UNIVERSITAS INDONESIA

UNIVERSITAS INDONESIA

EVALUASI PENGELOLAAN RISIKO TEKNOLOGI INFORMASI (TI) PADA INSTANSI PEMERINTAH: STUDI KASUS DIREKTORAT JENDERAL KEPENDUDUKAN DAN PENCATATAN SIPIL KEMENTERIAN DALAM NEGERI

KARYA AKHIR

SIGIT SAMAPTOAJI 1206194915

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2014

Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014

UNIVERSITAS INDONESIA

EVALUASI PENGELOLAAN RISIKO TEKNOLOGI INFORMASI (TI) PADA INSTANSI PEMERINTAH: STUDI KASUS DIREKTORAT JENDERAL KEPENDUDUKAN DAN PENCATATAN SIPIL KEMENTERIAN DALAM NEGERI

KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi

SIGIT SAMAPTOAJI 1206194915

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2014


ii Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014

iii Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014

KATA PENGANTAR

Puji syukur saya panjatkan kepada Allah SWT, atas berkat dan rahmat-Nya, penulis dapat menyelesaikan Karya Akhir ini yang berjudul “Evaluasi Pengelolaan Risiko Teknologi Informasi (TI) pada Instansi Pemerintah : Studi Kasus Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri”. Saya menyadari bahwa, tanpa bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada penyusunan karya akhir ini, sangatlah sulit bagi saya untuk menyelesaikannya. Oleh karena itu, saya mengucapkan terima kasih kepada: 1. Bapak Yudho Giri Sucahyo, M.Kom., Ph.D., dan Bapak Ivano Aviandi, B.Sc., M.Sc., selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan karya akhir ini; 2. Bapak Dr. Achmad Nizar Hidayanto, selaku Ketua Program Studi Magister Teknologi Informasi; 3. Bapak/Ibu Pimpinan Ditjen Dukcapil yang telah memberikan kesempatan belajar yang diberikan kepada saya; 4. Bapak Ir. Sugiharto, M.Si, Direktur Pengelolaan Informasi Administrasi Kependudukan (DPIAK) yang telah memberikan rekomendasi, dukungan, dan saran; 5. Bapak Dr. Ir. H. Husni Fahmi, MSEE, Bapak Drs. Bambang Supriyanto, Bapak Erikson P. Manihuruk, S.Kom., M.Si., dan Bapak Ir. Tri Sampurno atas dukungan yang diberikan; 6. Ibu Anny, Bapak Mudhopar, Ibu Rona, Ibu Roch, Hera, Ekos, Asep, Dyta, serta rekan-rekan DPIAK khususnya dan Ditjen Dukcapil umumnya terima kasih atas masukan, dukungan dan pengertiannya selama ini; 7. Segenap staf dan karyawan Magister Teknologi Informasi yang telah membantu saya dalam penyelesaian karya akhir ini; 8. Bapak, Ibu, Ibu mertua, dan keluarga besar saya yang tiada henti mendoakan saya;

iv Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014

9. Istri tercinta Ayudhia Paramesti, SE, dan putra tercinta saya, Ahza Samudhia Pranaja, yang telah menjadi belahan hidup, penyemangat, inspirasi dan tiada henti memberikan dukungan moral, semangat dan doa untuk saya; 10. Segenap rekan-rekan MTI-UI 2012SA, terima kasih untuk kebersamaan dan dukungan selama ini; 11. Pihak-pihak lain yang tidak bisa saya sebutkan satu persatu.

Akhir kata saya berharap agar karya akhir ini dapat memberikan manfaat, terutama bagi Direktorat Jenderal Kependudukan dan Pencatatan Sipil, Kementerian Dalam Negeri, instansi pemerintah lainnya dan akademisi.

Jakarta, 7 Januari 2014

Penulis

v Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014

vi Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014

ABSTRAK Nama Program Studi Judul

: Sigit Samaptoaji : Magister Teknologi Informasi : Evaluasi Pengelolaan Risiko Teknologi Informasi (TI) pada Instansi Pemerintah: Studi Kasus Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri

Salah satu program flagship Dewan Teknologi, Informasi dan Komunikasi (TIK) Nasional (DeTIKNas) berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu Nomor Identitas Nasional (NIN). NIN ini merupakan komponen inti pada blueprint TIK Indonesia tentang e-Government. Pelaksana program ini adalah Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil), Kementerian Dalam Negeri. Nomor Induk Kependudukan (NIK) merupakan bentuk pelaksanaan program NIN. Pada tahun 2011-2012 dilaksanakan pelayanan penerapan KTP Elektronik (e-KTP) di seluruh wilayah Indonesia. Ditjen Dukcapil tidak terlepas dari penggunaan Teknologi Informasi (TI) untuk menghasilkan informasi dan memberikan pelayanan TIK yang berkualitas. Penggunaan TI selain meningkatkan kecepatan dan keakuratan informasi serta pelayanan TIK, juga meningkatkan berbagai jenis risiko. Tingginya tingkat ketergantungan organisasi terhadap layanan TIK untuk menjalankan Tugas Pokok dan Fungsi menjadi hal penting diperlukannya manajemen risiko TI untuk mengurangi dan menanggulangi risiko-risiko yang mungkin terjadi sehingga kerugian bisnis organisasi dapat diminimasi. Pada karya akhir ini, peniliti mencoba menyusun profil risiko TI, langkah-langkah mitigasi dan penanggulangan risiko TI pada pelayanan penerapan e-KTP. Standar manajemen risiko TI yang digunakan framework RiskIT. Hasil dari penelitian ini berupa profil risiko TI, langkah mitigasi beserta rekomendasi pengendalian terhadap risiko tersebut dan prosedur penanggulangan risiko TI yang sudah terjadi.

Kata Kunci: Risiko TI, Manajemen Risiko, RiskIT

vii

Universitas Indonesia


ABSTRACT Nama Program Studi Judul

: Sigit Samaptoaji : Magister of Information Technology : Evaluation of IT Risk Management In Government Agencies: Case Study of Directorate General of Population and Civil Registration Ministry of Home Affairs

One of the flagship programs Dewan Teknologi, Informasi dan Komunikasi (TIK) Nasional (DeTIKNas) by the Keputusan Presiden No. 20 Tahun 2006 is National Identity Number (NIN). NIN is a core component of the Indonesian Information and Communication Technology (ICT) blueprint on e-Government. Implementing this program is Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil), Ministry of Home Affairs. Nomor Induk Kependudukan (NIK) is a form of program implementation NIN. Implemented in 2011-2012 Electronic Identity Card application services (e-KTP) in all parts of Indonesia. Ditjen Dukcapil is inseparable from the use of Information Technology (IT) to generate information and provide a quality ICT services. The use of IT in addition to improving the speed and accuracy of information and ICT services, also increases the risk of various types . The high level of dependence on ICT services organization to run the main tasks and functions become important need for IT risk management to reduce and mitigate the risks that may occur so that the organization's business losses can be minimized. At the end of this work, researchers try to construct profiles of IT risk, mitigation measures and mitigation of IT risks in the implementation of e-ID card service. IT risk management standards used RiskIT framework. The results of this study in the form of IT risk profile, mitigation measures and recommendations to control the risk and IT risk management procedures that have been happening.

Keywords: IT Risks, IT Risk Management, RiskIT

viii



DAFTAR ISI

HALAMAN PERNYATAAN ORISINALITAS ................................................ ii HALAMAN PENGESAHAN .............................................................................. iii KATA PENGANTAR .......................................................................................... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS ............................................. vi ABSTRAK ........................................................................................................... vii ABSTRACT ........................................................................................................ viii DAFTAR ISI ......................................................................................................... ix DAFTAR GAMBAR ............................................................................................ xi DAFTAR TABEL ............................................................................................... xii DAFTAR LAMPIRAN ...................................................................................... xiii BAB 1 PENDAHULUAN ................................................................................... 1 1.1 Latar Belakang ......................................................................................... 1 1.2 Perumusan Masalah .................................................................................. 4 1.3 Ruang Lingkup Masalah .......................................................................... 6 1.4 Tujuan Penelitian ...................................................................................... 7 1.5 Manfaat Penelitian .................................................................................... 7 1.6 Sistematika Penulisan ............................................................................... 7 BAB 2 TINJAUAN PUSTAKA ......................................................................... 9 2.1 Risiko TI ................................................................................................... 9 2.2 Manajemen Risiko TI ............................................................................. 10 2.3 Profil Risiko TI ....................................................................................... 11 2.4 RiskIT ..................................................................................................... 12 2.4.1 Prinsip RiskIT ................................................................................ 15 2.4.2 Identifikasi Risiko RiskIT ............................................................. 16 2.4.3 Analisis Risiko RiskIT .................................................................. 20 2.4.4 Respon Risiko TI ........................................................................... 22 2.4.5 Mendeskripsikan dan Mengkespresikan Risiko ............................ 23 2.4.6 Mengekspresikan Frekuensi .......................................................... 24 2.4.7 Mengekspresikan Dampak ............................................................ 24 2.4.8 Risk map dan Risk Register ........................................................... 25 2.5 Kerangka Kerja COBIT .......................................................................... 26 2.6 Kerangka Kerja NIST Special Publication 800-300 .............................. 28 2.7 Perbandingan Kerangka Kerja ................................................................ 31 2.8 Penelitian Studi Kasus (Case Study Research) ...................................... 32 2.9 Perbandingan Penelitian Sebelumnya .................................................... 33 2.10 Kerangka Penelitian ............................................................................... 35 BAB 3 METODOLOGI PENELITIAN ......................................................... 37 3.1 Metode Pengumpulan Data .................................................................... 37 3.2 Tahapan Penelitian ................................................................................. 37 BAB 4 PROFIL ORGANISASI....................................................................... 41 4.1 Tugas, Fungsi dan Kewenangan Ditjen Dukcapil .................................. 41 4.2 Visi dan Misi Ditjen Kependudukan dan Pencatatan Sipil .................... 44 4.3 Tujuan Organisasi Ditjen Dukcapil ........................................................ 48 4.4 Struktur Organisasi Ditjen Dukcapil ...................................................... 49 ix



4.5 Direktorat Pengelolaan Informasi Administrasi Kependudukan ............ 49 BAB 5 PENETAPAN KONTEKS DAN SKENARIO RISIKO TI .............. 51 5.1 Menetapkan Level dan Cakupan Aset TI ............................................... 52 5.1.1 Penetapan Proses Kerja dan Aset TI Prioritas ............................... 53 5.2 Menentukan Skenario Risiko TI............................................................. 55 5.3 Menentukan Parameter Probabilitas/Likelihood/Kecenderungan .......... 58 5.4 Menentukan Parameter Dampak ............................................................ 58 5.5 Menentukan Standar Rating Risiko ........................................................ 60 BAB 6 PENILAIAN RISIKO .......................................................................... 62 6.1 Metodologi Penilaian Risiko .................................................................. 63 6.2 Pengisian Template Risiko Aset Informasi ............................................ 64 6.3 Pengisian Form Kompilasi Analisis Risiko ........................................... 64 6.4 Pengukuran Efektivitas Kontrol ............................................................. 65 6.5 Validasi Hasil Kompilasi Analisis Risiko .............................................. 65 6.6 Analisis Hasil Kompilasi Analisis Risiko .............................................. 65 6.7 Hasil Penilaian Risiko ............................................................................ 65 6.7.1 Daftar Risiko TI............................................................................. 66 6.7.2 Hasil Penilaian Risiko Terhadap Inherent Risk ............................. 67 6.7.3 Hasil Penilaian Risiko Terhadap Residual risk ............................. 69 BAB 7 STRATEGI DAN LANGKAH MITIGASI ........................................ 74 BAB 8 KESIMPULAN DAN SARAN ............................................................. 83 8.1 Kesimpulan ............................................................................................. 83 8.2 Saran ....................................................................................................... 84 DAFTAR PUSTAKA .......................................................................................... 85

x



DAFTAR GAMBAR

Gambar 1.1 Analisis Masalah dengan Diagram Fishbone ...................................... 6 Gambar 2.1 Risiko TI di dalam Hirarki Risiko Organisasi ..................................... 9 Gambar 2.2. Kerangka Kerja RiskIT .................................................................... 14 Gambar 2.3 Prinsip RiskIT ................................................................................... 16 Gambar 2.4 Pembangunan Skenario Risiko TI ..................................................... 17 Gambar 2.5 Faktor-Faktor Risiko TI .................................................................... 18 Gambar 2.6 Komponen Skenario Risiko .............................................................. 20 Gambar 2.7 Proses Analisis Risiko ....................................................................... 21 Gambar 2.8 Proses Respon Risiko ........................................................................ 22 Gambar 2.9 Inherent Risk, Current Risk dan Residual risk .................................. 24 Gambar 2.10 Skala Probabilitas ............................................................................ 24 Gambar 2.11 Skala Dampak ................................................................................. 25 Gambar 2.12 Risk map .......................................................................................... 26 Gambar 2.13 Kerangka Kerja COBIT 4.1 ............................................................ 27 Gambar 2.14 IT Governance Focus Areas ............................................................ 28 Gambar 2.15 Framework NIST Special Publication 800-30 ................................ 30 Gambar 2.16 Perbandingan dan Standar Manajemen Risiko TI ........................... 31 Gambar 2.17 Theoritical Framework ................................................................... 36 Gambar 3.1 Metodologi Penelitian ....................................................................... 38 Gambar 4.1 Struktur Organisasi DPIAK .............................................................. 50 Gambar 5.1 Jaringan Komunikasi Data Penerapan e-KTP ................................... 51 Gambar 5.2 Proses Kerja Utama Penerapan e-KTP di Ditjen Dukcapil ............... 52 Gambar 6.1 Metodologi Penilaian Risiko ............................................................. 63

xi



DAFTAR TABEL

Tabel 2.1 Contoh Profil Risiko TI Bank ABC ...................................................... 12 Tabel 2.2 Domain RiskIT...................................................................................... 15 Tabel 2.3 Mapping Generic IT Risk Scenario ke Proses COBIT ......................... 19 Tabel 2.4 Perbandingan Penelitian Sebelumnya ................................................... 33 Tabel 5.1 Proses Kerja dan Aset TI Prioritas ........................................................ 53 Tabel 5.2 Hasil Pemetaan Aset TI ke Skenario Risiko TI .................................... 55 Tabel 5.3 Parameter Probabilitas/Likelihood/Kecenderungan .............................. 58 Tabel 5.4 Standar Parameter Dampak ................................................................... 58 Tabel 5.5 Matriks Risiko ....................................................................................... 60 Tabel 5.6 Matriks Nilai Risiko .............................................................................. 61 Tabel 6.1 Rekapitulasi Risiko Berdasarkan Aset .................................................. 66 Tabel 6.2 Rekapitulasi Risiko Berdasarkan Skenario Risiko TI ........................... 66 Tabel 6.3 Hasil Penilaian Risiko Inherent Risk Kategori Aset ............................. 68 Tabel 6.4 Hasil Penilaian Risiko Inherent Risk Kategori Skenario Risiko ........... 68 Tabel 6.5 Hasil Penilaian Risiko Residual risk Kategori Aset ............................. 70 Tabel 6.6 Hasil Penilaian Risiko Residual risk Kategori Skenario Risiko ........... 70

xii



DAFTAR LAMPIRAN

Lampiran 1 : Template Risiko Aset Informasi ...................................................... 87 Lampiran 2 : Form Kompilasi Analisis Risiko ................................................... 112 Lampiran 3 : Form Pengukuran Efektivitas Kontrol .......................................... 124 Lampiran 4 : Profil Risiko TI .............................................................................. 140 Lampiran 5 : Transkrip Wawancara .................................................................... 157

xiii



BAB 1 PENDAHULUAN

Bab ini membahas mengenai latar belakang, perumusan masalah, ruang lingkup masalah, manfaat penelitian dan sistematika penulisan pada penelitian ini. 1.1

Latar Belakang

Pesatnya perkembangan Teknologi Informasi dan Komunikasi (TIK) di Indonesia sangat

mempengaruhi

berbagai

aspek

kehidupan

masyarakat

saat

ini.

Perkembangan tersebut telah banyak diimplementasikan baik di sektor korporat maupun pemerintahan. Implementasi TIK pada sektor pemerintahan yang lebih dikenal dengan sebutan e-Government diharapkan dapat membantu Pegawai Negeri Sipil (PNS) dalam percepatan proses pelayanan baik kepada masyarakat maupun kepada PNS itu sendiri. Salah satu program flagship Dewan Teknologi, Informasi dan Komunikasi Nasional berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu Nomor Identitas Nasional (NIN). NIN ini merupakan komponen inti pada blueprint TIK Indonesia tentang e-Government. Pelaksana program ini adalah Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil), Kementerian Dalam Negeri. Nomor Induk Kependudukan (NIK) merupakan bentuk pelaksanaan program NIN. Administrasi Kependudukan adalah rangkaian kegiatan penataan dan penertiban dalam penerbitan dokumen dan data kependudukan melalui pendaftaran penduduk, pencatatan sipil, pengelolaan informasi administrasi kependudukan serta pendayagunaan hasilnya untuk pelayanan publik dan pembangunan sektor lain. Menurut Undang-Undang Dasar (UUD) 1945 Pasal 26 ayat (3) menyatakan bahwa “Hal-hal mengenai Warga Negara dan Penduduk diatur dengan UndangUndang” sehingga disusun Undang-Undang (UU) No. 23 tahun 2006 tentang Administrasi Kependudukan. Direktorat Jenderal Kependudukan dan Pencatatan Sipil (tata nama sebelumnya Direktorat Jenderal Administrasi Kependudukan) memiliki visi yaitu “Tertib Administrasi Kependudukan dengan Pelayanan Prima Menuju Penduduk Berkualitas Tahun 2015.” Berdasarkan Permendagri No. 41 1 Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014


2

Tahun 2010 tentang Organisasi dan Tata Kerja Kementerian Dalam Negeri (Kemdagri), Pasal 382 ayat (1) menyatakan bahwa Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil) merupakan unsur pelaksana Kementerian Dalam Negeri di bidang kependudukan dan pencatatan sipil. Pemerintah melaksanakan Program Penerapan Kartu Tanda Penduduk (KTP) berbasis Nomor Induk Kependudukan (juga disebut KTP Elektronik atau e-KTP) secara nasional pada tahun 2011 dan 2012 berdasarkan Perpres No. 26 Tahun 2009 tentang Penerapan KTP Berbasis NIK Secara Nasional. Selanjutnya diterbitkan Perpres No. 35 Tahun 2010 tentang Perubahan Atas Perpres No. 26 Tahun 2009 bahwa Penerapan e-KTP paling lambat akhir tahun 2012 dan Perpres No. 67 Tahun 2011 tentang Perubahan Kedua Atas Perpres No. 29 Tahun 2009 bahwa e-KTP Berlaku Secara Nasional di Seluruh Wilayah Negara Kesatuan Republik Indonesia (NKRI). Dalam pelaksanaan tertib administrasi kependudukan, Ditjen Dukcapil telah, sedang dan secara terus menerus mengumpulkan, mengolah dan menyimpan serta menyajikan sejumlah informasi terkait kependudukan kepada para pemangku kepentingan (stakeholders). Sistem Informasi/Teknologi Informasi (SI/TI) memiliki peranan dan fungsi strategis di Ditjen Dukcapil karena berada dari level kecamatan, kabupaten/kota, provinsi sampai dengan Pusat, yaitu: 1. Pada aplikasi Sistem Informasi Administrasi Kependudukan (SIAK) SI/TI berperan penting pada proses penerimaan data dari 497 kabupaten/kota ke Pusat (Data Center Kalibata). Sedangkan pada aplikasi e-KTP SI/TI berperan penting pada proses penerimaan data dari 6.234 kecamatan ke Pusat (Data Center Medan Merdeka Utara); 2. SI/TI berperan dalam integrasi database antara database aplikasi e-KTP dengan SIAK; 3. SI/TI berperan dalam penyediaan/penyajian data melalui data warehouse (DWH) dan web service data kependudukan;



