker

12

PC (A10)


OS bajakan

 Virus

13

PC (A10)


Tidak ada antivirus

 Virus

14

OS Windows (A11)


OS bajakan

 Virus

Konsekuensi

Nilai Risiko

Penanganan Risiko

Rekomendasi kontrol

Penanggung Jawab

Rencana Kerja

 Koneksi jaringan di beberapa kantor operasional terhenti 3-12 jam  Aplikasi tidak bisa dijalankan di beberapa kantor operasional  Data hilang/rusak di beberapa kantor operasional

Sedang (25)

Reduction




Sedang (25)

Reduction




Sedang (25)

Reduction

 Pengadaan antivirus asli




Sedang (25)

Reduction






108


Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko

Penanganan Risiko

Rekomendasi kontrol

15

Oracle 10G (A12)


Sharing password

 Hacker

 Data hilang/rusak pada beberapa kantor

Sedang (25)

Reduction


16




 Operator KPKNL

Rendah (10)

Reduction


17




 Operator KPKNL

 Proses bisnis terhenti lebih dari 12 jam  Berdampak lebih dari 20 kantor operasional  Kerusakan perangkat sehingga layanan terhenti lebih dari 12 jam

Rendah (10)

Reduction

18




 Operator Kanwil


Rendah (10)

Reduction

Penanggung Jawab

Rencana Kerja

 Subdit Pengolahan Data dan Layanan Operasional  PKNSI  KPKNL  Kanwil











109


Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko

Penanganan Risiko

Rekomendasi kontrol

Penanggung Jawab

Rencana Kerja

19




Operator Kanwil


Rendah (10)

Reduction




20

Program mer (A18)


Perubahan proses bisnis yang cepat

Program mer


Rendah (10)

Reduction

 Evaluasi dan monitoring pembuatan aplikasi



21

Program mer (A18)

Kecoran data (T11)


Program mer


Rendah (10)

Reduction




22




 Database Admin


Rendah (10)

Reduction






110


Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko

Penanganan Risiko

Rekomendasi kontrol


Penanggung Jawab  Direktorat Hukumdan Humas

Rencana Kerja

23

Proses Rekon siliasi (A22)




 Kerusakan data di semua kantor operasional

Rendah (10)

Reduction


24

Storage server (A4)


Sharing password

 Hacker

 Data hilang/rusak (ada backup)

Rendah (5)

Accept

-

-

-

25

Storage server (A4)



 Database Admin

 Proses bisnis terhenti antara 3-12 jam

Rendah (5)

Accept

-

-

-

26

Core Switch (A5)


Sharing password

 Hacker

 Jaringan di kantor pusat terhenti 3-12 jam

Rendah (5)

Accept

-

-

-

27

Core Switch (A5)

Koneksi lambat (T6)


 Hacker

 Jaringan di kantor pusat lambat 3-12 jam

Rendah (5)

Accept

-

-

-



111


Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko

Penanganan Risiko

28



Sharing password

 Hacker

29


Koneksi lambat (T6)

 Hacker

30

Kabel Jaringan (A9)


Adanya port yang dibuka untuk komunikasi data Instalasi kabel jaringan tidak rapi

31




Rekomendasi kontrol

Penanggung Jawab

Rencana Kerja

 Jaringan di kantor pusat terhenti kurang dari 3 jam  Jaringan di kantor pusat lambat kurang dari 3 jam

Rendah (5)

Accept

-

-

-

Rendah (5)

Accept

-

-

-

 Teknisi Jaringan  Pegawai

 Jaringan kurang dari 20 kantor operasional terhenti kurang dari 3 jam

Rendah (5)

Accept

-

-

-

 Operator kantor pusat

 Kerusakan perangkat layanan terhenti 3 - 12 jam

Rendah (5)

Accept

-

-

-



112


Aset

Ancaman

Kerawanan

32



Kurangnya personil

33


Akses ilegal (T13)

34


35

Proses Rekapitula si (A23)

Sumber

Konsekuensi

Nilai Risiko

Penanganan Risiko

Rekomendasi kontrol

Penanggung Jawab

Rencana Kerja



Rendah (5)

Accept

-

-

-

Tidakada kebijakan clear desk dan clear screen

 Teknisi Jaringan  Hacker

 Layanan lambat/terhenti 3-12 jam di beberapa kantor operasional

Rendah (5)

Accept

-

-

-


Proses rekrutmen kurang memadai



Rendah (5)

Accept

-

-

-



 Operator KantorPusat


Rendah (5)

Accept

-

-

-



113


Aset

Ancaman

Kerawanan

Sumber

Konsekuensi

Nilai Risiko

Penanganan Risiko

Rekomendasi kontrol

Penanggung Jawab

Rencana Kerja

36






Rendah (5)

Accept

-

-

-

37






Rendah (5)