3

4. SI/TI memiliki peranan dalam menentukan tingkat keamanan dan kerahasiaan data dan informasi. Misalnya digunakannya jaringan VPN web service data kependudukan, penggunaan username dan password pada web service dan DWH data kependudukan, dan Key Management System (KMS) pada pengelolaan data e-KTP. Berdasarkan peranan dan fungsi SI/TI tersebut di atas tidak bisa dipungkiri bahwa ketergantungan terhadap TI sangat tinggi, TI dipergunakan untuk tersedianya informasi dan layanan yang berkualitas. Hal tersebut digunakan oleh semua pihak yang dilayani baik pihak internal maupun eksternal. Pihak internal adalah seluruh unit kerja yang ada di Ditjen Dukcapil sedangkan pihak eksternal meliputi penduduk yang melakukan perekaman di daerah (kecamatan dan kabupaten/kota) dan kementerian/lembaga (K/L) yang memanfaatkan data kependudukan. Berdasarkan Undang-Undang No. 23 Tahun 2006 Pasal 1 ayat (22) menyatakan bahwa Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. Risiko kebocoran informasi menyebabkan kehancuran reputasi organisasi dan berimplikasi pada pidana. Risiko tersebut bisa saja berasal dari TI karena peranan TI sangat penting dalam proses pengelolaan data dan informasi. Penggunaan TI selain meningkatkan kecepatan dan keakuratan informasi serta pelayanan TIK, juga meningkatkan berbagai jenis risiko yang dapat berpengaruh negatif terhadap pencapaian target organisasi. Ketergantungan organisasi terhadap TI semakin memperbesar dampak risiko TI bagi organisasi sehingga dapat dikatakan bahwa risiko terkait TI merupakan hal yang harus dijalani dan dipahami sebagai risiko organisasi itu sendiri. Risiko yang timbul sebagai akibat dari implementasi TI dapat menyebabkan proses kerja yang tidak optimal, kerugian finansial, menurunnya reputasi organisasi, atau bahkan hancurnya organisasi. Direktorat

Pengelolaan

Informasi

Administrasi

Kependudukan

(DPIAK)

merupakan direktorat dalam bidang TI yang memiliki peranan penting untuk mencapai keberhasilan implementasi fungsi SI/TI dengan melaksanakan kegiatan pengembangan, pengelolaan, dan pengendalian kualitas operasional, infrastruktur, layanan, dan keamanan TI. Dalam melaksanakan kegiatan mendukung dan Universitas Indonesia


4

memberi nilai tambah proses kerja, tidak pernah bebas dari dan harus selalu berhadapan dengan kemungkinan timbulnya berbagai macam gangguan TI. Apabila gangguan tersebut tidak ditangani secara serius, selain menimbulkan risiko operasional, juga mempengaruhi risiko reputasi dan berdampak pada menurunnya tingkat kepercayaan publik. Oleh sebab itu, perlu dilakukan pengelolaan terhadap risiko tersebut. Untuk pengelolaan risiko TI diperlukan Kerangka Kerja Manajemen Risiko TI (IT Risk Management Framework), RiskIT sebagai salah satu kerangka kerja manajemen risiko bisa dipertimbangkan dan diterapkan oleh Ditjen Dukcapil yang serius dalam memanfaatkan TI sebagai salah satu komponen penting untuk mencapai tujuan organisasi. 1.2

Perumusan Masalah

Beberapa program kegiatan DPIAK dalam Renstra Ditjen Dukcapil adalah sebagai berikut: 1. Terbangunnya

dan

beroperasinya SIAK dan database

kependudukan

berbasis nomor induk kependudukan (NIK) nasional di Kabupaten/Kota, Provinsi dan Nasional secara online dan real time database kependudukan SIAK yang tersambung (online) dengan provinsi dan nasional; 2. Terhubungnya instansi/lembaga yang sistem database-nya relasional dengan database kependudukan melalui koneksitas NIK; dan 3. Terekamnya foto dan sidik jari dan penerapan Kartu TP berbasis NIK secara Nasional (e-KTP) bagi penduduk wajib KTP. Kegiatan pelayanan TI tidak dapat terhindar dari gangguan atau kerusakan yang disebabkan oleh alam maupun manusia misalnya terjadi gempa bumi, kebakaran, banjir, listrik, serangan virus komputer, kesalahan teknis, kelalaian manusia dan sebagainya. Kerusakan yang terjadi tidak hanya berdampak pada kemampuan teknologi yang digunakan, tetapi juga berdampak pada kegiatan operasional pelayanan. Beberapa kejadian yang pernah terjadi terkait operasional pada tahun belakangan ini antara lain: 1. Kegagalan Listrik; Universitas Indonesia


5

Pada tahun 2012 sudah terjadi kegagalan listrik dari PLN yang tidak bisa mensuplai ke UPS sehingga dukungan listrik pada Data Center (DC) e-KTP di Medan Merdeka Utara (MMU) terganggu yang menyebabkan beberapa server dimatikan sehingga layanan TI untuk sementara waktu tidak berfungsi. Hal ini menyebabkan tersendatnya aliran data hasil perekaman eKTP dari kecamatan ke Pusat (DC MMU). 2. Terputusnya Jaringan Komunikasi Data; Sampai saat ini masih terdapat wilayah (kecamatan dan kabupaten/kota) yang mengalami putus sambung terkait jaringan komunikasi data, sehingga terjadi pengendapan data. Selain itu beberapa kementerian/lembaga terkait koneksitas NIK masih mengalami kendala jaringan komunikasi data yang putus sambung. 3. Virus komputer; Serangan virus merupakan ancaman terhadap aset TI dengan probabilitas yang cukup tinggi. Penggunaan anti virus sudah dilakukan namun kesadaran kewaspadaan terhadap virus yang masih perlu ditingkatkan. Adanya gangguan operasional TI mendorong pentingnya pengelolaan risiko. Untuk pengelolaan risiko salah satunya harus memiliki daftar IT Risk Profile (profil risiko TI). Dengan mengetahui profil risiko TI, unit kerja DPIAK dapat mengoptimalkan manfaat dan mengurangi dampak risiko akibat penggunaan TI dalam menjalankan tugas pokok dan fungsi (Tupoksi) mendukung proses kerja Ditjen Dukcapil. DPIAK diharapkan dapat menyusun IT Risk Profile secara lengkap dan mitigasi terhadap risiko tersebut sebagai salah satu langkah terpadu untuk menjamin keberlangsungan layanan agar tetap dapat berfungsi dengan baik. Pada saat ini, belum pernah dilakukan proses penilaian dan mitigasi risiko TI terkait aset TI. Untuk itu perlu dilakukan evaluasi pengelolaan risiko TI agar dampak kerugian yang ditimbulkan oleh penggunaan TI dapat diminimalisasi. Rumusan permasalahan yang ingin diteliti adalah Apa saja profil risiko dan langkah mitigasi terhadap risiko TI? Analisis lebih lanjut dengan menggunakan diagram fishbone sebagai berikut:



6

SDM Kurangnya pelatihan SDM Belum ada SDM yang mampu memberikan penyelesaian yang cepat

Aplikasi e-KTP masih belum kompatibel Jarkomdat masih ada masalah dan terus diperbaharui

Gangguan pelayanan penerapan e-KTP yang relatif tinggi

Panduan yang kurang lengkap

Belum ada pengelolaan risiko TI

Sistem

Kebijakan

Gambar 1.1 Analisis Masalah dengan Diagram Fishbone Berdasarkan Gambar di atas beberapa akar masalah penyebab gangguan pelayanan penerapan e-KTP yang relatif tinggi yaitu: 1. Kurangnya pelatihan sumber daya manusia (SDM); 2. Belum adanya SDM yang mampu memberikan penyelesaian yang cepat; 3. Aplikasi e-KTP masih ada masalah dan terus diperbaharui; 4. Jaringan komunikasi data masih ada masalah; 5. Panduan yang kurang lengkap; 6. Belum ada pengelolaan risiko TI. Ditjen Dukcapil pada saat ini belum melakukan pengelolaan risiko TI sehingga diharapkan Ditjen Dukcapil melakukannya dengan menggunakan standar manajemen risiko TI yang ada. Pengelolaan risiko TI meningkatkan kinerja TI serta dapat menurunkan dampak kerugian yang ditimbulkan oleh risiko yang ada. 1.3

Ruang Lingkup Masalah Ruang lingkup masalah pada penelitian ini adalah sebagai berikut:

1. Penelitian

ini

menggunakan

metode

penelitian

studi

kasus

yang

dilaksanakan pada Ditjen Dukcapil, Kementerian Dalam Negeri; 2. Penelitian ini menggunakan kerangka kerja RiskIT sebagai acuan di dalam menyusun IT Risk Profile pada Direktorat Pengelolaan Informasi Universitas Indonesia


7

Administrasi Kependudukan (DPIAK). Domain RiskIT yang digunakan Risk Evaluation (RE) dan Risk Response (RR); 3. Penelitian ini hanya berfokus pada risiko aset untuk pelayanan penerapan eKTP khususnya Data Center e-KTP di Ditjen Dukcapil; 4. Penelitian ini tidak mencantumkan biaya mitigasi risiko. 1.4

Tujuan Penelitian

Penelitian ini bertujuan menyusun profil risiko TI sebagai salah satu langkah untuk melakukan pengelolaan risiko TI dengan menggunakan standar manajemen risiko TI yang ada, sehingga dampak risiko terhadap organisasi dapat diperkecil. Dengan penelitian ini diharapkan: 1. Memberikan kontribusi dalam alokasi dan penggunaan sumber daya yang lebih efisien; 2. Melindungi dan meningkatkan nilai aset dan citra organisasi. 1.5

Manfaat Penelitian

Adapun manfaat dari penelitian ini sebagai berikut: 1. Bagi Ditjen Dukcapil dapat menerapkan kerangka kerja manajemen risiko TI RiskIT untuk mengelola risiko TI secara efektif. Sehingga organisasi dapat memastikan bahwa peluang untuk menciptakan nilai tidak hilang karena keinginan untuk menghindari semua risiko; 2. Bagi instansi pemerintah lain dapat dijadikan usulan atau rekomendasi sebagai kerangka kerja manajemen risiko TI di lingkungannya masingmasing; 3. Bagi dunia pendidikan yaitu memberikan kontribusi bagi perkembangan bidang IT Risk Management. 1.6

Sistematika Penulisan

Penulisan Karya Akhir ini ditulis secara sistematis dan terdiri atas bab-bab sebagai berikut: 1. Pada Bab I dijelaskan tentang latar belakang, rumusan masalah, batasan penelitian, tujuan penelitian dan manfaat penelitian;



8

2. Pada Bab II dijelaskan dasar-dasar teori, metodologi yang digunakan untuk menjawab pertanyaan penelitian ini. Selain itu dijelaskan tinjauan pustaka dari berbagai penelitian yang berhubungan dengan penelitian ini; 3. Pada Bab III dijelaskan tahapan-tahapan dari metodologi yang digunakan dalam penelitian ini; 4. Pada Bab IV berisi profil organisasi Ditjen Dukcapil dan DPIAK yang digunakan sebagai obyek penelitian; 5. Pada Bab V berisi penetapan konteks dan aset TI yang menjadi obyek manajemen risiko TI. Aset TI yang sudah dipilih menjadi dasar untuk menentukan skenario risiko TI organisasi; 6. Pada Bab VI menjelaskan tentang penilaian risiko pada aset yang mendukung proses kerja utama Ditjen Dukcapil. Penilaian risiko ini meliputi identifikasi skenario risiko, analisis dan respon terhadap risiko tersebut. Proses penilaian risiko TI ini untuk menghasilkan profil risiko TI; 7. Pada Bab VII ini berisi tentang strategi dan langkah mitigasi pada risiko yang diprioritaskan dengan mitigasi risiko yang memperhatikan kecukupan aspek People, Process dan Technology (manusia, proses dan teknologi); 8. Pada Bab VIII berisi kesimpulan dan saran dari hasil penelitian yang telah dilakukan.



BAB 2 TINJAUAN PUSTAKA

Bab ini membahas mengenai teori terkait dengan metode yang digunakan di dalam penelitian, yaitu mengenai risiko TI, manajemen risiko TI dan model pengujiannya. 2.1

Risiko TI

Risiko TI adalah risiko organisasi yang diakibatkan oleh penggunaan TI dalam organisasi, terdiri atas semua kejadian terkait TI yang berpotensi memiliki dampak pada organisasi (ISACA, 2009). Perspektif umum lingkup risiko TI semakin berkembang, tidak hanya terkait dengan operasional organisasi tetapi risiko secara keseluruhan pada organisasi tersebut.

Gambar 2.1 Risiko TI di dalam Hirarki Risiko Organisasi (Sumber: ISACA, 2009, RiskIT Framework) Risiko dan Value merupakan dua sisi mata uang yang berbeda, tetapi perusahaan atau organisasi perlu untuk memastikan bahwa peluang (opportunity)

untuk

menciptakan nilai tidak hilang karena keinginan untuk mengeliminasi seluruh risiko, harus ada keseimbangan. Menurut ISACA (2009) risiko TI dikategorikan menjadi tiga yaitu sebagai berikut: 1. IT Benefit/Value Enablement Risk

9 Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014


10 Terkait dengan (hilangnya) opportunity penggunaan teknologi bagi peningkatan efisiensi dan efektifitas proses bisnis atau sebagai enabler bagi inisiatif bisnis baru. 2. IT Program and Project Delivery Risk Terkait dengan kontribusi TI bagi solusi bisnis baru atau memperbaiki solusi bisnis dalam bentuk proyek atau program. 3. IT Operations and Service Delivery Risk Terkait dengan seluruh aspek kinerja sistem dan layanan TI, yang dapat merusak atau mereduksi nilai organisasi atau perusahaan. 2.2

Manajemen Risiko TI

Manajemen risiko TI merupakan proses identifikasi risiko, penilaian risiko, dan pengambilan langkah-langkah untuk menurunkan risiko sampai tingkatan yang dapat diterima (Stoneburner, 2002). Menurut Westerman (2007) manajemen risiko adalah proses identifikasi, pengkajian, pengembangan strategi mitigasi dan komunikasi risiko TI yang berpotensi merugikan atau berdampak negatif terhadap organisasi. Mekanisme kontrol dan pengukuran kinerja manajemen risiko TI yang dilakukan oleh semua pihak secara efektif dapat memilih risiko mana yang harus diberi perhatian dan risiko mana yang dapat diterima pada level risiko dan organisasi memfokuskan pada risiko yang benar-benar penting. Sedangkan menurut IT Governance, IT Audit dan IT Security (dalam Spremic, 2008), manajemen risiko TI adalah proses untuk memahami dan memberikan respon terhadap faktor-faktor yang dapat menyebabkan kegagalan dalam autentikasi, non-repudiation, kerahasiaan, integritas atau ketersediaan dari sistem informasi. Symantec (2007) dalam laporannya yang berjudul Symantec Risk Management Report mengatakan bahwa manajemen risiko memerlukan kompetensi dan investasi yang tepat untuk mendukung proses di dalamya. Manajemen risiko TI menggunakan mekanisme kontrol yang terdefinisi dengan baik, dikombinasikan



11 dengan teknologi dan proses yang saling mendukung. Hal ini tentunya perlu didukung teknologi yang tepat. Manajemen risiko TI bukanlah hal yang mudah, merupakan hal penting untuk menjaga keseimbangan dalam proses manajemen risiko yang cukup sulit dan menghabiskan banyak waktu. Memerlukan keahlian, keuletan, latihan dan perbaikan secara terus menerus namun demikian hasil usaha yang dikerjakan pada tahap ini, memberikan masukan yang berharga bagi perusahaan atau organisasi dalam menghadapi tantangan bisnis masa depan. Meskipun secara umum metode manajemen risiko yang berbeda-beda sehingga diperlukan

manajemen risiko

secara khusus. Terkait dengan pemerintah yang memberikan layanan publik, dampak dari risiko dapat diukur tidak hanya secara ekonomi, namun juga pengaruh sosial. Sesuai dengan kebijakan yang tertuang di dalam Permenkominfo nomor 41 tahun 2007, bahwa dalam rangka melakukan tata kelola TI oleh institusi pemerintahan perlu dilakukan manajemen risiko yang mencakup risiko proyek, risiko atas informasi dan risiko atas keberlangsungan layanan (Permenkominfo, 2007). 2.3

Profil Risiko TI

Profil risiko merupakan gambaran keseluruhan risiko organisasi yang berguna untuk usulan pelaporan. Profil risiko ini mengacu pada data risk register, hasil analisis risiko dan indikator kinerja. Pengukuran risiko TI berguna untuk mengetahui profil risiko, analisis terhadap risiko, kemudian melakukan respon terhadap risiko tersebut sehingga dampak yang ditimbulkan dapat diperkecil. Profil risiko menampilkan tingkatan risiko dalam bentuk matriks kecenderungan atau probabilitas (likelihood) dan dampak (impact). Tugas yang harus dilakukan adalah identifikasi profil risiko (aset, ancaman terhadap aset, kebutuhan kontrol untuk aset dan deskripsi tentang dampak risiko terhadap organisasi) dan identifikasi informasi organisasi (kebijakan, standar operasional prosedur, kelemahan teknologi dan organisasi saat ini). Tabel 2.1 merupakan contoh dari hasil risk assessment yang dilakukan bank ABC. IT risk profile memuat key process, potensi gangguan yang mungkin terjadi (risk Universitas Indonesia


12 issue) serta kontrol yang dilakukan sebagai mitigasi dari risiko terkait (control design).

Setiap

risiko

juga

didefinisikan

parameter

likelihood

yang

menggambarkan kemungkinan risiko terjadi dan parameter impact yang menggambarkan seberapa besar akibat dampak risiko yang terjadi. Tabel 2.1 Contoh Profil Risiko TI Bank ABC Key Risk Process Issue 1 2 Uji Coba Kesiapan DRP petugas level operasiona l saat terjadi disaster

Pengelolaan menu user pada aplikasi green screen

Kesalahan pemberian fitur menu pada user

1. 2.

3.

1.

2.