Accept

-

-

-

38



Kesalahan pemilihan data yang direstore



Rendah (1)

Accept

-

-

-



114

Pada Tabel 5.16 diatas dapat dijelaskan bahwa pada setiap skenario risiko disusun keputusan penanganan risiko, penanggung jawab risiko dan rencana kerja untuk melakukan rekomendasi kontrol yang telah ditetapkan. Dalam hal ini terdapat 23 skenario risiko yang dilakukan pengurangan risiko (reduction) dan 15 skenario risiko yang dilakukan penerimaan risiko (accept). Penanggung jawab merupakan pihak yang mempunyai kewajiban untuk melakukan penanganan risiko tersebut. Rencana kerja ditetapkan pada bulan Juli – Desember 2014. Direktorat Jenderal Kekayaan Negara (DJKN) harus melakukan evaluasi, monitoring dan koordinasi yang baik terhadap proses penanganan risiko yang telah ditetapkan terutama dalam implementasi penyusunan rekomendasi kontrol yang bertujuan untuk mengurangi risiko keamanan informasi, dalam hal ini harus dicatat dalam laporan monitoring risiko dan melakukan tindakan korektif apabila terdapat penanganan risiko yang tidak sesuai dengan yang diharapkan.



115

BAB VI PENUTUP

Bab ini berisi kesimpulan dan saran dari hasil penelitian yang telah dilakukan. Kesimpulan merupakan rangkuman dari penelitian perencanaan manajemen risiko keamanan informasi di DJKN khususnya tentang aplikasi Modul KN. Saran merupakan masukan terhadap proses analisis dan penanganan risiko yang dilakukan oleh DJKN dalam menjalankan proses bisnis untuk mencapai tujuan organisasi. 6.1 Kesimpulan Berdasarkan penelitian yang telah dilakukan, maka perencanaan manajemen risiko keamanan informasi yang tepat bagi DJKN khususnya terhadap aplikasi yang mendukung proses bisnis utama (Modul Kekayaan Negara) adalah mencakup beberapa hal antara lain: a.

Penetapan konteks bersumber dari PMKNo.191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan yaitu terkait kriteria evaluasi risiko, kriteria dampak, kriteria penerimaan risiko dan organisasi manajemen risiko keamanan informasi;

b.

Identifikasi risiko dilakukan dengan melakukan identifikasi aset yang mendukung sistem informasi utama (Modul KN), identifikasi ancaman yang dapat merugikan, identifikasi pengendalian yang ada dan identifikasi kerawanan yang dapat menimbulkan kerugian bagi DJKN;

c.

Estimasi risiko dengan cara melakukan identifikasi tingkat konsekuensi dan identifikasi tingkat kecenderungan terjadinya risiko. Dalam hal ini dibagi menjadi tiga tingkatan yaitu rendah, sedang dan tinggi;

d.

Evalusi risiko dengan cara menghitung nilai risiko sesuai matriks evaluasi risiko dan melakukan prioritas penanganan risiko berdasarkan nilai risiko dari yang tertinggi sampai terendah;



116

e.

Penanganan risiko berisi tentang rencana penanganan risiko yang terdiri dari empat opsi yaitu accept, reduction, avoid dan transfer. Untuk mengurangi risiko dengan cara menyusun rekomendasi kontrol sesuai dengan pedoman ISO 27002. Dalam hal ini terdapat 23 skenario risiko yang dilakukan pengurangan risiko (reduction) dan 15 skenario risiko yang dilakukan penerimaan risiko (accept).

f.

Penerimaan risiko berisi tentang keputusan penanganan risiko, penanggung jawab penanganan risiko dan jadwal implementasi rekomendasi kontrol.

6.2 Saran Adapun saran yang dapat dikemukakan sebagai berikut: a.

Direktorat Jenderal Kekayaan Negara (DJKN) harus melakukan evaluasi, monitoring dan koordinasi terhadap proses penanganan risiko yang telah ditetapkan, dalam hal ini harus dicatat dalam laporan monitoring risiko dan melakukan tindakan korektif apabila terdapat penanganan risiko yang tidak sesuai dengan yang diharapkan;

b.

Prosedur dan kebijakan yang disusun oleh DJKN dalam upaya untuk mengurangi risiko keamanan informasi harus disusun sesuai dengan hasil analisis risiko keamanan informasi dan rekomendasi kontrol yang telah ditetapkan sehingga dapat meminimalisir risiko bisnis;

c.

Direktur Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI) sebagai ketua tim keamanan informasi unit eselon I (CISO eselon I) harus berkoordinasi

dan

melakukan

kesepakatan

(Memorandum

of

Understanding/MOU) dengan ketua tim keamanan informasi kementerian keuangan

(CISO Kementerian Keuangan) dalam pengembangan dan

penerapan manajemen risiko keamanan informasi. d.

DJKN perlu menyusun framework risiko yang lebih komprehensif dengan mengumpulkan dan menganalisis berbagai macam risiko yang dapat terjadi pada unit eselon dibawahnya (pemilik risiko) sehingga dapat mengetahui profil risiko secara lengkap.



117

DAFTAR PUSTAKA

Andress, J. (2011). The Basic of Information Security : Understanding the Fundamental of Infosec in Theory and Practice. Syngress: USA. Committee for Oversight and Assesment (COA) (2005). The Owner’s Role in Project Risk Management. The National Academies Press: USA. Direktorat Jenderal Kekayaan Negara (2010). KEP-38/KN/2010 tentang Rencana Strategis Direktorat Jenderal Kekayaan Negara Tahun 2010 – 2014. Jakarta, Indonesia: DJKN. Direktorat Jenderal Kekayaan Negara (2008). Blue Print TIK DJKN. Jakarta, Indonesia: DJKN. Direktorat Pengelolaan Kekayaan Negara dan Sistem Informasi (2012). Matriks Tindak lanjut Temuan Pemeriksaan Inspektorat Jenderal atas Kegiatan Pengelolaan BMN Tahun 2011 dan 2012. Jakarta, Indonesia : DJKN. Hintzbergen, K. & Smulders, A. (2010). Foundations of Information Security: Based on ISO27001 and ISO27002. Van Haren Publishing: USA. Inspektorat Jenderal (2011). Laporan Hasil Audit Pembangunan Modul Kekayaan Negara pada Direktorat Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI). Jakarta, Indonesia: Inspektorat Jenderal. International Standard Organization (2008). ISO/IEC 27005:2008 - Information Technology – Security Techniques – Information Security Risk Management. Switzerland. International Standard Organization (2005). lSO/IEC 27002:2005 (Information Technology-Security Techniques-Code of Practice for Information Security Management). Switzerland. International Standard Organization (2005). lSO/IEC 27002:2005 (Information Technology-Information Security Management System- Requirement). Switzerland. International Standard Organization (2009). lSO/IEC 31000:2009 (Risk Management-Guidelines on Principles and Implementation of Risk Management). Switzerland. Information System Audit and Control Association (ISACA) (2013). CISM: Review Manual 2013. Rolling Meadows: USA. Universitas Indonesia


118

Kementerian Keuangan (2008). PMK No.191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan. Jakarta, Indonesia. Kementerian Keuangan (2007). PMK No.120/PMK.06/2007 tentang Penatausahaan Barang Milik Negara. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Keuangan (2007). PMK No.96/PMK.06/2007 tentang Tata Cara Pelaksanaan Penggunaan, Pemanfaatan, Penghapusan dan Pemindahtanganan Barang Milik Negara. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Keuangan (2010). PMK No.184/PMK.01/2010 tentang Organisasi dan Tata Kerja Kementerian Keuangan. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Keuangan (2012). PMK No.170/PMK.01/2012 tentang Organisasi dan Tata Kerja Instansi Vertikal di Direktorat Jenderal Kekayaan Negara. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Keuangan (2010). KMK No.479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan. Jakarta, Indonesia. Kementerian Keuangan (2010). KMK-40/KMK.01/2010 tentang Rencana Strategis Kementerian Keuangan tahun 2010-2014. Jakarta, Indonesia: Kementerian Keuangan. Kementerian Komunikasi dan Informatika (2007). Permenkominfo Nomor 41/PERMEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional.Jakarta: Indonesia. Lestari, E. (2011). Karya Akhir. Evaluasi Manajemen Risiko Keamanan Informasi Sistem Provisionong Gateway Telkom Flexy. Jakarta: Universitas Indonesia. McIlwraith, A. (2012). Information Security and Employee Behaviour : How to Reduce Risk Through Employee Education, Training and Awareness. Gower Publishing Limited:USA. Natonal Institute of Standard and Technology (NIST) (2002). Risk Management Guide for Information Technology System.USA. Pemerintah Republik Indonesia. (2008). Undang-undang Nomor 60 tahun 2008 tentang Sistem Pengendalian Internal Pemerintah.Jakarta: Indonesia Oktrada, A.L.A. (2012). Karya Akhir. Perancangan Manajemen Resiko Sistem Informasi di Instansi Pemerintah: Studi Kasus Direktorat Jenderal Perkeretaapian. Jakarta : Universitas Indonesia. Universitas Indonesia