Inherent Risk Control Design Likelihood Impact Rating 3 4 5 6 Dilakukan Likely Major Very simulasi DRP high Sosialisasi melalui program awareness Dokumentasi prosedur lengkap Penerapan Possible High Very mekanisme high Dual Custody untuk level OS dan aplikasi Verifikasi kesesuaian antara user privilege di sistem dengan reporting user ID administration

(Sumber: Christiyono, 2011, IT Risk Profile Bank ABC) 2.4

RiskIT

RiskIT merupakan kerangka kerja manajemen risiko TI yang didasarkan pada prinsip-prinsip standar enterprise risk management (ERM) seperti COSO dan AS/NZS 4360. RiskIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information System Audit and Control Association (ISACA). RiskIT dan ValIT dapat dijadikan pelengkap COBIT untuk memberikan pedoman implementasi tata kelola TI. Meskipun demikian RiskIT tidak membutuhkan penggunaan COBIT ataupun ValIT. RiskIT tidak hanya terbatas Universitas Indonesia


13 pada aspek keamanan informasi saja, tetapi mencakup semua risiko-risiko yang terkait dengan TI termasuk yang berhubungan dengan sebagai berikut: 1. Keterlambatan penyelesaian proyek; 2. Tidak tercapainya value TI sebagaimana diharapkan; 3. Pemenuhan (compliance); 4. Tidak adanya keselarasan TI dengan kepentingan bisnis; 5. Arsitektur TI yang kadaluarsa ataupun tidak fleksibel; 6. Masalah-masalah dalam penyelenggaraan layanan TI. RiskIT menjawab kebutuhan sebuah kerangka kerja manajemen risiko yang komprehensif dan sangat erat terhubung dengan tujuan organisasi. Standar dan kerangka kerja yang lain bersifat terlalu umum misalnya berorientasi ERM ataupun terlalu fokus yang efektif dalam sebuah organisasi sehingga RiskIT memberi manfaat bagi organisasi yaitu untuk: 1. Memberikan panduan untuk membantu eksekutif dan manajemen dalam mengajukan pertanyaan, membuat keputusan yang lebih baik yang berdasarkan pengetahuan risiko yang dimiliki dan memandu organisasi agar dapat mengelola risiko secara efektif; 2. Menghemat waktu, biaya dan usaha dengan alat bantu untuk mengelola risiko organisasi; 3. Mengintegrasikan manajemen risiko bisnis yang terkait TI ke dalam manajemen risiko organisasi secara keseluruhan; 4. Memberikan panduan praktis bagi organisasi dalam mengelola risiko terkait TI; 5. Membawa semua aspek dari risiko TI, termasuk value, perubahan ketersediaan (availability), project dan pemulihan (recovery); 6. Terhubung dengan konsep dan pendekatan manajemen risiko organisasi seperti COSO, ERM dan ISO;



14 7. Menawarkan sebuah pandangan yang tunggal dan terpadu tentang risiko bisnis terkait TI, risiko yang dapat mengakibatkan perusahaan kehilangan pendapatan atau kesempatan bernilai jutaan dollar per tahun. ISACA (2009) menjabarkan tiga domain manajemen risiko TI yang membantu organisasi menentukan risiko keseluruhan organisasi, merespon terhadap risiko, baik yang belum terjadi maupun yang sudah terjadi dan mengevaluasi risiko. Tiga domain tersebut yaitu: Risk Governance (RG), Risk Evaluation (RE) dan Risk Response (RR) yang masing-masing memiliki tiga proses sebagai aktivitas kunci utamanya yang dapat dilihat pada Gambar 2.2. Esensi Risk Governance meliputi tanggung jawab dan akuntabilitas untuk risiko, risk appetite dan toleransi risiko, kesadaran atas risiko dan komunikasi dan budaya risiko. Esensi Risk Evaluation meliputi skenario risiko dan penjelasan dampak terhadap bisnis. Esensi Risk Response meliputi Key Risk Indicators (KRIs), definisi Risk Response dan prioritisasi.

Gambar 2.2. Kerangka Kerja RiskIT (Sumber: ISACA, 2009, RiskIT Framework) Ketiga domain utama pada RiskIT, dijabarkan pada Tabel 2.2. sebagai berikut:



15 Tabel 2.2 Domain RiskIT Domain Risk Governance (RG) sebagai mekanisme kontrol tata kelola risiko TI. RG1: Establish and maintain a common risk view RG2: Integrate with ERM RG3: Make risk-aware business decisions Esensi RG: a. Tanggung jawab dan akuntabilitas untuk risiko b. Risk appetite dan toleransi risiko c. Kesadaran atas risiko dan komunikasi d. Budaya risiko Risk Evaluation (RE) RE1: Collect data RE2: Analyze risk RE3: Maintain risk profile Esensi RE: a. Skenario Risiko b. Penjelasan dampak terhadap bisnis Risk Response (RR) sebagai mekanisme komunikasi dan strategi mitigasi risiko TI RR1: Articulate Risk RR2: Manage Risk RR3: React to events Esensi RR: a. Key Risk Indicators (KRIs) b. Definisi Risk Response dan prioritisasi

Goals Memastikan bahwa praktik manajemen risiko TI terimplementasi di organisasi secara optimal berdasarkan risk adjusted return

Memastikan bahwa risiko TI serta opportunity penciptaan value teridentifikasi dan teranalisis dengan baik.

Memastikan adanya respon yang cost-effective dan berbasis prioritas bisnis terhadap kemungkinan terjadinya risiko TI.

(Sumber: ISACA, 2009, RiskIT Framework, “telah diolah kembali”) 2.4.1 Prinsip RiskIT RiskIT didefinisikan dan didasarkan pada sejumlah prinsip-prinsip panduan untuk efektivitas manajemen risiko TI. Prinsip-prinsip ini didasarkan pada prinsip ERM yang umum diterima dimana telah diterapkan pada domain TI. Model proses RiskIT seperti yang diperlihatkan dalam Gambar 2.3 dirancang dan disusun untuk Universitas Indonesia


16 memungkinkan organisasi menerapkan prinsip-prinsip dalam RiskIT untuk standar kinerja. Berikut prinsip-prinsip sebagai berikut: 1. Selalu terhubung dengan obyektif perusahaan; 2. Menyelaraskan manajemen risiko bisnis terkait TI dengan manajemen risiko perusahaan secara keseluruhan; 3. Menyeimbangkan biaya dan manfaat dalam mengelola risiko; 4. Mendukung terjalinnya komunikasi yang terbuka dan sehat tentang risiko TI; 5. Menghasilkan pendapat yang tepat dari top management sambil menetapkan dan menguatkan akuntabilitas personal untuk beroperasi dalam tingkatan toleransi yang dapat diterima dan terdefinisi dengan baik; 6. Memahami bahwa hal ini merupakan proses yang berkelanjutan dan bagian yang penting dalam aktivitas keseharian.

Gambar 2.3 Prinsip RiskIT (Sumber: ISACA, 2009, RiskIT Framework) 2.4.2 Identifikasi Risiko RiskIT Dalam melakukan identifikasi risiko TI, RiskIT memberikan panduan melalui Generic IT Risk Scenario yang berisi 36 high level skenario terkait TI. Sebuah skenario risiko TI adalah deskripsi dari suatu peristiwa terkait TI yang dapat menyebabkan dampak bisnis, ketika dan jika itu harus terjadi (RiskIT, ISACA 2009). Salah satu tantangan manajemen risiko TI adalah mengidentifikasi relevan Universitas Indonesia


17 dan pentingnya semua risiko yang dapat memungkinkan mengarah pada kegagalan TI atau terkait TI. Salah satu teknik untuk menjawab tantangan tersebut adalah menggunakan dan membangun skenario risiko yang dapat dilihat pada Gambar 2.4. Skenario risiko merupakan bagian panduan RiskIT untuk mengidentifikasi risiko. Secara umum, proses identifikasi risiko menurut RiskIT dapat dilihat pada Tabel 2.3, dimana High-level Risk Scenario digunakan dan dibandingkan dengan tujuan organisasi yang ada, dalam hal ini tentu tujuan organisasi Ditjen Dukcapil. Skenario risiko dapat didorong melalui dua cara pendekatan yaitu: 1. Pendekatan Top-Down Organisasi

memulai

dari

keseluruhan

tujuan

organisasi

kemudian

melakukan analisis risiko TI yang paling relevan dan memungkinkan skenario risiko tersebut berdampak pada tujuan organisasi. 2. Pendekatan Bottom-Up Generic IT Risk Scenario digunakan untuk menetapkan skenario yang lebih konkrit untuk disesuaikan, diterapkan pada situasi organisasi.

Gambar 2.4 Pembangunan Skenario Risiko TI (Sumber: ISACA, 2009, RiskIT Framework) Skenario risiko yang sudah ditetapkan dapat digunakan untuk analisis risiko dimana probabilitas dan dampak skenario dinilai. Komponen terpenting dalam



18 penilaian ini adalah faktor risiko seperti ditunjukkan dalam Gambar 2.5. Faktor risiko diklasifikasikan dalam dua kategori utama yaitu: 1. Faktor Lingkungan Dibagi menjadi dua kelompok, yaitu faktor eksternal dan internal. Perbedaannya terletak pada tingkatan pengendaliannya. Faktor internal di bawah kontrol organisasi sedangkan faktor eksternal di luar organisasi. Faktor-faktor internal dimaksud antara lain adalah sumber daya manusia, keuangan, kompetensi, proses, sistem dan teknologi. Selain itu faktor-faktor arus atau aliran informasi dan proses pengambilan keputusan, pemangku kepentingan internal, persepsi, nilai dan budaya organisasi, tujuan dan strategi saat ini, struktur organisasi, serta governance. Faktor-faktor eksternal yang perlu dipertimbangkan terkait dengan potensi risiko yang dihadapi antara lain adalah budaya, hukum, politik, regulasi, keuangan, ekonomi, tingkat kompetisi baik regional maupun internasional. 2. Faktor Kemampuan Kemampuan organisasi mengelola secara baik aktivitas terkait TI dengan memanfaatkan tiga kerangka kerja dari ISACA yaitu manajemen risiko TI (RiskIT), kapabilitas organisasi memperbaiki proses TI (COBIT) dan kapabilitas organisasi meningkatkan nilai TI (ValIT).

Gambar 2.5 Faktor-Faktor Risiko TI (Sumber: ISACA, 2009, RiskIT Framework)



19

Tabel 2.3 Mapping Generic IT Risk Scenario ke Proses COBIT No.

High-level Risk Scenario

Keterangan

IT Processes Capabilities (COBIT) Plain and Organize (PO)

IT Value Management Processes Capabilities (Val IT)

Acquire Deliver Monitor Value Programme Investment and and and Governance Management Management Implement Support Evaluate (VG) (PM) (IM) (AI) (DS) (ME)

1.

IT programme selection

Pemilihan proyek-proyek TI yang PO1, PO2, AI1, AI3 mendukung target organisasi PO3

ME1, ME3

VG1, VG2, PM1, PM4, VG3, VG5 PM5

2.

New technologies

Adanya perkembangan teknologi PO1, PO2, AI1, AI3 baru yang bisa bermanfaat PO3

ME1

VG3

3.

Technology selection

Pemilihan jenis teknologi yang PO2, PO3 diimplementasikan dalam proyek TI

ME1

AI1, AI3

PM1, PM4 IM1, IM2

dan seterusnya.



20 2.4.3 Analisis Risiko RiskIT Analisis risiko adalah estimasi aktual probabilitas dan dampak skenario risiko pada bisnis. Seperti yang telah didefiniskan pada bagian skenario risiko TI, yang berupa deskripsi dari suatu peristiwa atau kejadian terkait TI yang dapat berdampak pada bisnis, maka tahapan berikutnya adalah menganalisis risikorisiko tersebut untuk mengetahui probabilitas, dampak dan menentukan tingkat pengendaliannya. Skenario risiko TI menjadi masukan untuk tahapan analisis risiko dan penanganannya sebagai masukan bagi pihak manajemen untuk mengambil keputusan. Komponen-komponen risk scenario seperti yang ditunjukkan pada Gambar 2.6 sangat diperlukan untuk dapat menganalisis risiko. Sedangkan proses analisis risiko TI menurut RiskIT dapat dilihat pada Gambar 2.7.

Gambar 2.6 Komponen Skenario Risiko (Sumber: ISACA, 2009, RiskIT Framework)

Skenario risiko TI menggambarkan kejadian terkait TI yang menimbulkan dampak bagi organisasi ketika dan jika terjadi. Komponen skenario risiko dalam RiskIT terdiri dari: 1. Actor Orang atau pelaku yang membuat ancaman pada aset baik dari eksternal maupun internal organisasi. Contoh dari internal, yaitu pegawai dan vendor Universitas Indonesia


21 yang bekerjasama dengan organisasi. Sedangkan contoh dari eksternal yaitu kompetitor, regulasi dan market. 2. Ancaman Potensi suatu kondisi, kejadian atau rangkaian kejadian atau peristiwa suatu sumber ancaman, baik disengaja maupun tidak disengaja dieksploitasi. Tidak semua ancaman membutuhkan aktor yang bisa berasal dari kegagalan atau alam. 3. Kejadian Bisa meliputi kebocoran informasi, gangguan pada sistem atau proyek, pencurian dan perusakan infrastruktur TI, desain sistem dan proses atau eksekusi yang tidak efektif. 4. Aset/Sumber Risiko Obyek bernilai yang apabila terjadi kejadian pada obyek tersebut berdampak bagi organisasi. Aset dikategorikan meliputi aset manusia/organisasi, infrastruktur TI, proses, infrastruktur fisik, komponen arsitektur organisasi yaitu aplikasi dan informasi. 5. Waktu Waktu yang mendeskripsikan kapan kejadian skenario risiko terjadi.

Gambar 2.7 Proses Analisis Risiko (Sumber: ISACA, 2009, RiskIT Practitioner Guide)



22 2.4.4 Respon Risiko TI Tujuan dari respon risiko agar risiko selaras dengan batasan risiko global (risk appetite) setelah dilakukan analisis risiko. Sebagai parameter penentunya, batasan risiko yang dapat ditoleransi pada tingkat operasional batasan risiko toleransi (risk tolerance threshold) oleh manajemen terkait. Proses respon risiko TI dapat dilihat pada Gambar 2.8.

Gambar 2.8 Proses Respon Risiko (Sumber: ISACA, 2009, RiskIT Practitioner Guide) 1. Pemilihan Respon Risiko Opsi-opsi yang dapat dipilih untuk merespon risiko yaitu: a. Risk Avoidance Yang berarti bahwa menghindari risiko, dalam konteks proses berarti meniadakan aktivitas terkait proses tersebut. Respon ini berlaku apabila pilihan respon risiko lain tidak cukup.



23 b. Risk Reduction / Mitigation Adalah mendeteksi risiko dan diikuti dengan aksi untuk mengurangi kecenderungan (frequency) dan atau dampak (impact) dari risiko. c. Risk Share/Transfer Sharing berarti mengurangi frekuensi dan dampak risiko dengan memindahkan seluruh atau sebagian risiko kepada pihak lain. Contohnya adalah outsourcing. d. Risk Acceptance Tidak ada aksi atau upaya yang dilakukan pada risiko tersebut dan kerugian diterima apabila risiko itu terjadi. Ini berbeda dengan mengabaikan risiko (ignorant of risk), risk acceptance diasumsikan risiko diketahui dan diinformasikan ke level manajemen dan pihak manajemen menerimanya. 2. Perencanaan Tindakan Risiko Berdasarkan prioritisasi, maka action plan lebih lanjut dapat disusun sebagai berikut: a. Quick-win Respon yang sangat efisien dan efektif untuk HIGH RISKS. b. Business case Respon yang lebih mahal dan sulit untuk HIGH RISKS atau respon yang efisien dan efektif untuk LOWER RISKS (membutuhkan analisis yang hati-hati). c. Deferral Costly response untuk LOWER RISKS. 2.4.5 Mendeskripsikan dan Mengkespresikan Risiko Deskripsi risiko dalam RiskIT dibagi tiga yaitu inherent risk, current risk dan residual risk. Inherent risk adalah risiko dasar yang dimiliki aset yang menjadi tahapan penetapan konteks ruang lingkup IT Risk Management, sedangkan Universitas Indonesia


24 current risk merupakan risiko setelah adanya estimasi frekuensi dan dampak yang menjadi tahapan analisis risiko. Residual risk merupakan risiko sisa setelah adanya kontrol dan di sini merupakan tahapan pemilihan opsi-opsi respon dan prioritasinya. Hubungan inherent risk, current risk dan residual risk ditunjukkan pada Gambar 2.9.

Gambar 2.9 Inherent Risk, Current Risk dan Residual risk (Sumber: RiskISACA, 2009, RiskIT Practitioner Guide) 2.4.6 Mengekspresikan Frekuensi Frekuensi dalam RiskIT memiliki makna yang sama dengan likelihood atau probability yaitu jumlah kejadian dalam sebuah durasi waktu tertentu. Menggunakan hanya label (very frequent, frequent, dan rare) tidak disarankan karena dia dapat berarti berbeda untuk berbagai skenario dan sebagai konsekuensinya dapat menimbulkan kebingungan. Gambar 2.10 memperlihatkan contoh skala probabilitas.

Gambar 2.10 Skala Probabilitas (Sumber: ISACA, 2009, RiskIT Practitioner Guide) 2.4.7 Mengekspresikan Dampak Magnitude atau Impact atau Exposure digunakan untuk mendeskripsikan besarnya konsekuensi dari risiko jika terjadi. Skala untuk impact dapat ditentukan sendiri



25 oleh organisasi sesuai dengan terminologi tujuan organisasi yang dimiliki. Gambar 2.11 memperlihatkan contoh skala dampak.

Gambar 2.11 Skala Dampak (Sumber: ISACA, 2009, RiskIT Practitioner Guide) 2.4.8 Risk map dan Risk Register Setelah seluruh IT Risk Scenario dianalisis frekuensi dan impact-nya, maka Current Risk tersebut dapat disajikan dalam Risk map. Berdasarkan Risk map tersebut, risiko-risiko yang masih di atas Risk appetite diregistrasi. Gambar 2.12 memperlihatkan contoh risk map. Universitas Indonesia


26

Gambar 2.12 Risk Map (Sumber: ISACA, 2009, Risk IT Practitioner Guide) 2.5

Kerangka Kerja COBIT

Control Objective for Information and Related Technology (COBIT) merupakan standar yang dikeluarkan oleh IT Governance Institute (ITGI) (IT Governance Institute,

2005).

COBIT

merupakan

referensi

kerangka

kerja

untuk

mengimplementasikan kontrol sebagai langkah mitigasi risiko terhadap setiap proses-proses TI yang terdiri atas 4 domain, yaitu: 1. Plan and Organise (PO); 2. Acquisition and Implementation (AI); 3. Delivery and Support (DS); dan 4. Monitor and Evaluate (ME). COBIT didasarkan kepada filosofi bahwa sumber daya atau aset TI (infrastruktur, aplikasi, data dan informasi, dan SDM) perlu dikelola oleh proses-proses TI yang dikelompokkan dalam siklus (empat domain natural) untuk menghasilkan informasi bisnis yang memenuhi kriteria tertentu (efektifitas, efisiensi, kehandalan, kerahasiaan, integritas, ketersediaan dan kepatuhan), yang digunakan untuk mendukung pencapaian tujuan bisnis. Gambar 2.13 memperlihatkan kerangka kerja COBIT 4.1.



27

Gambar 2.13 Kerangka Kerja COBIT 4.1 (Sumber: ISACA, 2007, COBIT 4.1 Framework) IT Governance Institute (2007) menjelaskan ada lima area fokus COBIT (Gambar 2.14) yaitu: 1. Strategic Alignment Fokus untuk menjamin keselarasan antara business dan IT Plan. 2. Value Delivery Memastikan

IT

memberikan

manfaat

yang

telah

dijanjikan

dan

mengoptimalkan biaya.



28 3. Resource Management Mengoptimalkan investasi dan mengelola secara baik sumber daya TI yang meliputi aplikasi, informasi, infrastruktur dan manusia. Masalah utama berkaitan dengan optimalisasi pengetahuan dan infrastruktur. 4. Risk Management Manajemen Risiko memerlukan kesadaran risiko dari pimpinan organisasi. 5. Performance Measurement Memonitor implementasi strategy, project completion, penggunaan sumber daya, proses pengukuran dan service delivery.