119

Prasastie, F. (2013). Karya Akhir. Manajemen Resiko Sistem Informasi : Studi Kasus Pusat Komunikasi Kementerian Luar Negeri. Jakarta: Universitas Indonesia. Smith, R.E. (2011). Elementary Information Security. Jones & Bartlett Learning.USA Software Engineering Instistute (2011). Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Catalog of Practise. USA. The European Union Agency for Network and Informastion Security (ENISA). http://rm-inv.enisa.europa.eu/comparison.html. Diakses pada tanggal 4 Maret 2014. Ward, J, & Peppard, J. (2002). Strategic Planning for Information Systems Third Edition. England: John Wiley & Sons, LTD. Whitman, M. & Mattord H. (2013). Principles of Information Security Fourth Edition. Cangage Learning: USA



120

LAMPIRAN

A.TRANSKRIP WAWANCARA Transkrip Wawancara dengan Kasubdit Pengelolaan Data dan Layanan Operasional DJKN Narasumber

: I Ketut Puja

Unit Kerja

: Subdit Pengelolaan Data dan Layanan Operasional DJKN

Jabatan

: Kasubdit

Tanggal/Jam

: 4 Februari 2014

SP : Sigit Prasetyo IK : I Ketut Puja

SP :

Selamat Pagi Pak, apa kabar? Mohon waktu sebentar pak untuk wawancara terkait penyusunan tesis.

IK :

Kabar baik mas sigit. Rencana mau ngambil topik apa?

SP :

Rencananya mengambil topik manajemen risiko TI pak

IK :

Wah bagus itu. Kira-kira bentuknya seperti apa?

SP :

Begini pak, pertama melakukan analisis risiko berdasarkan aset informasi terhadap

proses bisnis utama di DJKN kemudian melakukan

penanganan risikonya. IK :

Kalau mau yang dianalisis proses bisnis utama aja yaitu pengelolaan barang milik negara. Itu juga udah banyak prosesnya. Dari poses pengadaan sampai penghapusan BMN

SP :

Permasalahan yang dihadapi apa saja pak?

IK :

Diantaranya kurangnya SDM TI dan kompetensinya.

SP :

Apakah sudah ada perancangan manajemen risiko TI di DJKN?

IK :

Sepertinya belum ada. Coba cek di Blue Print TIK DJKN sepertinya ada penjelasan mengenai risiko. Universitas Indonesia


121

SP :

Oh gitu pak. Baik nanti saya cek di Blueprint. Baik Pak, saya rasa sudah cukup. Nanti kalau saya membutuhkan informasi bisa bertanya bapak lagi. Terima kasih Pak.

IK :

Sama-sama.



122

Transkrip Wawancara dengan Kasi Pengolahan Data dan Layanan Informasi Narasumber

: Salman Paris Muda

Unit Kerja

: Subdit Pengelolaan Data dan Layanan Operasional DJKN

Jabatan

: Kasi

Tanggal/Jam

: 4 dan 27 Maret 2014

SP : Sigit Prasetyo SM : Salman Paris Muda

SP :

Selamat pagi pak, saya ingin berdiskusi tentang pengelolaan data dan informasi di DJKN terkait dengan tesis yang saat ini saya kerjakan. Bagaimana keadaan saat ini?

SM : Untuk saat ini pengelolaan data di DJKN masih terpisah-pisah dikarenakan aplikasi yang ada saat ini seperti seperti Sistem Informasi Manajemen Kepegawaian (SIMPEG), Sistem Informasi Piutang Lelang (SIMPLe), Modul Kekayaan Negara (Modul KN), aplikasi tata persuratan, modul rekonsiliasi BMN dan yang lain belum terintegrasi. SP :

Apakah ada permasalahan terkait hal tersebut?

SM : Seringkali pertukaran data antar aplikasi dilakukan dengan melakukan input ulang sehingga menyebabkan tingkat efektifitasnya menjadi rendah. Dengan data dan informasi yang terpisah-pisah tersebut menjadikan proses pembuatan laporan juga menjadi sulit dan harus dilakukan secara terpisah. SP :

Penyebabnya apa saja pak?

SM : DJKN melakukan pembelian perangkat keras dan pengembangan perangkat lunak pada waktu yang berbeda dan dari vendor yang berbeda. Perbedaan pengembang dan tahun pembuatan jelas berdampak pada kepemilikan sejumlah sistem dengan platform yang berbeda-beda, mulai dari perbedaan teknologi perangkat keras, bahasa pemrograman, sistem pengelola basis data, sistem operasi sampai dengan sistem aplikasi penunjang lainnya. DJKN sebagai satu kesatuan memerlukan integritas Universitas Indonesia


123

data dan informasi dari seluruh fungsi baik fungsi utama maupun fungsifungsi pendukung. Namun integritas data dan informasi ini tidak dapat diperoleh melalui sistem yang dimiliki DJKN saat ini karena adanya perbedaan platform. Perbedaan platform menyebabkan terjadinya “pulaupulau” informasi karena setiap sistem tidak dapat berkomunikasi untuk saling berbagi pakai data dan informasi. SP :

Terkait dengan aplikasi kira-kita aplikasi mana yang paling penting di DJKN?

SM : Saya kira aplikasi Modul Kekaan Negara yang paling penting karena berisi tentang pengelolaan BMN yang ada di seluruh Kementerian/Lembaga dan menjadi proses bisnis utama di DJKN SP :

Mengenai

database

Modul

KN

seperti

apa

dan

bagaimana

permasalahannya? SM : Modul KN adalah aplikasi berbasis desktop jadi database tersimpan di laptop tapi kita usahakan agar database tersebut kita arahkan ke server database di masing-masing kantor agar aman dan tidak hilang. Permasalahannya adalah operator KPKNL/Kanwil biasanya masih menggunakan sharing password di servernya padahal sudah kita buatkan user admin dan lainnya. Dampaknya database menjadi terhapus/rusak. SP :

Apakah sudah ada kontrol terkait hal tersebut?

SM : Sepertinya belum ada, saat ini masih berupa himbauan dan teguran. SP :

Baik pak. Sepertinya sudah cukup. Terima kasih.

SM : Sama-sama. --------------------------------------------------------------------------------------------------SP :

Siang Pak. Maaf mengganggu. Saya mau wawancara lagi terkait dengan tingkat dampak terkait manajemen risiko keamanan informasi. Apakah sudah ada standar tentang tingkatan dampak apabila database mengalami permasalahan?

SM : Sampai saat ini belum ada. SP : Kira-kira yang mempunyai dampak paling tinggi terhadap data itu seperti apa? Apakah tingkat ketersediaan data, keutuhan data atau kerahasiaan data? Universitas Indonesia


124

SM : Kalau untuk ketersediaan data kan kita bicara tentang jaringan yang menghubungkan antara data dan pengguna, biasanya kita golongkan rendah karena tidak merusak data, untuk yang sedang itu apabila ada kerusakan/kehilangan data tapi kita masih menyimpan backupnya. Sedangkan yang tinggi itu apabila tidak ada backupnya dan data rahasia tersebar. SP : Apakah saat ini pernah terjadi untuk dampak tinggi tersebut? SM : Pernah, data rusak tapi tidak ada backupnya, padahal kita sudah backup otomatis tiap hari nya tapi hasil backupnya error. SP : Untuk data rahasia tersebar bagaimana? SM : Belum pernah ada laporan seperti itu. Ya semoga jangan. SP : Baik Pak. Terima kasih.



125

Transkrip Wawancara dengan Administrator Modul KN Narasumber

: Aris Suhada Mian

Unit Kerja

: Subdit Perancangan dan Pengembangan Aplikasi

Jabatan

: Pelaksana

Tanggal/Jam

: 4 Maret 2014

SP : Sigit Prasetyo AM : Aris Suhada Mian

SP :

Selamat pagi mas, saya mau bertanya tentang aplikasi Modul KN. Sebenarnya Modul KN itu aplikasi apa dan apa yang menjadi latar belakangnya?

AM : Latar belakang pembuatan Modul KN terkait dengan PMK 120 /PMK.06/2007 tentang Penatausahaan BMN dan PMK 102/PMK.05/2009 tentang Tatacara Rekonsiliasi BMN dalam rangka penyusunan LKPP. Modul KN merupakan aplikasi yang digunakan untuk rekonsiliasi data pengelolaan BMN di SIMAK-BMN dengan data penggunaan anggaran di SAKPA sehingga menghasilkan neraca yang seimbang. SP : Apa saja permasalahan yang dihadapi? AM : Update aplikasi Modul KN sering dilakukan dikarenakan tiap tahun selalu ada perubahan proses bisnis misalnya tahun kemarin adanya pergantian kode barang terkait dengan Perubahan PMK Nomor: 97/PMK.06/1997 menjadi PMK Nomor: 29/PMK.06/2010 tentang Penggolongan dan Kodefikasi BMN SP : Dampaknya apa mas? AM : Kita harus cepat membuat update aplikasi Modul KN, namun karena terbatasnya waktu dan sumberdaya masih terdapat error di aplikasi tersebut sehingga menyulitkan operator di KPKNL/Kanwil. SP : Permasalahan apalagi yang ditemui?