Gambar 2.14 IT Governance Focus Areas (Sumber: ISACA, 2007, COBIT 4.1) 2.6

Kerangka Kerja NIST Special Publication 800-300

National Institute of Standard and Technology (NIST) mengeluarkan rekomendasi melalui publikasi khusus 800-30 tentang Risk Management Guide for Information Technology System (Stoneburner, 2002). Terdapat tiga proses dalam manajemen risiko (Gambar 2.15) yaitu: 1. Proses Penilaian Risiko (Risk Assessment); Terdapat sembilan langkah dalam proses penilaian risiko yaitu: a. Mengetahui Karakteristik Sistem TI;



29 Sistem TI meliputi hardware, software, infrastruktur, data dan informasi, orang yang terlibat dalam pengelolaan dan penggunaan sistem TI. b. Mengidentifikasi Ancaman; Melakukan identifikasi ancaman terhadap kelemahan sistem TI baik berasal dari internal maupun eksternal organisasi serta lingkungan. c. Mengidentifikasi Kelemahan; Melakukan identifikasi kekurangan atau kelemahan (vulnerability) pada prosedur keamanan, desain, implementasi, eksternal kontrol dan internal kontrol terhadap sistem sehingga menghasilkan pelanggaran terhadap kebijakan keamanan sistem. d. Melakukan Analisis Pengendalian; Menganalisis kontrol-kontrol yang sudah diimplementasikan atau direncanakan

untuk

diimplementasikan

oleh

organisasi

untuk

mengurangi atau menghilangkan kecenderungan (kemungkinan) dari suatu ancaman yang menyerang sistem yang vulnerable. e. Menentukan Kecenderungan (Likelihood); Penentuan kecenderungan (likelihood) dari kejadian bertujuan untuk memperoleh penilaian terhadap keseluruhan kecenderungan yang mengindikasikan kemungkinan potensi vulnerability diserang oleh lingkungan ancaman yang ada. f. Menganalisis Dampak Risiko; Melakukan analisis dampak negatif terhadap keberhasilan penyerangan vulnerability sistem TI. Seperti loss of integrity, loss of availability, dan loss of confidentiality. Pengukuran dampak dari risiko TI dapat dilakukan secara

kualitatif

maupun

kuantitatif.

Dampak

tersebut

dapat

diklasifikasikan menjadi tiga bagian yaitu: high, medium dan low. g. Menentukan Level Risiko; Penentuan level risiko dari Sistem TI yang merupakan pasangan ancaman atau vulnerability merupakan suatu fungsi, yaitu: Universitas Indonesia


30 1) Kecenderungan suatu sumber ancaman menyerang vulnerability dari sistem TI; 2) Besaran dampak yang terjadi jika sumber ancaman sukses menyerang vulnerability dari sistem TI; 3) Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi dan menghilangkan risiko. h. Merekomendasikan Pengendalian; Memberikan rekomendasi pengendalian untuk mengurangi level risiko sistem TI dan data sehingga mencapai level yang dapat diterima. i. Dokumentasi Hasil Dalam Bentuk Laporan. 2. Proses Pengurangan Risiko (Risk Mitigation) Strategi di dalam melakukan pengurangan risiko misalnya dengan menerima risiko (risk assumption), mencegah terjadinya risiko (risk avoidance), membatasi level risiko (risk limitation), atau mentransfer risiko (risk transference). 3. Proses Evaluasi Risiko (Risk Evaluation) Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko yang diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko kembali untuk memastikan keberadaan risiko yang teridentifikasi maupun risiko yang belum teridentifikasi.

Gambar 2.15 Framework NIST Special Publication 800-30 (Sumber: NIST SP 800-30)



31 2.7

Perbandingan Kerangka Kerja

ISACA (2009) membandingkan beberapa framework dan standar terkait manajemen risiko TI dilihat dari implementasi prinsip risiko TI seperti pada Gambar 2.16. Dari Gambar tersebut terlihat aspek keselarasan risiko TI dengan risiko organisasi terpenuhi oleh RiskIT, sedangkan kerangka kerja lain lebih pada aspek teknis. Karakteristik utama RiskIT dibanding kerangka kerja lain, yaitu RiskIT selaras dengan COBIT dan ValIT sedangkan kerangka kerja lain perlu dilakukan pemetaan. RiskIT terhubung dengan konsep dan pendekatan manajemen risiko perusahaan atau organisasi seperti COSO ERM dan ISO 31000. Standard dan kerangka kerja yang lain bersifat terlalu umum (misalnya berorientasi ERM) ataupun terlalu fokus pada satu aspek saja misalnya IT Security RiskIT fokus pada risiko TI, risiko yang dapat mengakibatkan organisasi kehilangan reputasi atau bagi perusahaan kehilangan jutaan dollar per tahun.

Aspek Alignment Risiko TI dan Risiko Bisnis

Aspek Teknis Risiko-Risiko TI

Gambar 2.16 Perbandingan dan Standar Manajemen Risiko TI (Sumber: ISACA, 2009, RiskIT Framework)



32

2.8

Penelitian Studi Kasus (Case Study Research)

Menurut Bogdan dan Bikien (1982) case study (studi kasus) merupakan pengujian secara rinci terhadap satu latar atau satu orang subjek atau satu tempat penyimpanan dokumen atau satu peristiwa tertentu. Surachrnad (1982) membatasi pendekatan studi kasus sebagai suatu pendekatan dengan memusatkan perhatian pada suatu kasus secara intensif dan rinci. Sementara Yin (1987) memberikan batasan yang lebih bersifat teknis dengan penekanan pada ciri-cirinya. Ary, Jacobs, dan Razavieh (1985) menjelasan bahwa dalam studi kasus hendaknya peneliti berusaha menguji unit atau individu secara mendalam. Para peneliti berusaha menemukan semua variabel yang penting. Berdasarkan batasan tersebut dapat dipahami bahwa batasan studi kasus meliputi: (1) sasaran penelitiannya dapat berupa manusia, peristiwa, latar, dan dokumen; (2) sasaran-sasaran tersebut ditelaah secara mendalam sebagai suatu totalitas sesuai dengan latar atau konteksnya masing-masing dengan maksud untuk mernahami berbagai kaitan yang ada di antara variabel-variabelnya. Jenis-jenis

studi

kasus

(sumber:http://ardhana12.wordpress.com/2008/02/08/

metode-penelitian-studi-kasus/; pada hari Selasa, 02 April 2013 Pukul 23:30 WIB) yaitu (a) Studi kasus kesejarahan mengenai organisasi; (b) Studi kasus observasi; (c) Studi kasus sejarah hidup; (d) Studi kasus kemasyarakatan; (e) Studi kasus analisis situasi; dan (f) Mikroethnografi. Langkah-langkah case study research (penelitian studi kasus) yaitu sebagai berikut: (a) Pemilihan kasus hendaknya dilakukan secara bertujuan (purposive) dan bukan secara rambang; (b) Pengumpulan data yang lebih dipakai dalarn penelitian kasus adalah observasi, wawancara, dan analisis dokumentasi; (c) Analisis

data dilakukan setelah

data

terkumpul

oleh peneliti

dengan

mengagregasi, mengorganisasi, dan mengklasifikasi data menjadi unit-unit yang dapat dikelola; (d) Perbaikan (refinement) dengan pengumpulan data baru mengharuskan peneliti untuk kembali ke lapangan dan barangkali harus membuat kategori baru, data baru tidak bisa dikelompokkan ke dalam kategori yang sudah ada; (e) Penulisan laporan: laporan hendaknya ditulis secara komunikatif, mudah Universitas Indonesia


33 dibaca, dan mendeskripsikan suatu gejala atau kesatuan sosial secara jelas, sehingga rnemudahkan pembaca untuk mernahami seluruh informasi penting. 2.9

Perbandingan Penelitian Sebelumnya

Dari beberapa penelusuran karya ilmiah yang sudah dilakukan, ditemukan beberapa penelitian yang berhubungan dengan manajemen risiko TI yang sudah dilakukan untuk beberapa jenis industri dan organisasi yang berbeda. Tabel 2.4 menampilkan beberapa penelitian mengenai manajemen risiko TI. Tabel 2.4 Perbandingan Penelitian Sebelumnya Penulis

Judul Penelitian

Tahun

Yok Christiyono

Penilaian risiko dan analisis 2011 profil risiko TI menggunakan kerangka kerja RiskIT: Studi kasus PT. Bank ABC

Ronald Eduard Heinrich

Analisa IT Risk Profile 2010 Menggunakan Kerangka Kerja RiskIT dan Peraturan Bank Indonesia No. 9/15/PBI/2007: Studi Kasus pada PT. Bank XYZ (Persero), Tbk.

Bambang Hadi Purnomo

Evaluasi Pengelolaan Risiko 2012 TI pada Instansi Pemerintah : Studi Kasus Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK)

Arion Sharon

Rancangan Manajemen 2010 Risiko TI Berdasarkan Keamanan Informasi : Studi Kasus PT. XYZ

Yuliansyah Al’Rasyid

Analisis dan Kajian Model 2009 Kerangka Kerja Manajemen Risiko TI : Studi Kasus PT. Rajawali Nusantara



34 Cahyono Tri Wibowo

Muhammad Maulana

Kajian Manajemen Risiko TI 2006 Berdasarkan Penerapan COBIT Framework dan ISO 27001 : Studi Kasus Pusat Sistem Informasi dan Teknologi Keuangan, Departemen Keuangan RI

Mahreza Pemodelan Manajemen 2006 Risiko TI untuk Organisasi di Negara Berkembang

1. Yok Christiyono (2011), menggunakan pendekatan RiskIT sebagai langkah untuk membuat mitigasi risiko terhadap profil risiko yang sudah dihasilkan melalui penilaian risiko yang dilakukan oleh unit kerja manajemen risiko menggunakan kerangka kerja internal perusahaan yang disebut Information Technology Risk Management (ITRM) Framework; 2. Ronald Eduard Heinrich (2010), menjelaskan bahwa penulis tidak melakukan penilaian risiko berdasarkan impact dan likelihood-nya. Penulis hanya melakukan gap analysis antara risk profile yang sudah ada dengan generic risk scenario RiskIT. Adanya gap inilah yang kemudian diidentifikasi untuk ditambahkan ke risk profile yang baru; 3. Bambang Hadi Purnomo (2012), menggunakan pendekatan RiskIT sebagai langkah untuk membuat mitigasi risiko terhadap profil risiko di PPATK; 4. Arion Sharon (2010) membandingkan kondisi manajemen risiko TI saat ini di PT. X untuk kemudian dibandingkan dengan kerangka kerja ISO 27001. Perbandingan tersebut untuk mencari gap analysis kondisi manajemen risiko saat ini berdasarkan kerangka kerja ISO 27001, kemudian dibuatkan model kerangka kerja manajemen risiko TI berdasarkan keamanan informasi untuk PT. X; 5. Yuliansyah Al’Rasyid (2009), menggunakan beberapa kerangka kerja manajemen risiko TI Standard yang kemudian dibandingkan dengan kerangka kerja manajemen risiko yang eksisting pada PT. Rajawali Nusantara Indonesia (RNI). Perbandingan tersebut untuk mencari gap antara best practice dengan kenyataan yang ada, kemudian dibuatkan model Universitas Indonesia


35 kerangka kerja manajemen risiko TI yang dapat mencakup seluruh kebutuhan TI dan bisnis di PT. RNI; 6. Cahyono Tri Wibowo (2006), menganalisis penerapan kerangka kerja COBIT. Hal ini dilakukan untuk mencari nilai negatif dari penerapan COBIT. Nilai negatif yang didapatkan kemudian diselaraskan dengan beberapa klausul yang ada pada ISO 27001; 7. Muhammad Mahreza Maulana (2006), membandingkan beberapa kerangka kerja manajemen risiko TI yaitu COBIT, NIST 800-30 dan OCTAVE. Dari kombinasi beberapa kerangka kerja tersebut kemudian dibuatkan sebuah model kombinasi manajemen risiko teknologi informasi yang sederhana untuk dapat digunakan pada negara-negara berkembang. Perbedaan yang dilakukan dalam penelitian ini, Ditjen Dukcapil belum memiliki unit kerja yang menangani risiko organisasi secara keseluruhan atau enterprise risk management sehingga penulis terlibat dalam penentuan probabilitas, dampak dan parameter risiko yang diperlukan untuk pengukuran risiko. Penulis dalam penelitian ini melakukan pengukuran efektivitas kontrol yang ada untuk mengetahui seberapa besar kontrol tersebut dapat mengurangi probabilitas dan dampak. Setelah itu melakukan strategi mitigasi yang memerhatikan aspek manusia, proses dan teknologi. 2.10 Kerangka Penelitian Berdasarkan hasil studi literatur disusunlah kerangka penelitian (theoritical framework) dengan tujuan untuk menggambarkan pola pikir yang digunakan sebagai panduan dalam penelitian, untuk menghasilkan keluaran yang menjadi produk atau hasil penelitian yaitu profil risiko TI dalam RiskIT terdiri dari: 1. Faktor risiko termasuk di dalamnya faktor risiko terkait lingkungan dan kemampuan TI (vulnerabilities); 2. Hasil penilaian risiko organisasi dan analisis risiko; 3. Perencanaan aksi terhadap risiko; 4. Historis kehilangan data; 5. Hasil penemuan audit terkait risiko TI. Kaitannya dengan instansi pemerintah yaitu sebagai berikut: Universitas Indonesia


36 1. Faktor risiko yang disebabkan karena keterlambatan anggaran yang menyebabkan ketidakmampuan TI sehingga menimbulkan ancaman, kerawanan dan dampak bagi organisasi; 2. Penilaian risiko dan analisis risiko dilakukan secara menyeluruh tidak hanya pada keamanan informasi saja akan tetapi juga risiko TI yang berhubungan dengan keterlambatan penyelesaian proyek dan lain-lain; 3. Perencanaan aksi terhadap risiko menggunakan prioritas dan sesuai dengan anggaran yang tersedia; 4. Historis terhadap kehilangan data yang seharusnya masuk ke Data Center sehingga menyebabkan target perekaman 172 Juta penduduk wajib KTP tidak segera terpenuhi; 5. Hasil temuan audit internal Tim Ditjen Dukcapil,

Inspektorat Jenderal

Kementerian Dalam Negeri dan Badan Pemeriksa Keuangan (BPK RI) untuk dilakukan evaluasi dan respon lebih lanjut terkait risiko organisasi. Gambar 2.17 memperlihatkan komponen penyusun profil risiko TI sebagai berikut.

Gambar 2.17 Theoritical Framework (Sumber: ISACA, 2009, RiskIT Framework)



BAB 3 METODOLOGI PENELITIAN

Pada bab ini dijelaskan tahapan-tahapan dari metodologi yang digunakan dalam penelitian ini. 3.1

Metode Pengumpulan Data

Dalam penelitian ini, data yang dijadikan sebagai acuan dalam melakukan penilaian risiko untuk memperoleh IT Risk Profile, yang kemudian dijadikan sebagai landasan dalam menyusun strategi dan langkah mitigasi dibagi menjadi dua, yaitu data primer dan data sekunder. 1. Data Primer Data primer merupakan data yang diperoleh langsung dari sumber yang relevan dengan beberapa cara, antara lain: observasi, wawancara dan isian formulir kompilasi analisis risiko, isian form pengukuran efektivitas kontrol atau pertanyaan. 2. Data Sekunder Data sekunder merupakan data yang diperoleh dari dokumen instansi obyek penelitian maupun hasil penelitian yang dilakukan oleh orang lain. Dalam penelitian ini, data sekunder didapat dari dokumen rencana strategis organisasi, kebijakan, pedoman dan Standar Operasional Prosedur (SOP) Organisasi, daftar pelayanan dan dokumen studi literatur mengenai manajemen risiko TI. 3.2

Tahapan Penelitian

Metodologi penelitian merupakan rangkaian tahapan sistematis yang dilakukan untuk menyelesaikan dan menjawab pertanyaan penelitian yang telah ditentukan. Penelitian ini menggunakan analisis kuantitatif dan kualitatif dengan rangkaian tahapan dalam metodologi penelitian ini sebagai berikut:

37



38

INPUT

PROSES

OUTPUT

Belum adanya pengelolaan risiko TI

Perumusan Masalah

Research Question

Studi Pustaka dan Best Practices

Penyusunan Landasan Teori (Studi Literatur)

Pemilihan RiskIT

Dokumen Internal, Observasi dan Wawancara

Pengumpulan Data (Studi Literatur)

Kumpulan Dokumen Lengkap yang Dibutuhkan

Penetapan Konteks dan Skenario Risiko TI

Skenario Risiko TI

Wawancara dan Form Kompilasi Analisis Risiko

Penilaian Risiko

Profil Risiko TI

Profil Risiko TI

Menyusun Strategi dan Langkah Mitigasi

Profil Risiko TI Final dan Langkah Mitigasi

Kesimpulan dan Saran

Gambar 3.1 Metodologi Penelitian



39 Penjelasan dari tahapan di atas sebagai berikut: 1. Perumusan Masalah; Menjabarkan masalah yang diteliti melalui penelitian ini dan output dari tahapan ini adalah research question. 2. Studi Literatur; Mempelajari berbagai macam teori dan metodologi yang digunakan untuk menjawab research question dalam penelitian ini. Sumber literatur adalah dari buku, tesis, dokumen instansi obyek penelitian, dokumen perundangundangan dan peraturan pemerintah lainnya, dan sumber-sumber lain dari internet. 3. Pengumpulan Data; Melakukan pengumpulan data dengan cara wawancara, observasi lapangan serta studi literatur. 4. Penetapan Konteks dan Skenario Risiko TI; Menentukan aset TI yang menjadi obyek manajemen risiko TI dan kategori risiko TI. Aset TI yang sudah dipilih dijadikan sebagai dasar penentuan skenario risiko TI organisasi yang digunakan untuk langkah analisis risiko. 5. Penilaian Risiko; Pada tahapan ini menggunakan kerangka kerja RiskIT untuk melakukan identifikasi risiko dengan menggunakan Generic IT Risk Scenario, analisis risiko dan respon risiko. Penilaian risiko dilakukan dengan cara pengisian template risiko aset informasi, pengisian form kompilasi analisis risiko, form pengukuran efektivitas kontrol oleh person in charge (PIC) dan wawancara untuk memastikan data yang diisi benar, kemudian hasil dari pengisian tersebut dilakukan validasi oleh pimpinan unit kerja pemilik risiko TI, kemudian dari profil risiko tersebut dilakukan prioritasi risiko untuk dilakukan mitigasi.



40 6. Menyusun Strategi dan Langkah Mitigasi; Pada tahapan ini melakukan penyusunan langkah-langkah mitigasi untuk mengurangi probabilitas dan dampak risiko. 7. Kesimpulan dan Saran. Kesimpulan didapatkan dengan cara induktif. Kesimpulan mengakomodasi tujuan penelitian secara keseluruhan. Saran ditujukan untuk pengembangan penelitian selanjutnya atau juga bagi obyek penelitian.



BAB 4 PROFIL ORGANISASI

Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil) merupakan unsur pelaksana Kementerian Dalam Negeri di bidang kependudukan dan pencatatan sipil berdasarkan Undang-Undang No. 23 Tahun 2006 tentang Administrasi Kependudukan dan Peraturan Menteri Dalam Negeri (Permendagri) No. 41 Tahun 2010 tentang Organisasi dan Tata Kerja Kementerian Dalam Negeri (Kemdagri), Pasal 382 ayat (1). Salah satu program flagship Dewan Teknologi, Informasi dan Komunikasi Nasional berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu Nomor Identitas Nasional (NIN). NIN ini merupakan komponen inti pada blueprint TIK Indonesia tentang e-Government. Pelaksana program ini adalah Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil), Kementerian Dalam Negeri. Nomor Induk Kependudukan (NIK) merupakan bentuk pelaksanaan program NIN. 4.1

Tugas, Fungsi dan Kewenangan Ditjen Dukcapil

Ditjen Dukcapil memiliki tugas dan fungsi yang diatur dalam pasal 383 dan 384 Permendagri No. 41 Tahun 2010 tentang Organisasi dan Tata Kerja Kementerian Dalam Negeri (Kemdagri). Berdasarkan pasal 383 Permendagri No. 41 Tahun 2010, Ditjen Dukcapil mempunyai tugas merumuskan serta melaksanakan kebijakan dan standardisasi teknis di bidang pendaftaran penduduk, pencatatan sipil, dan pengelolaan informasi administrasi kependudukan, serta fasilitasi dan penyerasian kebijakan perencanaan kuantitas, kualitas dan mobilitas penduduk di daerah. Dalam melaksanakan tugas sebagaimana dimaksud dalam Pasal 384 Permendagri No. 41 Tahun 2010, Ditjen Dukcapil mempunyai fungsi sebagai berikut: 1. Perumusan kebijakan di bidang pendaftaran penduduk, pencatatan sipil, dan pengelolaan informasi administrasi kependudukan; 41



42 2. Fasilitasi dan penyerasian kebijakan perencanaan kuantitas, kualitas dan mobilitas penduduk di daerah; 3. Pelaksanaan kebijakan di bidang pengelolaan informasi administrasi kependudukan; 4. Penyusunan norma, standar, prosedur, dan kriteria di bidang pendaftaran penduduk, pencatatan sipil, dan pengelolaan informasi administrasi kependudukan; 5. Pemberian bimbingan teknis dan evaluasi di bidang pendaftaran penduduk, pencatatan sipil, pengelolaan informasi administrasi kependudukan, serta penyerasian kebijakan perencanaan kuantitas, kualitas, dan mobilitas penduduk; dan 6. Pelaksanaan administrasi Direktorat Jenderal Kependudukan dan Pencatatan Sipil. Berdasarkan Pasal 5 Undang-Undang Nomor 23 Tahun 2006, Ditjen Kependudukan dan Pencatatan Sipil memiliki kewenangan untuk melakukan sebagai berikut: 1. Koordinasi antarinstansi dalam urusan Administrasi Kependudukan; 2. Penetapan sistem, pedoman, dan standar pelaksanaan Administrasi Kependudukan; 3. Sosialisasi Administrasi Kependudukan; 4. Pemberian bimbingan, supervisi, dan konsultasi 5. Pelaksanaan urusan Administrasi Kependudukan; 6. Pengelolaan dan penyajian Data Kependudukan berskala nasional; dan 7. Pencetakan, penerbitan, dan distribusi blangko Dokumen Kependudukan. Dalam melaksakanan program flagship Dewan Teknologi, Informasi dan Komunikasi Nasional berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu Nomor Identitas Nasional (NIN) pada Rencana Strategis Ditjen Kependudukan dan Pencatatan Sipil Tahun 2010-2014, Ditjen Kependudukan dan Pencatatan Sipil memiliki dukungan pencapaian prioritas nasional, yaitu: ”Pemberian Universitas Indonesia


43 Nomor Induk Kependudukan (NIK) kepada setiap penduduk dengan menggunakan Sistem Informasi Administrasi Kependudukan (SIAK) dan aplikasinya untuk penerbitan KTP”. Dalam rangka pencaian prioritas nasional tersebut telah ditetapkan rencana aksi sebagai berikut: 1. Konsolidasi data kependudukan secara nasional, berjenjang untuk mewujudkan NIK tunggal; 2. Pemutakhiran database kependudukan kabupaten/kota; 3. Penyempurnaan aplikasi dan pemenuhan kebutuhan jaringan komunikasi, serta sarana dan prasarana SIAK di daerah maupun Data Center kependudukan secara online; 4. Pemantapan pengembangan SIAK dan penerapan KTP berbasis NIK secara Nasional; 5. Mendorong Pemda Kabupaten/Kota menerapkan SIAK dalam pelayanan administrasi kependudukan secara tersistem dan utuh; 6. Pelaksanaan perekaman biodata, foto dan sidik jari penduduk secara terintegrasi di daerah; 7. Penyediaan SDM Pengelola SIAK dan Petugas Registrasi; 8. Kabupaten/Kota tahap pertama yang menerapkan KTP berbasis NIK nasional; 9. Sosialisasi administrasi kependudukan secara terus menerus lepada masyarakat. Dalam rumusan Rencana Pembangunan Jangka Menengah Nasional (RPJMN) Tahun 2010-2014 berisi 11 Prioritas Pembangunan Nasional, salah satunya adalah Reformasi Birokrasi dan Tata Kelola yang di dalamnya terdapat Program Nasional terkait Data Kependudukan yang menjelaskan bahwa Penetapan Nomor Induk Kependudukan (NIK) dan pengembangan Sistem Informasi dan Administrasi Kependudukan (SIAK) dengan aplikasi pertama pada kartu tanda penduduk selambat-lambatnya pada 2011. Dalam rangka mendukung pelaksanaan Prioritas Nasional Tahun 2010-2014, ditetapkan 13 (tiga belas) Program Strategik Universitas Indonesia


44 Kementerian Dalam Negeri, salah satumya adalah Program 3: Penataan Administrasi Kependudukan (P3). Hal ini didukung dengan Rencana Strategis (Renstra) Ditjen Dukcapil 2010-2014 mempunyai kebijakan sebagai berikut: (1) Menjadikan faktor kependudukan sebagai titik sentral pembangunan yang berkelanjutan;

(2)

Menyelenggarakan

administrasi

kependudukan

untuk

mendorong terakomodasinya hak-hak penduduk serta perlindungan sosial; (3) Menciptakan sistem administrasi kependudukan melalui komitmen berbagai pihak dan peran serta masyarakat; (4) Mengelola program dan kegiatan sesuai dengan prinsip-prinsip good governance. 4.2

Visi dan Misi Ditjen Kependudukan dan Pencatatan Sipil

Visi Ditjen Kependudukan dan Pencatatan Sipil tertuang dalam Rencana Strategis (Renstra), yaitu “Tertib Administrasi Kependudukan dengan Pelayanan Prima Menuju Penduduk Berkualitas Tahun 2015”. Maksud dari visi tersebut adalah bahwa Ditjen Dukcapil diharapkan dapat mewujudkan sebagai berikut: 1. Tertib Database Kependudukan; a. Terbangunnya

Database

Kependudukan

yang

Akurat

ditingkat

Kab/Kota, Provinsi dan Pusat; b. Database Kependudukan Kabupaten/Kota tersambung (online) dengan Provinsi dan Pusat menggunakan SIAK; c. Database Kependudukan Kementerian Dalam Negeri dan Daerah Tersambung dengan Instansi Pengguna. 2. Tertib Penerbitan NIK; a. NIK Diterbitkan Setelah Penduduk Mengisi Biodata Penduduk Per Keluarga (F1-01) dengan Menggunakan SIAK; b. Tidak Ada NIK Ganda; c. Pemberian NIK Kepada Semua Penduduk Harus Selesai Akhir Tahun 2011. 3. Tertib Dokumen Kependudukan. a. Prosesnya Sesuai dengan Ketentuan yang Berlaku; Universitas Indonesia


45 b. Tidak

Adanya

Dokumen

Kependudukan

Ganda

dan Palsu. Untuk mewujudkan pencapaian visi yang telah ditetapkan, maka Ditjen Dukcapil merumuskan misi, yang merupakan rumusan upaya-upaya yang dilaksanakan selama tahun 2010-2014 sesuai dengan tugas pokok, fungsi dan kewenangannya, serta sesuai dengan sumber daya yang dimiliki. Ditjen Dukcapil memiliki misi sebagai berikut: 1. Memantapkan ketertiban penyelenggaraan pendaftaran penduduk dan pencatatan sipil, serta sistem informasi administrasi kependudukan nasional terpadu dan interaktif; 2. Menjadikan perencanaan kependudukan dan kebijakan perkembangan kependudukan sebagai dasar pembangunan berkelanjutan nasional dan daerah; 3. Memperkuat pranata hukum, kelembagaan, dan kepedulian masyarakat dalam administrasi kependudukan. Sasaran yang merupakan derivasi dari tujuan di atas, terkait tujuan yang ketiga, terciptanya tertib administrasi kependudukan, yaitu sebagai berikut: 1. Tertib administrasi kependudukan berbasis Nomor Induk Kependudukan (NIK) Nasional dan pelayanan dokumen kependudukan; 2. Terwujudnya pemberian NIK pada setiap penduduk; 3. Terciptanya koneksitas NIK dengan identitas kependudukan; 4. Tersedianya regulasi daerah tentang administrasi kependudukan; 5. Terwujudnya perencanaan dan keserasian kebijakan kependudukan; dan 6. Meningkatnya peran serta masyarakat dalam administrasi kependudukan. Berdasarkan Renstra Kemdagri maka disusun pula Renstra Ditjen Dukcapil, Kemdagri tahun 2010-2014. Sasaran yang ingin dicapai pada Renstra Ditjen Dukcapil, Kemdagri tahun 2010-2014 yaitu sebagai berikut: 1. Tertib database kependudukan berbasis nomor induk kependudukan (NIK) nasional dan pelayanan dokumen kependudukan; 2. Terwujudnya pemberian NIK kepada setiap penduduk;



46 3. Terwujudnya NIK sebagai dasar penerbitan dokumen kependudukan oleh instansi terkait; 4. Terwujudnya perencanaan kependudukan dan kebijakan perkembangan kependudukan sebagai dasar pembangunan nasional dan daerah; 5. Tersedianya pranata hukum daerah dan kelembagaan penyelenggaraan administrasi kependudukan yang mampu mendorong penduduk taat melaporkan dan mencatatkan peristiwa kependudukan dan peristiwa penting yang dialaminya. Berdasarkan Renstra Ditjen Dukcapil, Kemdagri tahun 2010-2014 maka disusun Action Plan Grand Design Sistem Administrasi Kependudukan tahun 2009-2015 terkait Aplikasi dan Database SIAK; Infrastruktur Teknologi, Informasi dan Komunikasi (TIK); dan NIK dan KTP Elektronik (e-KTP), sebagai berikut: 1. Aplikasi dan Database SIAK a. Audit Aplikasi SIAK sebagai bahan penyempurnaan apllikasi SIAK (target keberhasilan yaitu teridentifikasinya bahan penyempurnaan aplikasi SIAK); b. Pengembangan dan penyempurnaan modul-modul aplikasi SIAK yg mengacu kepada UU No. 23/2006 menuju interkoneksi dan integrasi penggunaan NIK dan Biometric (target keberhasilan yaitu tersedianya aplikasi SIAK yang menjadi acuan standar nasional dan siap diimplementasikan ke seluruh daerah); c. Pengembangan Sistem Integrasi dan Konsolidasi Database dari Kabupaten/Kota ke Provinsi hingga ke pusat (target keberhasilan yaitu terkonsolidasinya database mulai dari jenjang wilayah Kecamatan, Kabupaten/Kota, Provinsi hingga ke pusat)); d. Pengembangan data warehouse kependudukan (target keberhasilan yaitu tersedianya data warehouse untuk keperluan interkoneksi antar instansi); e. Penerapan SIAK hasil penyempurnaan dari mulai tingkat Provinsi, Kabupaten/Kota, hingga ke Kecamatan sebagai upaya penerapan NIK bagi seluruh penduduk dan KTP berbasis NIK Nasional (target keberhasilan yaitu diterapkannya SIAK hasil penyempurnaan ke seluruh



47 daerah berdasarkan jenjang kewenangan (Kabupaten/Kota, Provinsi, Pusat)); f. melaksanakan

supervisi

kegiatan

verifikasi

dan

validasi

data

kependudukan serta penyelenggaraan Admin. Kependudukan (target keberhasilan yaitu terpeliharannya SIAK baik dari sisi kehandalan aplikasi dan ketersediaan database); g. Pengembangan Web Portal Ditjen Adminduk (target keberhasilan yaitu tersedianya web portal Ditjen Adminduk sebagai media sosialisasi dan komunikasi baik internal maupun eksternal); h. Pengembangan Sistem Helpdesk penanganan keluhan SIAK (target keberhasilan yaitu tersedinaya sistem help-desk untuk penanganan keluhan komplain operasional SIAK); i. Pengembangan Sistem informasi pendayagunaan data kependudukan (target keberhasilan yaitu tersedianya sistem informasi pendayagunaan data

kependudukan

untuk

kebutuhan

rumusan

kebijakan

dan

pembangunan sektor lainnya). 2. Infrastruktur TIK a. Pengembangan dan Penyempurnaan Infrastruktur Data Center (target keberhasilan yaitu tersedianya perangkat Data Center yang mampu menangani transaksi database SIAK (data pribadi dan biometric penduduk)); b. Pembangunan DRC (target keberhasilan yaitu terbangunnya DRC sebagai alternatif operasional Data Center ketika terjadi Disaster); c. Integrasi perangkat Jaringan dari pusat ke Daerah (target keberhasilan yaitu terintegrasinya jaringan dari Pusat ke daerah-daerah yang mengoperasikan SIAK); d. Pemeliharaan Operasional DC dan DRC (target keberhasilan yaitu terpeliharannya perangkat DC dan DRC untuk menjamin kelancaran operasional). 3. NIK Dan KTP Elektronik (e-KTP)



48 a. Pemutakhiran Database Kependudukan (target keberhasilan yaitu seluruh database kependudukan kabupaten/kota (497 Kabupaten/Kota) mutakhir sesuai kondisi penduduk); b. Konsolidasi Database Kependudukan dari Kabupaten/Kota ke Data Center Pusat (target keberhasilan yaitu antar database kepen-dudukan kabupaten/kota, provinasi dan nasional (DC) tersambung (online) dan data kependudukan telah terverifikasi 1: N); c. Pemberian NIK Kepada Penduduk (target keberhasilan yaitu seluruh penduduk di 497 kabupaten/kota telah diberikan NIK oleh Pemerintah); d. Penerapan e-KTP di 197 Kabupaten/Kota (target keberhasilan yaitu seluruh penduduk wajib KTP di 197 Kabupaten/Kota telah memiliki kartu identas penduduk berupa e-KTP); e. Penerapan e-KTP di 300 Kabupaten/Kota (target keberhasilan yaitu seluruh penduduk wajib KTP di 300 Kabupaten/Kota telah memiliki kartu identas penduduk berupa e-KTP); f. Dukungan

operasional

daerah

dalam

penerapan

e-KTP

(target

keberhasilan yaitu adanya dukungan operasional penerapan e-KTP (sosialisasi, mobilisasi dan operasional penerbitan) oleh kabupaten/kota yang bersangkutan). 4.3

Tujuan Organisasi Ditjen Dukcapil

Tujuan Direktorat Jenderal Kependudukan dan Pencatatan Sipil dari tahun 20102014 dirumuskan menurut bidang hasil pokok. Tujuan masih bersifat kualitatif dan umum, sehingga perlu dijabarkan ke dalam sasaran yang lebih spesifik dan terukur. Berdasarkan misi Direktorat Jenderal Kependudukan dan Pencatatan Sipil tersebut di atas, maka tujuan yang hendak dicapai adalah: 1. Mewujudkan penerapan kebijakan penyelenggaraan pendaftaran penduduk dan pencatatan sipil secara tertib untuk mencatat perubahan status kependudukan,

menghimpun

data

kependudukan,

dan

menerbitkan

dokumen kependudukan; 2. Meningkatkan keterpaduan sistem informasi administrasi kependudukan berbasis NIK nasional secara tertib yang mampu menyediakan informasi



49 kependudukan lengkap, akurat dan memenuhi kepentingan publik dan pembangunan; 3. Mewujudkan perencanaan kependudukan dan kebijakan perkembangan kependudukan sebagai dasar pembangunan nasional dan daerah yang berorientasi kepada peningkatan kesejahteraan penduduk; 4. Mewujudkan

pranata

hukum

dan

kelembagaan

penyelenggaraan

administrasi kependudukan yang kuat guna perlindungan sosial dan penegakan hak-hak penduduk. 4.4

Struktur Organisasi Ditjen Dukcapil

Berdasarkan Permendagri No. 41 Tahun 2010 tentang Organisasi dan Tata Kerja Kementerian Dalam Negeri, Direktorat Jenderal Kependudukan dan Pencatatan Sipil terdiri dari: 1. Sekretariat Direktorat Jenderal; 2. Direktorat Pendaftaran Penduduk; 3. Direktorat Pencatatan Sipil; 4. Direktorat Pengelolaan Informasi Administrasi Kependudukan; 5. Direktorat Pengembangan Kebijakan Kependudukan; dan 6. Direktorat Penyerasian Kebijakan dan Perencanaan Kependudukan. 4.5

Direktorat Pengelolaan Informasi Administrasi Kependudukan

Berdasarkan Grand Design Direktorat Jenderal Kependudukan dan Pencatatan Sipil Tahun 2010, Direktorat Pengelolaan Informasi Administrasi Kependudukan memiliki kedudukan sebagai berikut: 1. Direktorat Pengeloaan Informasi Administrasi Kependudukan merupakan unsur pelaksana Direktorat Jenderal Kependudukan dan Pencatatan Sipil di bidang informasi kependudukan; 2. Direktorat Pengeloaan Informasi Administrasi Kependudukan dipimpin oleh seorang Direktur yang berada di bawah dan bertanggungjawab kepada Direktur Jenderal Kependudukan dan Pencatatan Sipil.



50 Direktorat Pengelolaan Informasi Administrasi Kependudukan memiliki tugas yaitu

melaksanakan sebagian tugas Direktorat Jenderal di bidang informasi

kependudukan. Dalam melaksanakan tugasnya tersebut, Direktorat Pengelolaan Informasi Administrasi Kependudukan menyelenggarakan fungsi sebagai berikut: 1. Penyiapan perumusan kebijakan dan fasilitasi pengembangan sistem dan teknologi informasi; 2. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan kelembagaan sumber daya informatika; 3. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan pengolahan data kependudukan; 4. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan pelayanan informasi kependudukan; 5. Pelaksanaan

monitoring

dan

evaluasi

pelaksanaan

program,

dan

dokumentasi kebijakan informasi kependudukan; dan 6. Pelaksanaan urusan tata usaha dan rumah tangga Direktorat.