126

AM : Kebetulan saya punya lembar hasil audit terkait pembangunan Modul KN yang dilakukan oleh

Inspektorat Jenderal, disitu banyak sekali

permasalahan Modul KN. SP : Baik pak nanti saya minta salinannya, terkait dengan penggunaan Modul KN di KPKNL/Kanwil apakah ada permasalahan? AM : Ada yang mengoperasikan Modul KN tidak sesuai prosedur misalnya menggunakan user orang lain sehingga menyebabkan data menjadi tidak sesuai SP : Apakah sudah ada kontrol? AM : Kita berikan sanksi nantinya sesuai di Perdirjen 07 tapi saat ini masih belum ditetapkan. SP : Dampaknya seperti apa? AM : Keterlambatan pelaporan sehingga menyebabkan satker harus bolak balik ke kantor terkait dengan data dan sehingga memperlambat pelayanan dan proses kerja lebih lama. SP : Apakah dampak secara finansial? AM : Sampai saat ini belum ada. SP : Apakah sudah ada prosedur pengoperasian Modul KN? AM : Sudah ada. Kita berikan manual instalasi dan cara pengoperasian Modul KN. Bahkan kita sering memberikan pelatihan pengoperasian Modul KN ke tiap daerah. SP : Apakah ada keluhan dari user terkait aplikasi Modul KN? AM : Terkait dengan aplikasi yang masih berbabasis desktop sehingga harus instalasi sistemnya di laptop/PC. Kadang ada yang berhasil ada yang tidak. Sehingga menyulitkan kinerja mereka. SP : Baik mas. Itu saja barangkali yang saya tanyakan. Terima kasih AM : Sama-sama.



127

Transkrip Wawancara dengan Pranata Komputer DJKN Narasumber

: Arizal Fauzi

Unit Kerja

: Subdit Pengolahan Data dan Layanan Operasional

Jabatan

: Pelaksana

Tanggal/Jam

: 4 Maret 2014

SP : Sigit Prasetyo AF : Arizal Fauzi

SP :

Siang mas. Saya ingin menanyakan tentang infrastruktur terkait dengan aplikasi Modul KN. Bagaimana tentang kondisi jaringannya?

AF :

Sekarang ini untuk jaringan menggunakan VPN Pusintek Sekjen melalui operator Telkom.

SP :

Apakah ada permasalahan?

AF : Biasanya respon time yang tinggi dikarenakan banyaknya bandwith yang digunakan dan adanya kondisi daerah yang jauh terutama di daerah timur dikarenakan masih menggunakan satelit. SP :

Dampaknya seperti apa?

AF :

Proses pengiriman data menjadi lambat dan kadang gagal. Makanya kita berikan server database di tiap kantor untuk menyimpan data dan dari kantor pusat dapat mengambil data tersebut sewaktu-waktu apabila dibutuhkan.

SP :

Terkait dengan database di server apakah ada permasalahan?

AF : Kalau database di server pusat jarang sekali terjadi permasalahan sedangkan di kantor daerah sering terjadi, misalnya database yang tiba-tiba drop sehingga menyebabkan data hilang/rusak. SP :

Penyebabnya apa?

AF :

Kadang user menggunakan password root sehingga dapat merubah data padahal sudah kita anjurkan untuk menggunakan user masing-masing.

SP :

Dari sisi hardware bagaimana?



128

AF :

User tidak memantau kapasitas hard disk di server sehingga kaspasitas penuh dan tidak bisa diakses. Untuk daerah timur biasanya ada masalah listrik sehingga dapat merusak server.

SP :

Apakah sering terjadi?

AF :

Sering terjadi, makanya kita akan gunakan monitoring jaringan dan kapasitas server untuk memantau keadaan di daerah. Kalau mau lebih jelasnya bisa di cek di web layanan helpdesk tik djkn. Disana banyak mencatat permasalahan baik aplikasi, jaringan, hardware maupun software yang berkaitan dengan Modul KN.

SP :

Baik mas. Nanti saya coba untuk meminta datanya. Terima kasih.

AF :

Sama-sama.



129

Transkrip Wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi Informasi Narasumber

: Agus Setyo Pambudi

Unit Kerja

: Subdit Pengolahan Data dan Layanan Operasional

Jabatan

: Kasi

Tanggal/Jam

: 27 Maret dan 16 April 2014

SP : Sigit Prasetyo AP : Agus Setyo Pambudi

SP :

Selamat siang Pak. Mohon kesediaan waktunya untuk wawancara terkait manajemen risiko di DJKN. Setelah saya membaca PMK 191 tahun 2008, siapa yang ditunjuk sebagai ketua manajemen risiko?

AP : DJKN telah menunjuk sekretaris DJKN sebagai ketua manajemen risiko dan Direktur PKNSI sebagai anggota komite manajemen risiko. SP :

Menurut PMK 191 tahun 2008 bahwa setiap unit eselon I wajib membuat laporan manajemen risiko setiap 6 bulan. Apakah DJKN sudah melakukan hal itu?

AP : DJKN pada semester I tahun ini sudah membuat laporan manajemen risiko yang dibuat di tiap unit eselon II. Isinya berupa analis risiko berdasarkan sasaran kerja tiap unit, kemudian ditentukan risiko apa yang sudah atau mungkin terjadi selanjutnya menentukan penyebab timbulnya risiko tersebut. SP : Proses terakhir sampai tahap apa pak? AP :

Sebenarnya sampai tahap monitoring dan koreksi namun karena kita baru membuat pada semester ini jadi hanya sampai tahap penanganan risiko.