Gambar 4.1 Struktur Organisasi DPIAK (Sumber: Grand Design Sistem Administrasi Kependudukan (SAK) Tahun 2010-2014)



BAB 5 PENETAPAN KONTEKS DAN SKENARIO RISIKO TI

Dalam penerapan KTP Elektronik (e-KTP) ini jaringan komunikasi data yang diterapkan adalah sebagai berikut:

Gambar 5.1 Jaringan Komunikasi Data Penerapan e-KTP Penetapan konteks dan risk universe diperlukan untuk menyusun cakupan dari aktivitas manajemen risiko TI. Sebuah risk universe menjelaskan lingkungan risiko keseluruhan pada organisasi dan memberikan sebuah struktur untuk mengelola risiko TI. Risk Universe mempertimbangkan keseluruhan tujuan organisasi, proses kerja dan ketergantungan yang ada di seluruh lingkungan organisasi. Proses kerja dalam Data Center e-KTP di Ditjen Dukcapil dibagi ke dalam 2 (dua) besaran yaitu: 1. Proses kerja utama (Core Function); dan 2. Proses kerja pendukung (Non-Core Function/Support) Proses kerja dalam kategori core merupakan proses kerja yang terkait dengan fungsi utama Ditjen Dukcapil pada penerapan e-KTP di Data Center e-KTP (proses kerja core) yaitu: 51



52 1. Proses penerimaan data hasil perekaman e-KTP dan pengembalian status data dari dan ke kecamatan tempat perekaman; 2. Proses Identifikasi Ketunggalan Data; dan 3. Proses Penyimpanan Data. Sedangkan proses kerja dalam kategori support merupakan proses kerja lainnya yang mendukung fungsi utama Ditjen Dukcapil. Proses kerja utama yang didukung proses TI dapat dilihat dalam Gambar 5.2. PROSES DI KECAMATAN

PROSES DI DATA CENTER e - KTP

Mulai Pengembalian status data hasil identifikasi ketunggalan data ke kecamatan tempat perekaman oleh aplikasi BMW

9a

9b

Penyimpanan data hasil identifikasi ketunggalan data ke aplikasi IDMS oleh aplikasi BMW

1 8

2

Perekaman e-KTP di kecamatan

Penerimaan Data Hasil Perekaman e-KTP oleh Aplikasi MQ

6

7

3

Penghapusan data dengan kualitas tidak bagus

Hasil identifikasi data baik tunggal maupun ganda

Pengambilan Data dari Server MQ oleh Aplikasi BMW

Kualitas data tidak bagus

4

Identifikasi ketunggalan data oleh aplikasi ABIS

Kualitas data bagus

5a Pengembalian data dengan kualitas tidak bagus agar direkam ulang

10

Penyimpanan data oleh Aplikasi IDMS

11

5b Cek Kualitas Data

Selesai

Gambar 5.2 Proses Kerja Utama Penerapan e-KTP di Ditjen Dukcapil Setiap proses kerja tidak bisa dilepaskan dari penggunaan TI dan semua penggunaan TI mengandung risiko. Untuk memudahkan dalam penetapan konteks dan risk universe, langkah yang digunakan sebagai berikut: 5.1

Menetapkan Level dan Cakupan Aset TI

Risiko TI menurut RiskIT dibagi dalam tiga kategori yaitu: level strategis, proyek dan operasional seperti yang sudah dijelaskan dalam landasan teori subbab 2.1. Pada penelitian ini kategori risiko yang dipilih adalah level operasional dan proyek. Pembatasan ini dilakukan karena operasional proses kerja saat ini sudah berjalan dan ada

beberapa proyek TI dalam pengembangan sehingga risiko Universitas Indonesia


53 operasional dan proyek memiliki dampak yang lebih besar terhadap organisasi apabila terjadi gangguan. Untuk menentukan aset TI yang menjadi obyek dari manajemen risiko diperlukan prioritas proses kerja, mengingat banyaknya proses kerja di Ditjen Dukcapil baik yang core maupun support dan masing-masing memiliki kategori dampak yang berbeda-beda sehingga prioritasi proses kerja sangat penting. 5.1.1 Penetapan Proses Kerja dan Aset TI Prioritas Prioritas proses kerja berasal dari tingkat ketergantungan suatu organisasi terhadap suatu proses kerja. Semakin eksistensi organisasi tersebut bergantung kepada suatu proses kerja, maka semakin prioritas proses kerja tersebut. Pada saat ini, seiring dengan perkembangan jaman dan teknologi, semakin vital pula peranan TI dalam memfasilitasi keberjalanan proses kerja. Oleh karena itu, analisis keberadaan dan keberjalanan aset TI pendukung proses kerja menjadi suatu hal penting yang tidak terlepaskan dari analisis prioritas proses kerja pada suatu organisasi. Ketiga proses kerja prioritas (core) tersebut diciptakan karena berjalannya fungsi Ditjen Dukcapil untuk identifikasi ketunggalan data penduduk sehingga terwujud tertib administrasi kependudukan sesuai dengan amanat Undang-Undang No. 23 Tahun 2006 tentang Administrasi Kependudukan. Oleh karena itu aset TI yang terkait dengan keberjalanan proses pengolahan menjadi aset prioritas yang harus dijaga keberadaan dan keberjalanannya. Aset TI yang mendukung proses kerja dan analisis ditunjukkan pada Tabel 5.1. Tabel 5.1 Proses Kerja dan Aset TI Prioritas Fungsi

Proses Kerja Prioritas

Aset TI

1. Fungsi 1. Penerimaan data 1. People (SDM): penerimaan data hasil perekaman o Team Leader/Project hasil perekaman e-KTP dan Manager e-KTP dan pengembalian pengembalian status data dari o Project Admin status data dari dan ke o Team DBA dan ke kecamatan kecamatan Universitas Indonesia


54 tempat perekaman

tempat perekaman

2. Fungsi identifikasi ketunggalan data

2. Identifikasi Ketunggalan Data

3. Fungsi 3. Penyimpanan penyimpanan data data

o Sistem Administrator o Security Jaringan o Helpdesk Administrator o Sistem Analis o Ahli Mekanikal dan Elektrikal 2. Process: o Kebijakan/SOP Data Center KTP Elektronik (e-KTP) 3. Technology: o Aplikasi Message Queue (MQ) o Aplikasi Biometric Middleware (BMW) o Aplikasi Automated Biometric Identification System (ABIS) o Aplikasi IDMS Pusat o Sistem Operasi, Software Analysis, Software Database, Software Backup, dan Software Development o Perangkat Server 257 Perangkat keras HP Server Blade BL 460 C o Perangkat Jaringan a. ProCurve dengan tipe : ProCurve 6120G/XG Blade Switch; b. Perangkat core dan Distribution Switch (Cisco Catalyst 6500; Cisco Firewall ASA 5020; Cisco ACS 1120; Cisco Catalyst 4948; Cisco Catalyst 3750; dan Cisco Nexus 5020); c. Perangkat SAN Switch dengan tipe : ProCurve 6120G/XG Blade Switch. o Perangkat Storage a. 4 Rack Storage 3Par V800; b. 2 Rack Storage 3Par T800. Universitas Indonesia


55 o Perangkat Pendukung a. Perangkat UPS (5 Module UPS merek Vektor @ 5 Ampere); b. Perangkat AC (AC Citec masing-masing 10 PK); c. Perangkat Genset (1 unit Genset dengan kapasitas 250 KVA).

5.2

Menentukan Skenario Risiko TI

RiskIT menyediakan Generic IT Risk Scenario yang dapat digunakan sebagai titik awal untuk analisis risiko. Berdasarkan level dan daftar aset TI prioritas yang telah ditetapkan menjadi obyek manajemen risiko TI maka dilakukan pemetaan skenario risiko TI yang relevan dengan level dan aset TI tersebut. Hasil pemetaan aset TI ke High Level Generic Scenario terlihat pada Tabel 5.2. Tabel 5.2 Hasil Pemetaan Aset TI ke Skenario Risiko TI No. 1.

2.

3.

4.

5.

Aset TI Arsitektur TI

Konteks Ancaman Strategi TI Failure untuk core business Software Failure operasional core business

Sistem Operasi, Software Analysis, Software Database, Software Backup, dan Software Development Aplikasi MQ, Proyek e-KTP BMW, ABIS dan IDMS Proses Proyek e-KTP penerimaan barang/jasa Proses Pengelolaan

Skenario Risiko New Technologies

Ageing of application software

Failure

Software Implementation

Failure

Project Quality

Penyedia Jasa Failure untuk Support

Selection/ performance of third party suppliers Universitas Indonesia


56

6. 7. 8.

9.

10.

11.

12.

13.

14.

15.

Layanan Pihak Ketiga Server Infrastruktur TI Proses pengelolaan SDM TI SDM

Operasional core Business Infrastruktur Infrastruktur core business Staf TI dalam operasional core business Keahlian staf TI dalam operasional core business Aplikasi MQ, Aplikasi MQ, BMW, ABIS BMW, ABIS dan IDMS dan IDMS Server, Perangkat switch, router, server core LAN, Firewall Aplikasi MQ, Kinerja BMW, ABIS Aplikasi MQ, dan IDMS BMW, ABIS dan IDMS Server Penyediaan aplikasi dan kapasitas database Aplikasi MQ, BMW, ABIS dan IDMS Sistem Umur Operasi, software Software operasional Analysis, core business Software Database, Software Backup, dan Software Development Server, laptop, Infrastruktur sistem core business operasi, aplikasi (MQ, BMW, ABIS dan IDMS), Software Analysis, Software Database,

Malicious Accidental, Malicious Failure

Infrastructure Theft Destruction of Infrastructure IT Staff

Failure

IT Expertise and Skills

Accidental, Malicious

Software Integrity


Infrastrucure (hardware)

Failure

Software performance

Failure

System capacity

Failure

Ageing infrastructural software

Malicious

Malware

of



57

16.

17. 18.

19.

20.

21.

22.

23.

Software Backup, dan Software Development Proses memastikan keamanan sistem, arsitektur aplikasi, arsitektur TI SOP Data Center e-KTP UPS, prosedur pengelolaan layanan dengan pihak ketiga Data

Serangan dari Malicious internet terhadap sistem core business

Logical attacks

Media portable Power

Failure

Information Media

Failure

Utilities performance

Data hasil Failure, perekaman e- Malicious KTP (core database) PC, aplikasi Hak akses Malicious (MQ, BMW, ABIS dan IDMS), sistem database dan data Prosedur Kegiatan Failure backup data, backup SOP Data Center e-KTP, Sistem Operasi, Sistem Database Proses Lisensi Failure, kepatuhan software Malicious terhadap untuk core lisensi business Infrastruktur, Bencana alam Natural SDM

Data(base) integrity

Logical trespassing

Operational IT errors

Contractual Compliance

Acts of nature



58 5.3

Menentukan Parameter Probabilitas/Likelihood/Kecenderungan

Parameter

Probabilitas/Likelihood/Kecenderungan

yang

digunakan

dalam

penelitian ini sebagai berikut: Tabel 5.3 Parameter Probabilitas/Likelihood/Kecenderungan (Sumber: Risk Based Audit, Audit Internal Bank XYZ, 2007, “telah diolah kembali”) Nilai 1 2 3 4 5

5.4

Jumlah Kejadian Per Tahun (N) N ≤ 0,1 0,1 < N ≤ 1 1 < N ≤ 10 10 < N ≤ 100 N > 100

Keterangan Sangat jarang Jarang Kadang-kadang Sering Sangat sering

Menentukan Parameter Dampak

Parameter Dampak yang digunakan dalam penelitian ini sebagai berikut: Tabel 5.4 Standar Parameter Dampak (Sumber: Risk Based Audit, Audit Internal Bank XYZ, 2007, “telah diolah kembali”) Nilai

Keuang-

Strategis

Operasi-

an Sangat

1

kecil

X ≤ 50 Juta

Legal

onal Tidak

memiliki

dampak

Tidak

Tidak memiliki

Tidak

memiliki

dampak

memiliki

dampak Kecil

2

Reputasi

dampak

50 Juta

Tertundanya

Operasional

Adanya

Terbentuknya

<X≤

implementasi rencana

terganggu,

keberanian dari

opini negatif

organisasi

namun

pihak

antar

jangka pendek (s/d 1

dapat

stakeholder

Kelompok

tahun), namun tidak

diatasi

terhadap

Kerja,

mengubah

segera

pelanggaran

sehingga

dengan

ketentuan

berdampak

sumber

perundang-

hilangnya

daya

undangan

kepercayaan

100 Juta

strategis

dalam

rencana

yang

ada

pada organisasi



59 Sedang

3

100 Juta <X≤ 500 Juta

Tertundanya

Operasional

Adanya

surat

Terbentuknya


terganggu

peringatan dari

opini negatif

strategis

dan

individu/instansi

dari

jangka

tidak

Pihak

panjang (> 1 tahun),

dapat

yang

Eksternal

namun

tidak

diatasi

berwenang,

(Pihak

rencana

segera

namun

dengan

menimbulkan

sehingga

sumber

kerugian

berdampak

daya

signifikan

hilangnya

ada, namun

terhadap

kepercayaan

tidak

organisasi

pada internal

mengubah strategis

yang

tidak

terhentinya

Pelapor),

organisasi

proses bisnis lain Besar

4

500 Juta

Tertundanya

Operasional

Adanya tuntutan

Terbentuknya

<X≤1


terganggu

hukum

opini negatif

Milyar

strategis,

dan

individu

yang

dapat

dan/atau

sampai

melakukan perubahan

diatasi

instansi

rencana strategis

segera

berwenang,

luas

dengan

sehingga dapat

publikasi

sumber

menimbulkan

oleh

daya

kerugian

massa,

ada,

signifikan

sehingga

sehingga

terhadap

berdampak

sebagian

organisasi

hilangnya

proses

namun

bisnis

sampai

pada

lainnya

menyebabkan

organisasi

terhenti

organisasi

secara

terhenti

keseluruhan

sehingga

organisasi

harus

tidak

yang

dari

yang

tidak

terjadi

Masyarakat dan media

kepercayaan

namun tidak menyebabkan organisasi terhenti



60 Sangat besar

5

X>1

Tidak

Milyar

dapat

Operasional

Adanya tuntutan

Terbentuknya

mengimplementasikan

terganggu

hukum

opini negatif

rencana

strategis,

dan

individu

yang

sehingga

organisasi

dapat

dan/atau

sampai

tidak

dari

gagal

dalam

diatasi

instansi

melaksanakan

peran

segera,

berwenang

masyarakat

sehingga

terhadap

luas

sebagian

keseluruhan

publikasi

besar

organisasi,

oleh

proses

sehingga

massa,

bisnis

menimbulkan

sehingga

lainnya

kerugian sangat

berdampak

terhenti

besar dan dapat

hilangnya

menyebabkan

kepercayaan

organisasi

dan

terhenti/dilarang

terhentinya

beroperasi

organisasi

dan fungsinya.

yang

terjadi

dengan dan media

secara keseluruhan

5.5

Menentukan Standar Rating Risiko

Standar Rating Risiko yang digunakan dalam penelitian ini sebagai berikut: Tabel 5.5 Matriks Risiko (Sumber: Risk Based Audit, Audit Internal Bank XYZ, 2007, “telah diolah kembali”) Nilai Kecenderungan Sangat Jarang (1) Jarang (2) Kadangkadang (3) Sering (4) Sangat Sering (5)

Nilai Dampak Sangat Kecil (1)

Kecil (2)

Rendah (1)

Rendah (2)

Sedang (3)

Besar (4)

Sangat Besar (5)

Menengah (4)

Menengah (5)

Menengah (8)

Menengah Tinggi (10)

Rendah (2) Menengah Rendah (3) Menengah (4)

Menengah (4)

Menengah Rendah (3) Menengah (6)

Menengah (6)

Menengah (9)


Tinggi (15)

Menengah (8)


Tinggi (16)

Tinggi (20)

Menengah (5)


Tinggi (15)

Tinggi (20)

Tinggi (25)



61 Tabel 5.6 Matriks Nilai Risiko (Sumber: Risk Based Audit, Audit Internal Bank XYZ, 2007, “telah diolah kembali”) Rentang rating risiko (R) 14 < R ≤ 25 9 < R ≤ 14 3
Deskripsi Tinggi (H) Menengah Tinggi (MH) Menengah (M) Menengah Rendah (LM) Rendah (L)



BAB 6 PENILAIAN RISIKO

Penilaian Risiko merupakan bagian dari kegiatan proses manajemen risiko yang mencakup keseluruhan proses dari kegiatan menganalisis risiko dan mengevaluasi risiko. Kegiatan menganalisis risiko berupa kegiatan menggunakan informasi yang tersedia secara sistematis untuk menentukan kemungkinan kejadian yang terjadi yang berdampak pada organisasi. Sedangkan kajian risiko merupakan suatu proses yang digunakan untuk menentukan prioritas risiko gangguan dengan cara membandingkan tingkatan suatu risiko dengan standar, target ataupun kriteria lainnya. Maksud dari penilaian risiko adalah menentukan peristiwa dan lingkungan sekitar yang dapat mempengaruhi suatu organisasi dan sumber dayanya, dampak kerusakan dari peristiwa tersebut, dan pengendalian yang diperlukan untuk mencegah atau meminimalkan dampak dari potensi kerugian. Tujuannya adalah untuk mengetahui kontrol yang diperlukan untuk mengurangi risiko, sehingga kemudian organisasi dapat melakukan investasi dalam pengendalian untuk mengurangi risiko. Potensi gangguan atau bencana tersebut dapat bermacammacam, seperti yang alamiah oleh alam, oleh manusia (sengaja atau tidak disengaja), risiko kerja, spesifik terkait teknologi informasi dan lain-lain. Tujuan dari penilaian risiko dalam penggunaan TI ini adalah mendapatkan profil risiko TI yang dapat membantu manajemen untuk mengelola risiko dari pemanfaatan TI di organisasi. Pada proses penilaian risiko, penulis memberikan Form kompilasi analisis risiko TI yang diperoleh dari hasil proses penetapan konteks dapat dilihat pada Tabel 5.2 Hasil Pemetaan Aset TI ke Skenario Risiko TI dan melakukan wawancara dengan Person In Charge (PIC) dan Kasubdit Pengelolaan Data Administrasi Kependudukan selaku Ketua Tim Teknis Penerapan e-KTP secara langsung. Selain wawancara, penulis juga melakukan observasi atas potensi risiko bencana dan pengendalian yang telah diterapkan di lingkungan Data Center e-KTP. 62



63 Pada saat ini Ditjen Dukcapil belum memiliki kerangka kerja manajemen risiko TI, untuk penilaian risiko menggunakan acuan Kerangka Kerja RiskIT yang telah menyediakan skenario risiko berjumlah 36 high level scenario. Dalam penelitian ini hanya menggunakan 23 high level dengan pertimbangan relevansi dengan level dan cakupan aset TI yang sudah ditentukan pada penetapan konteks dan risk universe. 6.1

Metodologi Penilaian Risiko

Penilaian risiko adalah untuk menilai sejauh mana dampak dari kejadian atau keadaan dapat mengganggu pencapaian tujuan organisasi. Besar dari dampak diketahui dari inherent risk dan residual risk. Kemudian risiko-risiko tersebut dianalisis dengan melihat kecenderungan atau peluang dan impact atau consequence, serta besaran dari terealisasinya risiko. Besarnya risiko atas setiap kegiatan organisasi merupakan perkalian antara likelihood dan consequence. Inherent risk adalah tingkat risiko sebelum diterapkan pengendalian/kontrol sedangkan

residual

risk

adalah

tingkat

risiko

setelah

diterapkannya

pengendalian/kontrol. Dalam mewujudkan tujuan dari proses evaluasi risiko, berikut adalah metodologi yang digunakan dalam penilaian risiko:

Pengisian Template Risiko Aset Informasi

Pengisian Form Kompilasi Analisis Risiko

Validasi Hasil Kompilasi Analisis Risiko

Analisis Hasil Validasi

Hasil Penilaian Risiko

Gambar 6.1 Metodologi Penilaian Risiko



64 6.2

Pengisian Template Risiko Aset Informasi

Dalam melakukan penilaian risiko digunakan Template Risiko Aset Informasi untuk menghasilkan gambaran dampak risiko jika terjadi gangguan pada aset TI. Pengisian Form ini melibatkan PIC yang menangani aset TI dan hasilnya divalidasi oleh Kasubdit Pengelolaan Data Administrasi Kependudukan (PDAK) selaku Ketua Tim Teknis Penerapan e-KTP. Tabel Template Risiko Aset Informasi yang digunakan untuk mengumpulkan data kajian risiko secara lengkap diberikan dalam Lampiran 1. 6.3

Pengisian Form Kompilasi Analisis Risiko

Dalam melakukan pengukuran risiko selanjutnya digunakan Form Kompilasi Analisis Risiko untuk menghasilkan gambaran dampak risiko jika terjadi gangguan pada aset TI. Pengisian form ini melibatkan PIC yang menangani aset TI dan hasilnya divalidasi oleh Kasubdit Pengelolaan Data Administrasi Kependudukan (PDAK) selaku Ketua Tim Teknis Penerapan e-KTP. Dalam Form Kompilasi Analisis Risiko tersebut, PIC mengisi probabilitas dari isu risiko (risk issue) aset TI yang mungkin timbul, dampak dari risk issue aset TI jika terjadi dan efektivitas kontrol. Nilai efektivitas kontrol diperoleh dengan cara mengukur kontrol eksisting dengan memperhatikan faktor kemudahan operasional dan ketahanan dari ancaman. Sedangkan dampak risiko di Ditjen Dukcapil sudah didefinisikan dalam Tabel 5.4. Setelah dilakukan pengisian probabilitas, dampak dan efektivitas kontrol maka diketahui Nilai Risiko Dasar (NRD) atau inherent risk dan Nilai Risiko Akhir (NRA) atau residual risk. NRD merupakan hasil perkalian antara nilai probabilitas dan nilai dampak sedangkan NRA nilai setelah adanya pengendalian atau efektivias kontrol. NRA dapat diperoleh dari hasil perkalian probabilitas residual dengan dampak residual. Probabilitas residual adalah nilai probabilitas yang tersisa setelah adanya efektivitas kontrol yang dapat mengurangi probabilitas awal. Dampak residual adalah nilai dampak yang tersisa setelah adanya efektivitas kontrol yang dapat mengurangi dampak awal. Tabel Form Kompilasi Analisis Risiko yang digunakan untuk mengumpulkan data kajian risiko secara lengkap diberikan dalam Lampiran 2.



65 Form Kompilasi Analisis Risiko ini berasal dari kombinasi Tabel 5.2 Hasil Pemetaan Aset TI ke Skenario Risiko TI pada subbab 5.2 dengan probabilitas dan dampak yang ada. 6.4

Pengukuran Efektivitas Kontrol

Pengukuran dilakukan dengan cara memberikan Form efektivitas kontrol kepada PIC untuk membandingkan kontrol best practices dari COBIT dengan kontrol eksisting untuk setiap skenario risiko TI. Perbandingan tersebut memperhatikan efektivitas desain (keberadaan kontrol) dan operasional (kemudahan penggunaan). Dari efektivitas operasional inilah yang dijadikan sebagai ukuran untuk menentukan seberapa besar kontrol eksisting dapat mengurangi probabilitas dan dampak. Nilai efektivitas kontrol pada probabilitas dan dampak dalam bentuk persentase. Hasil pengukuran efektivitas kontrol ini terdapat di Lampiran 3 Form Pengukuran Efektivitas Kontrol sebagaimana terlampir. 6.5

Validasi Hasil Kompilasi Analisis Risiko

Setelah dilakukan pengisian form kompilasi analisis risiko oleh PIC, penulis melakukan validasi kembali kepada PIC tersebut untuk memastikan bahwa data yang diisikan benar kemudian setelah itu melakukan rekapitulasi dan menyampaikan ke pimpinan TI untuk mendapatkan persetujuan. 6.6

Analisis Hasil Kompilasi Analisis Risiko

Hasil validasi kompilasi analisis risiko disesuaikan dengan tingkat risiko organisasi yang sudah disepakati dalam draft final pedoman manajemen risiko. Tingkat risiko yang disepakati adalah rendah, untuk itu hasil NRD dan NRA apabila nilai risiko di atas rendah maka harus dilakukan pengendalian untuk mendapatkan nilai risiko yang diterima organisasi. Penyesuaian tingkat risiko dilakukan agar data tersebut lebih mewakili potensi risiko Ditjen Dukcapil. 6.7

Hasil Penilaian Risiko

Setelah melakukan evaluasi atas hasil validasi kompilasi analisis risiko, maka dapat dilakukan penilaian risiko terhadap penggunaan TI untuk mendukung proses kerja pelaporan dan analisis data transaksi keuangan. Penilaian tersebut dilakukan dengan melakukan analisis atas risiko dan kecukupan pengendalian Universitas Indonesia


66 yang ada. Hal tersebut untuk memastikan kecukupan pengendalian pada proses operasional penggunaan TI. Hal yang menjadi perhatian dalam penilaian risiko adalah mengidentifikasi kemungkinan terjadinya gangguan (probability), tingkat kerusaakan (severity), akibat (impact) yang dapat terjadi yang disebabkan oleh ancaman terhadap aset TI. 6.7.1 Daftar Risiko TI Daftar risiko TI yang dihasilkan terdiri dari 64 risk issue dengan rekapitulasi seperti tampak pada Tabel 6.1. Daftar risiko TI secara lengkap diberikan dalam Lampiran 2. Tabel 6.1 Rekapitulasi Risiko Berdasarkan Aset No.

Kategori Aset

Jumlah Risk issue

Presentase (%)

1.

Aplikasi

4

6,25

2.

Fasilitas

1

1,56

3.

Infrastruktur TI

14

21,88

4.

Informasi/Data

7

10,94

5.

Proses

36

56,25

6.

SDM

2

3,13

64

100%

Total

Tabel 6.2 Rekapitulasi Risiko Berdasarkan Skenario Risiko TI No.

Skenario Risiko

Jumlah Risk issue

1.

New Technologies

1

2.

Ageing

of

application 1

software 3.


2

4.

Project Quality

1

5.

Selection/performance of 1 third-party suppliers



67 6.

Infrastructure theft

7.

Destruction

2 of 2

infrastructure 8.

IT staff

2

9.

IT expertise and skills

1

10.

Software Integrity

4

11.

Infrastructure (hardware) 5

12.


1

13.

System capacity

2

14.

Ageing of Infrastructural 3 Software

15.

Malware

6

16.

Logical attacks

4

17.

Information media

3

18.


1

19.

Data(base) integrity

4

20.

Logical trespassing

6

21.

Operasional IT errors

8

22.

Contractual compliance

1

23.

Acts of nature

3

Total

64

6.7.2 Hasil Penilaian Risiko Terhadap Inherent Risk Berdasarkan analisis hasil validasi kompilasi analisis risiko dapat diketahui hasil pengukuran risiko yang menggambarkan dampak risiko yang terdapat pada proses kerja kritikal yang menggambarkan dampak risiko yang terdapat pada proses kerja kritikal yang didukung penggunaan TI. Hasil pengukuran risiko dikelompokkan berdasarkan kategori aset dan skenario risiko sehingga dapat diketahui kategori risiko dasar (inherent risk) yaitu risiko yang dihitung tanpa memasukkan unsur pengendalian yang telah diterapkan. Adapun rekapitulasi hasil penilaian risiko



68 dasar disusun berdasarkan aspek aset terlihat pada Tabel 6.3 sedangkan berdasarkan skenario risiko terlihat pada Tabel 6.4 di bawah ini: Tabel 6.3 Hasil Penilaian Risiko Inherent Risk Kategori Aset No.

Kategori Aset

Nilai Risiko Dasar Rendah

1. 2. 3. 4. 5. 6. Total

Aplikasi Fasilitas Infrastruktur TI Informasi/Data Proses SDM

0 0 2

Rendah Menengah 0 0 1

Menengah Menengah Tinggi Tinggi 3 1 0 1 0 0 9 1 1

1 5 0 8

0 1 0 2

6 29 1 49

0 0 1 3

0 1 0 2

Tabel 6.4 Hasil Penilaian Risiko Inherent Risk Kategori Skenario Risiko No.

Skenario Risiko

Nilai Risiko Dasar Rendah

1. 2. 3. 4. 5.

6. 7. 8. 9. 10. 11. 12. 13. 14.

New Technologies Ageing of application software Software Implementation Project Quality Selection/performance of third-party suppliers Infrastructure theft Destruction of infrastructure IT staff IT expertise and skills Software Integrity Infrastructure (hardware) Software performance System capacity Ageing of 1 infrastructural software

Rendah Menengah

Menengah

Menengah Tinggi Tinggi

1 1 2 1 1

1

1 1

1

2 1 4 5 1 1

1

2



69 15. 16. 17. 18. 19. 20. 21. 22. 23. Total

Malware Logical attacks Information media Utilities performance Data(base) integrity Logical trespassing Operational IT errors Contractual Compliance Acts of Nature

1

1 1

1

1 5

4

6 4 2 1 4 5 6 1 2 53

0

2

6.7.3 Hasil Penilaian Risiko Terhadap Residual risk Dari hasil wawancara dengan PIC, Kasubdit Pengelolaan Data Administrasi Kependudukan (PDAK) dan pengumpulan data SOP di Direktorat Pengelolaan Informasi Administrasi Kependudukan (PIAK), telah terdapat pengendalian terhadap risiko-risiko yang ada, sehingga pengukuran risiko dapat dilihat dari potensi risiko setelah dilakukannya pengendalian. Penilaian ini diperlukan untuk melihat kecukupan pemenuhan pengendalian, terhadap Inherent Risk sehingga risiko yang timbul dapat diminimalisasi. Setelah dilakukan mitigasi, maka tingkat risiko tersebut dikatakan sebagai residual risk. Setelah dilakukan pengendalian terhadap Inherent Risk, maka hasil potensi risiko berkurang, sehingga dapat diberikan rekomendasi dari Residual risk sesuai kategori risikonya. Dari rekomendasi atau residual risk tersebut DPIAK dapat melakukan pengendalian terhadap risiko tersebut. Secara lebih rinci rekomendasi pengendalian dapat dilihat pada Lampiran 2. Adapun rekapitulasi tingkat risiko berdasarkan penilaian Residual risk terhadap aset TI terlihat pada Tabel 6.5 sedangkan terhadap skenario risiko TI dapat dilihat pada Tabel 6.6.



70 Tabel 6.5 Hasil Penilaian Risiko Residual Risk Kategori Aset No.

Kategori Aset

Nilai Risiko Akhir Rendah

1. 2. 3.

Aplikasi Fasilitas Infrastruktur TI Informasi / Data Proses SDM

4.

5. 6. Total Presentase (%)

Total

3 1 12

Rendah MeneMenengah ngah 1 0 0 0 1 0

Menengah Tinggi 0 0 0

Tinggi

0 0 1

4 1 14

6

1

0

0

0

7

32 1 55 85,94

3 1 7 10,94

0 0 0 0

1 0 1 1,56

0 0 1 1,56

36 2 64 100

Berdasarkan Tabel 6.6 di atas mayoritas risiko TI adalah rendah yaitu 85,94% (59 risk issue) dari total risk issue (64). Rincian hasil penilaian risiko dapat dilihat pada Lampiran I. Terdapat 5 risk issue dan 4 skenario risiko TI (Tabel 6.6) yang perlu mendapat perhatian manajemen karena tingkat risikonya di atas ambang batas yang dapat diterima oleh organisasi. Tabel 6.6 Hasil Penilaian Risiko Residual Risk Kategori Skenario Risiko No.

Skenario Risiko

Nilai Risiko Akhir Rendah

1.

New Technologies

1

2.

Ageing of application software Software Implementation Project Quality Selection/perfor mance of thirdparty suppliers Infrastructure theft

1

3. 4. 5.

6.

Rendah MeneMenengah ngah

Menengah Tinggi

Tinggi

2 1 1

2 Universitas Indonesia


71 7. 8. 9.

10. 11. 12. 13. 14.

15. 16. 17. 18. 19. 20. 21. 22. 23. Total

Destruction of 1 infrastructure IT staff 2 IT expertise and 1 skills Software Integrity Infrastructure (hardware) Software performance System capacity Ageing of infrastructural software Malware Logical attacks Information media Utilities performance Data(base) integrity Logical trespassing Operational IT errors Contractual Compliance Acts of Nature

1

4 5 1 1

1

3

5 4 3

1

1 3

1

6 8 1 3 59

3

0

1

1

Setelah dilakukan penilaian risiko, maka risk issue tersebut dapat disajikan dalam risk map sebagai berikut: 1. Risk Map Tabel 6.10 di bawah ini menampilkan distribusi risiko yang dipetakan ke dalam grafik dua dimensi antara kecenderungan dan dampak disebut risk map. Keterangan lebih lengkap untuk tingkat kecenderungan dan dampak yang sudah ditetapkan oleh organisasi dapat dilihat pada sub bab 5.3 dan 5.4 pada penentuan konteks dan skenario risiko. Universitas Indonesia


72

Sangat

0

4

2

0

0

6

Besar (4)

3

1

0

0

0

4

Sedang

2

11

6

0

0

19

Kecil (2)

4

17

9

1

0

31

Sangat

4

0

0

0

0

4

13

33

17

1

0

64

Sangat

Jarang Kadang- Sering Sangat Total

Jarang

(2)

besar (5)

Dampak

(3)

Kecil (1) Total

(1)

kadang

(4)

(3)

Sering (5)

Probabilitas Kecenderungan Berdasarkan risk map di atas, distribusi risk issue paling besar ada pada risk issue yang memiliki dampak kecil yaitu sebanyak 31 risiko. Sedangkan dari sisi kecenderungan yang paling besar adalah jarang yaitu sebanyak 33 risk issue. Sehingga secara umum bisa dikatakan risiko masuk kategori menengah. 2. Top IT Risks Top IT Risks adalah risiko-risiko TI yang memiliki tingkat risiko di atas risk appetite yang memerlukan prioritas untuk ditindaklanjuti penanganannya. Risiko tersebut dikelompokkan ke skenario risiko TI sebagai berikut: a. Destruction of Infrastructure Terjadinya sabotase pada DC dan kerusakan laptop yang berisi data sensitif dan belum adanya BCP, DRP dan DRC yang memadai, karena yang ada saat ini hanya backup server saja. Universitas Indonesia


73 b. System capacity Sistem tidak dapat menangani volume transaksi ketika jumlah pengguna naik dan sistem tidak dapat menangani beban ketika aplikasi atau inisiatif baru di-deploy. Misalnya terdapat penduduk yang telah melakukan perekaman e-KTP di tempat perekaman dengan jaringan online ke Data Center (DC) e-KTP, namun saat dicek data penduduk yang telah merekam tersebut tidak ada di DC. c. Malware Intrusion malware pada laptop yang berisi data sensitif. d. Data(base) integrity Kesengajaan memasukkan dan memodifikasi data yang menyebabkan ketidakakuratan data.



BAB 7 STRATEGI DAN LANGKAH MITIGASI

Untuk melengkapi profil risiko TI organisasi, dilakukan proses mitigasi risiko TI yang sudah dihasilkan dari proses penilaian risiko. Selanjutnya dapat dirancang langkah mitigasi dengan melakukan pemetaan skenario risiko TI ke COBIT untuk mendapatkan proses-proses TI yang relevan. Mitigasi risiko secara umum perlu memperhatikan kecukupan aspek manusia, proses dan teknologi. Risiko yang tingkat risikonya di atas batas risk appetite yang sudah ditetapkan organisasi dilakukan langkah mitigasi. Risiko tersebut dikelompokkan ke skenario risiko TI untuk memudahkan pemetaan ke COBIT. Skenario risiko TI yang dipetakan yaitu destruction of infrastructure, malware, system capacity dan data(base) integrity. Langkah mitigasi skenario risiko TI high level scenario RiskIT untuk Destruction of Infrastructure sebagai berikut: Essential Control control

Control rule

Langkah Mitigasi

reference

1. Destruction of Infrastructure Deskripsi risiko: Ya

Terjadinya sabotase pada DC DS12 DS12.2

Physical

Manusia:

Security

- Wajib

Measures Ya

DS12 DS12.3

identitas

menggunakan selama

berada

kartu di

lingkungan kerja;

Physical

- Kesadaran memelihara peralatan

Access

yang tidak diberikan; Ya

DS12 DS12.5

Physical Fasilities

- Pelatihan SDM;

74



75 Management Proses: - Membuat

Standar

Prosedur

Operasional

Teknis

Pemeliharaan

tentang

Peralatan

yang

komprehensif; - Kebijakan melarang masuknya alat dengan kemampuan merekam dan meng-copy ke dalam wilayahwilayah kerja tertentu, kecuali telah ada ijin sebelumnya; - Kebijakan menentukan area kerja terbatas. Teknologi: - Pemasangan CCTV pada Data Center diperbanyak; - BCP,

DRP

dan

DRC

yang

memadai (tidak hanya backup server).

Langkah mitigasi skenario risiko TI high level scenario RiskIT untuk malware sebagai berikut: Essential Control control

Control rule

Langkah Mitigasi

reference

2. Malware Deskripsi risiko: -

Intrusion malware



76

Ya

DS5

DS5.5

Security

Manusia:

Testing,

- Terdapat

staf

TI

yang

Surveillance

bertanggung jawab atas keamanan

and

TI;

Monitoring - Terdapat Ya

DS5

DS5.9

staf

TI

yang

Malicious

bertanggung jawab atas update

Software

patches keamanan dan virus.

Prevention,

Proses:

Detection - Direktorat Pengelolaan Informasi

and Correction

Administrasi (PIAK)

Ya

PO6

PO6.3

IT

Policies

Management Ya

PO6

PO6.4

Policy, Standard and Procedures Rollout

Kependudukan

melakukan

sosialisasi

kesadaran keamanan informasi; - Direktorat Pengelolaan Informasi Administrasi

Kependudukan

(PIAK) melakukan perlindungan terhadap

kode

didasarkan awal,

jahat

pada

pendeteksian

perbaikan

kesadaran

yang

software,

keamanan,

pengendalian

dan

manajemen

perubahan dan sistem akses yang memadai; - Direktorat Pengelolaan Informasi Administrasi (PIAK)

Kependudukan

menetapkan

petunjuk

pengelolaan dan tanggungjawab untuk menangani antisipasi kode jahat

terhadap

berjalan, diperlukan,

sistem

pelatihan pelaporan

yang yang dan



77 perbaikan dari serangan kode jahat; - Direktorat Pengelolaan Informasi Administrasi (PIAK)

Kependudukan mendeteksi

dan

mencegah terjadinya malicious code yang mungkin dikirim pada saat

terjadinya

komunikasi

elektronis; - Direktorat Pengelolaan Informasi Administrasi (PIAK)

Kependudukan

melarang

software

penggunaan

secara

ilegal

di

lingkungan Ditjen Dukcapil dan melaksanakan

petunjuk

untuk

perlindungan atas adanya risiko ketika menerima file dan software dari jaringan eksternal atau dari perantara jaringan yang lain; - Pemeriksaan untuk setiap file elektronis dan media optik, dan file

yang

terhadap

diterima kode

jahat

jaringan, sebelum

penggunaan. Teknologi: - Penggunaan anti virus dan anti spam

Langkah mitigasi skenario risiko TI high level scenario RiskIT untuk System Capacity sebagai berikut: Universitas Indonesia


78

Essential Control control

Control rule

Langkah Mitigasi

reference

3. System Capacity Deskripsi risiko: -

Sistem tidak dapat menangani volume transaksi ketika jumlah pengguna naik. Ketidaksengajaan melakukan modifikasi aplikasi yang menyebabkan hasil yang tidak diharapkan

-

Sistem tidak dapat menangani beban ketika aplikasi atau inisiatif baru dideploy

Ya

DS3

DS3.1

Performance

Manusia:

and Capacity Terdapat staf TI yang bertanggung Planning jawab atas perencanaan dan Ya

AI3

AI3.3

Infrastructure Maintenance

Ya

DS3

DS3.3

Future Performance and Capacity

monitoring Proses: - Kebijakan

yang

adanya

capacity

DS3

DS3.4

IT Resources Avalilability

Ya

DS3

DS3.5

implementasi

sistem

informasi; - Untuk setiap sistem informasi

Monitoring

yang

and

memiliki capacity plan.

Reporting

planning,

monitoring dan evaluasi untuk seluruh

Ya

menetapkan

dikembangkan

harus

Teknologi: - Alat untuk monitoring resource.