SP : Apakah ada analisi tentang penanganan risiko? AP : Nah sebelum proses itu harus ditentukan dulu seberapa besar dampak yang terjadi dan sejauh mana kecenderungannya. Kalau mau lihat saya ada contoh laporannya.



130

SP : Prosesnya mirip dengan analisis yang saya kerjakan di penelitian saya pak. Bagaimana menentukan tingkat dampak dan kecenderungannya? AP : Kita melakukan rapat di lingkungan unit eselon II untuk menentukan tingkat dampak tersebut. SP :

Di PMK sebenarnya ada definisi tingkat dampak dan kecenderungan pak tapi saya rasa terlalu umum masih kurang jelas.

AP : Makanya kita tentukan tingkat tersebut dengan melalui rapat tadi dengan diskusi penentuan tingkatannya. SP :

Begini pak, saya sebenernya juga ingin membuat tingkat dampak dan kecenderungan tapi belum punya gambaran terkait tesis saya tentang manajemen risiko keamanan informasi di Modul KN. Kira-kira tingkat dampak untuk Modul KN itu seperti apa? Kita kan punya sekitar 95 kantor operasional apakah bisa ditentukan?

AP : Sebenarnya bisa kita tentukan sendiri berdasarkan pengalaman kejadian masa lalu, terkait aplikasi Modul KN kalau ada permasalahan kurang dari 5 kantor operasional biasanya masih rendah, bila sampai sekitar 20-25 kantor kita golongkan sedang tapi kalo lebih dari itu tinggi. SP : Apakah sudah ada standar semacam itu pak? AP : Untuk saat ini belum ada. SP :

Kalau terkait dengan availability seperti apa pak? Misalnya tingkat availability dari layanan pendukung aplikasi Modul KN?

AP : Itu juga belum ada standarnya. Biasanya kalau rendah itu misalnya gangguan di pagi hari maksimal siang sebelum istirahat sudah selesai, kalau sedang itu selesai satu hari kerja, tinggi biasanya lebih dari 1 hari jam. SP : Untuk saat ini standar apa saja yang sudah ditetapkan? AP : Standar pemasangan jaringan, penamaan komputer, pembangunan data center di kantor operasional. Istilahnya masih banyak di bidang hardware. SP : Terkait dengan pengurangan risiko dimana harus terdapat kontrol tambahan, kira-kira seperti apa kriteria kontrol tersebut? AP : Harus terdapat dukungan dana dan unit yang bertanggung jawab, efektif dan efisien, tidak mengganggu proses bisnis dan terdapat manfaat. Universitas Indonesia


131

SP : Oh iya pak. terkait dengan implementasi kontrol tambahan, apakah di kantor pusat dan kantor operasional terdapat dana untuk membiayai hal tersebut? AP :

Pasti ada. Kalau tidak salah saya dapat informasi di pusat itu di PKNSI anggaran untuk perawatan TI sekitar Rp 15 milyar untuk tahun ini. Untuk sosialisasi kurang lebih Rp 500 juta. Untuk di kantor operasional kira-kira Rp 100 juta untuk perawatan TI.

--------------------------------------------------------------------------------------------------SP : Begini Pak, terkait dengan laporan manajemen risiko semester I DJKN tahun 2014 apakah ada sasaran strategis yang menyinggung tentang keamanan informasi? AP : Sasaran strategis itu mempunyai risiko yang bersifat strategis maupun operasional. Kalau risiko strategis biasanya berhubungan dengan stakeholder di Kementerian/Lembaga.

Sedangkan

risiko

operasional

biasanya berhubungan dengan proses bisnis yang ada di DJKN. SP :

Kalau saya lihat ada di sasaran strategis yaitu pengelolaan dan pengembangan TIK yang optimal pak.

AP : Nah itu bisa terjadi keterkaitan. SP : Tapi di kriteria evaluasi risiko yang digunakan itu bersifat kuantitatif pak yaitu jumlah pembangunan sistem informasi yang tidak terlaksana. Saya rasa kriterianya kurang pas pak. Memangnya kalau sudah membangun sistem informasi secara otomatis mendukung proses bisnis pak? AP : Memang kurang pas sih. Harusnya ada kriteria secara kualitatif mas. Bukannya mas sudah membuat kriteria evaluasi risiko tentang Modul KN? SP : Sudah Pak. AP : Itu saja dipakai dulu. Nanti semester depan kan kita buat laporan manajemen risiko lagi dan sebaiknya ditambahkan di kriteria secara kualitatif. SP : Terkait dengan risiko residual yang diharapkan seperti apa pak? Saya lihat di laporan nilai risikonya rendah yang terdiri dari nilai dampak sedang dan nilai kecenderungan rendah.



132

AP : Hasil keputusan nilai residual yang diharapkan rendah kan hasil dari Forum Group Discussion (FGD) dari perwakilan unit eselon II di DJKN mas. Saya kira pakai patokan itu saja. SP : Baik pak. Saya rasa sudah cukup. Terima Kasih pak.



133

B. REKAP HELPDESK TIK DJKN  Rekap Helpdesk tahun 2010



134  Rekap Helpdesk tahun 2011









137

C. MATRIKS EVALUASI RISIKO Tabel C.1 Matriks evaluasi risiko untuk A1 dan T1 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)

Rendah (10)

Sedang (50)

Tinggi (100)




Tabel C.2 Matriks evaluasi risiko untuk A1 dan T2 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)

Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)



Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10 Universitas Indonesia


138


Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





139

Tabel C.9 Matriks evaluasi risiko A5 dan T3 Dampak Kecenderungan Tinggi (1.0) Sedang (0.5) Rendah (0.1)

Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)






140


Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





141


Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)






142


Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)






143


Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)






144


Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)






145


Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)






146


Rendah (10)

Sedang (50)

Tinggi (100)





Rendah (10)

Sedang (50)

Tinggi (100)






147

Tabel C.39 Nilai risiko dari tiap skenario No

Skenario

Dampak

Kecenderungan

Nilai Risiko

1

A1 dan T1

Tinggi(100)

Sedang(0.5)

Sedang(50)

2

A1 dan T2

Tinggi(100)

Sedang(0.5)

Sedang(50)

3

A1 dan T3

Tinggi(100)

Sedang(0.5)

Sedang(50)

4

A2 dan T4

Tinggi(100)

Sedang(0.5)

Sedang(50)

5

A3 dan T5

Tinggi(100)

Sedang(0.5)

Sedang(50)

6

A3 dan T6

Sedang(50)

Sedang(0.5)

Sedang(25)

7

A4 dan T7

Sedang(50)

Rendah(0.1)

Rendah(5)

8

A4 dan T8

Sedang(50)

Rendah(0.1)

Rendah(5)

9

A5 dan T9

Sedang(50)

Rendah(0.1)

Rendah(5)

10

A5 dan T10

Sedang(50)

Rendah(0.1)

Rendah(5)

11

A6 dan T11

Sedang(50)

Rendah(0.1)

Rendah(5)

12

A6 dan T12

Sedang(50)

Rendah(0.1)

Rendah(5)

13

A7 dan T13

Sedang(50)

Sedang(0.5)

Sedang(25)

14

A7 dan T14

Sedang(50)

Sedang(0.5)

Sedang(25)

15

A8 dan T15

Sedang(50)

Sedang(0.5)

Sedang(25)

16

A9 dan T16

Rendah(10)

Sedang(0.5)

Rendah(5)

17

A10 dan T17

Sedang(50)

Sedang(0.5)

Sedang(25)

18

A10 dan T18

Sedang(50)

Sedang(0.5)

Sedang(25)

19

A11 dan T19

Sedang(50)

Sedang(0.5)

Sedang(25)

20

A12 dan T20

Sedang(50)

Sedang(0.5)

Sedang(25)

21

A13 dan T21

Sedang(50)

Tinggi(1.0)

Sedang(50)

22

A14 dan T22

Sedang(50)

Tinggi(1.0)

Sedang(50)

23

A15 dan T23

Tinggi(100)

Rendah(0.1)

Rendah(10)

24

A15 dan T24

Tinggi(100)

Rendah(0.1)

Rendah(10)

25

A16 dan T25

Tinggi(100)

Rendah(0.1)

Rendah(10)

26

A16 dan T26

Tinggi(100)

Rendah(0.1)

Rendah(10)

27

A17 dan T27

Sedang(50)

Rendah(0.1)

Rendah(5)

28

A18 dan T28

Tinggi(100)

Rendah(0.1)

Rendah(10)

29

A18 dan T29

Tinggi(100)

Rendah(0.1)

Rendah(10)

30

A19 dan T30

Sedang(50)

Rendah(0.1)

Rendah(5)

31

A19 dan T31

Sedang(50)

Rendah(0.1)

Rendah(5)

32

A20 dan T32

Tinggi(100)

Rendah(0.1)

Rendah(10)

33

A21 dan T33

Sedang(50)

Rendah(0.1)

Rendah(5)

34

A22 dan T34

Tinggi(100)

Rendah(0.1)

Rendah(10)

35

A23 dan T35

Sedang(50)

Rendah(0.1)

Rendah(5)

36

A24 dan T36

Sedang(50)

Rendah(0.1)

Rendah(5)

37

A25dan T37

Sedang(50)

Rendah(0.1)

Rendah(5)

38

A26 dan T38

Rendah (10)

Rendah(0.1)

Rendah(1)



148



UNIVERSITAS INDONESIA

Recommend Documents