Langkah mitigasi skenario risiko TI high level scenario RiskIT untuk Data(base) Integrity sebagai berikut: Universitas Indonesia


79

Essential Control control

Control rule

Langkah Mitigasi

reference

4. Data(base) Integrity Deskripsi risiko: - Kesengajaan memasukkan dan memodifikasi data yang menyebabkan ketidakakuratan data. Ya

PO4

PO4.9

Data

and Manusia:

System

- Terdapat

Ownership Ya

AI6

AI6.1

DS9

DS9.3

bertanggung

TI

yang

jawab

atas

pengelolaan database;

Change

- Terdapat

Standards

Ya

staf

staf

TI

yang

jawab

atas

and

bertanggung

Procedures

keamanan database;

Configuration

- Menumbuhkan kesadaran untuk menjaga

Integrity

integritas

dan

keamanan data.

Review

Proses: Ya

DS11 DS11.2

Storage

and

Retention Arrangements

- Direktorat

PIAK

berwenang

mengendalikan akses ke jaringan data dan layanan yang ada di

Ya

DS11 DS11.6

Security

jaringan

Requirements

menetapkan kriteria yang harus

for

dipenuhi

Data

Management

data,

untuk

serta

untuk

mengakses

jaringan data, siapa saja yang diperbolehkan

mengakses

jaringan data, serta jaringan dan layanan jaringan apa saja yang diperbolehkan untuk diakses;



80 - Pemberian

hak

akses

sesuai

enkripsi

pada

kebutuhan. - Menerapkan

informasi yang sensitif/kritikal baik

selama

maupun

penyimpanan

pemindahan

untuk

memastikan kerahasiaan; - Menyusun pelabelan

SOP dan

informasi

tentang penanganan

(pemrosesan,

penyimpanan,

penyebaran

sampai penghapusannya); - Melakukan

update

SOP

database; - Rotasi pegawai; - Direktorat

PIAK

harus

memastikan bahwa penggunaan jaringan

selalu

dipantau,

dibatasi, dan/atau dilarang untuk tujuan

tertentu,

seperti

pemindahan data yang tidak ada kaitannya

dengan

kegiatan

Ditjen Dukcapil, akses interaktif dan aplikasi interaktif yang dapat memindahkan data ke tempat lain; - Direktorat PIAK menempatkan fasilitas pengolah informasi yang menangani data yang sensitif sedemikian rupa sehingga pada



81 saat

aplikasi

digunakan,

informasi yang ada di layar tidak dapat dilihat oleh orang yang tidak berkepentingan; - Unit kerja yang membawahi bidang

SDM

Kepegawaian)

(Bagian memastikan

bahwa seluruh pegawai Ditjen Dukcapil menyetujui peran dan tanggung

jawab

keamanan

informasi yang diberikan kepada mereka dengan menandatangani surat

perjanjian

menyatakan

yang

kesanggupan

menjaga

kerahasiaan

dan

larangan

penyingkapan

untuk

jenis aset informasi yang bersifat sensitif bagi Ditjen Dukcapil; - Seluruh

pegawai

Ditjen

Dukcapil harus menandatangani pembaruan

perjanjian

kerahasiaan sebagai bagian dari perjanjian

kontrak

kerja

pegawai; - Dalam aktivitas pengembangan dan

pemeliharaan

informasi

unit

kerja

membawahi

sistem yang bidang

Pengembangan Aplikasi Sistem serta unit kerja pengguna dan pemilik

aplikasi

harus



82 memastikan

bahwa

seluruh

aplikasi yang ada di Ditjen Dukcapil

telah

pengendalian minimal

memiliki

memadai,

mampu

yang

melakukan

validasi data masukan, validasi pemrosesan, dan validasi data keluaran. Teknologi: Menggunakan kode rahasia / kode sandi / kode acak / kriptografi yang berbeda untuk setiap aplikasi yang berbeda.

Berdasarkan keempat langkah mitigasi risiko dari lima profil risiko di atas sangat mendukung tugas DPIAK dalam melaksanakan tugasnya yaitu melaksanakan sebagian tugas Direktorat Jenderal di bidang informasi kependudukan khususnya dalam menyelenggarakan fungsi sebagai berikut: 1. Penyiapan perumusan kebijakan dan fasilitasi pengembangan sistem dan teknologi informasi; 2. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan kelembagaan sumber daya informatika; 3. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan pengolahan data kependudukan; 4. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan pelayanan informasi kependudukan. Selain dapat mendukung tugas pokok dan fungsi, juga dapat mendukung terwujudnya tujuan tertib administrasi kependudukan yaitu tertib database kependudukan, penerbitan NIK dan dokumen kependudukan.



BAB 8 KESIMPULAN DAN SARAN

Pada bab ini berisi tentang kesimpulan yang didapat dari hasil penelitian dan juga saran mengenai penelitian ini. 8.1

Kesimpulan

Berdasarkan pembahasan yang dilakukan dari proses penilaian risiko, strategi dan langkah mitigasi, dapat ditarik kesimpulan sebagai berikut: 1. Terdapat 64 risk issue (isu risiko) dalam penggunaan TI, yang dikelompokkan ke dalam 23 high level skenario risiko. 2. Secara umum tingkat risiko penggunaan TI untuk mendukung proses kerja utama Ditjen Dukcapil adalah rendah yaitu 85,94% (59 risk issue) dan 7,81% (5 risk issue dari 4 skenario RiskIT) yang tingkat risikonya di atas batas risk appetite (risiko yang dapat diterima oleh organisasi). 3. Risiko yang paling tinggi tingkat risikonya adalah terjadinya sabotase pada DC dengan nilai risiko 15 (tinggi) dan sistem tidak dapat menangani volume transaksi yang besar dengan nilai risiko 11,25 (menengah tinggi). 4. Strategi untuk merespon risiko dari hasil penelitian ini 59 risk issue diterima dan 5 risk issue dilakukan mitigasi. 5. Langkah mitigasi risiko yang dilakukan menggunakan kontrol yang ada di COBIT dengan pendekatan kontrol pada manusia, proses dan teknologi. 6. Dengan profil risiko TI dapat dijadikan masukan atas pertimbangan bagi manajemen dalam mengambil keputusan yang lebih baik berdasarkan pengetahuan risiko yang dimiliki sehingga alokasi penggunaan sumber daya lebih efisien. 7. Dengan mengetahui risiko penggunaan TI mendorong kesadaran bagi seluruh pegawai untuk melindungi aset TI dan citra organisasi. 8. Secara lengkap profil risiko TI serta langkah mitigasinya dapat dilihat pada Lampiran 4. 83



84 Evaluasi dan monitoring hasil penilaian risiko ini perlu dilakukan mengingat perkembangan teknologi informasi begitu cepat. 8.2

Saran

Beberapa saran yang dapat digunakan oleh Ditjen Dukcapil maupun peneliti selanjutnya sebagai berikut: 1. Kerangka kerja RiskIT dapat dipertimbangkan bagi Ditjen Dukcapil untuk melakukan pengelolaan risiko TI. 2. Penilaian risiko yang dilakukan baru sebatas aset TI yang mendukung proses kerja utama Ditjen Dukcapil, ke depan diharapkan semua aset TI dapat teridentifikasi risikonya. 3. Jika terdapat risiko TI baru yang disebabkan perkembangan TI, dapat diidentifikasi dan dikategorikan berdasarkan kerangka kerja high level scenario RiskIT. Kontrol yang didefinisikan juga dirumuskan berdasarkan contoh yang ada dalam COBIT control practices. Hal ini agar profil risiko TI tetap berada dalam kerangka RiskIT dan COBIT. 4. Penilaian risiko selain dilakukan oleh unit kerja internal organisasi sebaiknya melibatkan pihak lain yang bersifat independen sehingga hasilnya lebih obyektif.

Universitas Indonesia Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014

85 DAFTAR PUSTAKA

Kementerian Dalam Negeri. (2010). Rencana Strategis Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri Tahun 20102014. Jakarta: Kementerian Dalam Negeri. G. Stoneburner, A. Goguen and A. Feringa. (2002). Risk Management Guide for Information Technology System. Recommendation of National Institute of Standards and Technology Special Publication 800-300, July, 2002. Heidrich, Ronald Eduard. (2010). Analisa IT Risk Proile Menggunakan Kerangka Kerja Risk IT dan Peraturan Bank Indonesia No. 9/15/PBI/2007: Studi Kasus pada PT Bank XYZ (Persero), Tbk. Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer, Universitas Indonesia. ISACA. (2009). The Risk IT Framework Excerpt. USA: ISACA. ISACA. (2009). The Risk IT Practitioner Guide. USA: ISACA. Mahreza Maulana, Muhammad. (2006). Pemodelan Manajemen Risiko TI untuk Perusahaan di Negara Berkembang. Bandung: Prosiding Konferensi Nasional Teknologi Informasi dan Komunikasi untuk Indonesia, Institut Teknologi Bandung. Kementerian Komunikasi dan Informatika. (2007). Permenkominfo tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional. Jakarta: Kementerian Komunikasi dan Informatika. Saron, Arion. (2010). Rancangan Manajemen Risiko TI Berdasarkan Keamanan Informasi Studi Kasus PT. X. Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI. Spremic, M., and Popovic, M. (2008). Emerging issues in IT Governance: Implementing the Corporate IT Risk Management Model, WSEAS Transactions in Systems, issues 3 volume 7. Symantec. (2007). IT Risk Management Report volume 1. The IT Governance Institute. (2005). COBIT 4.0. USA: The IT Governance Institute. Tri Wibowo, Cahyono. (2006). Kajian Manajemen Risiko TI Berdasarkan Penerapan COBIT Framework dan ISO 27001 : Studi Kasus Pusat Sistem Informasi dan Teknologi Keuangan, Departemen Keuangan RI. Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI. Westerman, George and Richard Hunter. (2007). IT Risk: Turning Business Threats Into Competitive Advantage. Harvard Business School Press.


86 Yok Christiyono. (2011). Penilaian Risiko dan Analisa Profil Risiko TI Menggunakan Kerangka Kerja RiskIT: Studi Kasus PT . Bank ABC (Persero), Tbk. Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI. Yuliansyah Al’Rasyid. (2009). Analisa dan Kajian Model Kerangka Kerja Manajemen Risiko Teknologi Informasi: Studi Kasus pada PT. Rajawali Nusantara Indonesia. Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI. Hadi Purnomo, Bambang. (2012). Evaluasi Pengelolaan Risiko TI pada Instansi Pemerintah: Studi Kasus Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK). Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI. Ardhana. (2008). Metode Penelitian Studi Kasus. Internet: http://ardhana12. wordpress.com/2008/02/08/metode-penelitian-studi-kasus. Republik Indonesia. (2006). Undang-Undang Nomor 23 2006 tentang Administrasi Kependudukan. Jakarta, Indonesia, Setneg.

Tahun


87 Lampiran 1 : Template Risiko Aset Informasi

MANAJEMEN RISIKO TEKNOLOGI INFORMASI Inherent

No.

1 1

Aset Informasi

2 Manusia Team Leader / Project Manager

Ancaman

Penanggung Jawab Aset

Risiko

Kerawanan terhadap Aset (Vulnerabilities)

3

4

5

6

Confidentiality Availability

• Tidak mampu memimpin dan mengkoordinasikan kepada bawahan terkait kegiatan penyelesaian proyek perusahaan • Kurang Teliti • Kesalahan kebijakan dalam penyelesaian masalah aplikasi • Kebijakan Sharing Password komponen TI • Tidak ada

• Kualitas data hasil perekaman yang diterima di DC kurang baik • Proses penerimaan data, identifikasi ketunggalan data dan penyajian data menjadi lambat • Terjadi kebocoran data

Subdit PDAK

Dampak

Kecenderungan

7

8

Sedang (3)

Sering (4)

Residual

Nilai Risiko Harapan

Strategi Mitigasi

Rencana Kerja

Target Penyelesaian

16

17

Dampak

Kecenderungan

Nilai Risiko Akhir

10

11

12

13

14

15

• Sudah ada pembagian peran dan tanggung jawab • Sudah ada penyaringan dan (screening) terhadap pihak ketiga melalui proses

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah

Kendalikan RisikoAccept

Nilai Risiko Dasar

Kontrol yang Ada

9 Menengah Tinggi (12)


• Segera Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • Memastikan bahwa audit internal SMKI dilaksanakan • Universitas Indonesia

88 kebijakan clear desk dan clear screen • Adanya kebijakan yang cenderung menyebabkan adanya kerawanan misalnya anggota memiliki motivasi untuk menyalahgunakan data • Jarang dilakukan rolling pegawai

penyediaan barang / jasa (lelang) pemerintah

Melaksanakan kajian manajemen SMKI • Change Management • Lakukan Inspeksi internal terhadap pegawai outsourcing • Pengawasan dari auditor eksternal terkait penerapan manajemen risiko keamanan informasi. • Bersertifikat CISM, CISSP



89 2

Project Admin

Subdit PDAK


• Tidak mampu memelihara dokumen proyek • Tidak mampu membuat Time Schedule dan Material Schedule sehingga kebijakan terkait keamanan informasi tumpang tindih dan kurang tepat

• Terjadi kebocoran data

Sedang (3)

Jarang (2)

Menengah (6)

Dokumen (salah satu unsur di dalamnya adalah keamanan informasi ) sudah disetujui oleh manajemen, dan dipublikasikan serta dikomunikasikan kepada semua pekerja dan pihakpihak luar terkait

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen • Pengendalian dokumen • Pengendalian rekaman • Lakukan Inspeksi internal terhadap pegawai outsourcing • Pengawasan dari auditor eksternal terkait penerapan manajemen risiko keamanan informasi • Bersertifikat CISM, CISSP

Segera



90 3

Team Database Administrator (DBA)

Subdit PDAK

Confidentiality Integrity Availability

• Tidak mampu melaksanakan operasionalisasi administrasi database pada server database, meliputi: - Melakukan administrasi untuk sistem database e-KTP; - Secara rutin memonitor, memeriksa dan mencatat kondisi database; - Melakukan troubleshoot untuk setiap incident yang ditemukan dan meng-eskalasi problem kepada principals apabila tidak bisa diselesaikan; - Melakukan tugas administrasi untuk penerimaan data rekaman e-KTP dan melakukan proses offline data;


Sedang (3)

Sering (4)


• Sudah ada pembagi an peran dan tanggung jawab • Sudah ada penyaringan dan (screening) terhadap pihak ketiga melalui proses penyedia an barang /jasa (lelang) pemerintah

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • Kebijakan untuk tidak membawa barang apapun ketika masuk area pekerjaan. • Adanya pemeriksaan ketika keluar dan masuk area pekerjaan • Seragam standar, tanpa saku • Rolling pegawai diatur oleh manajemen dan diketahui oleh Subdit

Segera



91 - Memonitor Aliran data dari lokasi ke DCMMU dan melaporkan perkembangann ya. • Kesalahan dalam penyelesaian masalah database • Sharing Password komponen TI • Tidak ada kebijakan clear desk dan clear screen • Adanya motivasi untuk menyalahgunakan data

PDAK. • Adanya Role Authorization • Penghapusan hak akses kepada pegawai ketika pekerjaan berakhir • Adanya sanksi terkait operator yang melakukan sharing password • Lakukan Inspeksi internal terhadap pegawai outsourcing • Pengawasan dari auditor eksternal terkait penerapan manajemen risiko keamanan informasi Universitas Indonesia


92 • Bersertifikat CISM, CISSP

4

Sistem Administrator (SAdm)

Subdit PDAK


• Tidak mampu melakukan pengadministrasian sistem perangkat DC eKTP, meliputi: - Melakukan tugas sistem administrator untuk semua perangkat server, storage, tape dan network; - Melakukan troubleshoot terhadap perangkat (HW & SW) bermasalah dengan bekerja sama dengan principal-nya; - Menginisiasi untuk melakukan backup dan memonitor aktivitas baik


Sedang (3)

Jarang (2)

Menengah (6)

• Sudah ada pembagian peran dan tanggung jawab • Sudah ada penyaringan dan (screening) terhadap pihak ketiga melalui proses penyediaan barang /jasa (lelang) pemerintah

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • melakukan log audit • pemantauan penggunaan sistem • perlindungan informasi log • log administrator dan operator • log atas kesalahan

Segera



93 konfigurasi dan data. •Tidak mampu melakukan monitoring sistem Data Center, meliputi: - Memonitor kinerja seluruh sistem yang ada di Data Center seperti perangkat server, perangkat jaringan, san storage, AC, UPS, listrik dan genset; - Memonitor, memeriksa dan mencatat semua perangkat server, storage, tape, network dan perangkat pendukung seperti AC, UPS dan genset di Data Center; - Melakukan pengecekan dan mencatat-nya secara rutin AC, UPS, Genset

yang terjadi (fault logging) • sinkronisasi penunjuk waktu • Analisis dan spesifikasi persyaratan keamanan • Penggunaan informasi secara sistematik untuk mengidentifikasi sumber dan untuk memperkirakan risiko • Lakukan Inspeksi internal terhadap pegawai outsourcing • Pengawasan dari auditor eksternal terkait penerapan Universitas Indonesia


94 dan ME lainnya yang ada di Data Center serta memfollow up apabila ditemukan incident pada peralatan tersebut. 5

Security Jaringan

Subdit PDAK


Tidak mampu memastikan fungsi peralatan jaringan, meliputi: - Memastikan fungsi jaringan LAN, WAN dan internet Data Center; - Melakukan troubleshoot untuk setiap incident yang terjadi; - Melakukan update konfigurasi sesuai kebutuhan.

manajemen risiko keamanan informasi • Bersertifikat CISM, CISSP


Sedang (3)

Jarang (2)

Menengah (6)

• Otentikasi penggun a untuk koneksi ekstenal • Identifika si peralatan dalam jaringan

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • Kebijakan penggunaan layanan jaringan • Perlindungan terhadap remote diagnostic dan configuration port • Segregasi dalam

Segera



95 jaringan • Pengendalian koneksi jaringan • Pengendalian routing jaringan • Keamanan layanan jaringan 6

Helpdesk Administrator

Subdit PDAK


• Tidak mampu memberikan informasi yang sebenarnya kepada Admin terkait permintaan pemohon yang disetujuti oleh manajemen • Tidak mampu memberikan informasi yang sebenarnya tentang status permintaan ke pemohon

• Informasi yang diberikan menjadi bias

Sedang (3)

Jarang (2)

Menengah (6)

• Sudah ada pembagian peran dan tanggung jawab • Sudah ada penyaringan dan (screening) terhadap pihak ketiga melalui proses penyediaan barang/

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI)

Segera



96

7

Sistem Analis

Subdit PDAK


• Tidak mampu melakukan pengadministras ian sistem perangkat DC eKTP, meliputi: - Melakukan tugas sistem administrator untuk semua perangkat server, storage, tape dan network;Melakukan troubleshoot terhadap perangkat (HW & SW) bermasalah dengan bekerja sama dengan principal-nya;Meng-inisiasi untuk melakukan backup dan memonitor aktivitas baik konfigurasi dan data. •Tidak mampu melakukan

• Kualitas data hasil perekaman yang diterima di DC kurang baik • Proses penerimaan data, identifikasi ketunggalan data dan penajian data menjadi lambat • Terjadi kebocoran data

Sedang (3)

Jarang (2)

Menengah (6)

jasa (lelang) pemerintah • Sudah ada pembagian peran dan tanggung jawab • Sudah ada penyaringan dan (screening) terhadap pihak ketiga melalui proses penyediaan barang / jasa (lelang) pemerintah

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • melakukan log audit • pemantauan penggunaan sistem • perlindungan informasi log • log administrator dan operator • log atas kesalahan yang terjadi (fault logging) •

Segera



97 monitoring sistem Data Center, meliputi: - Memonitor kinerja seluruh sistem yang ada di Data Center seperti perangkat server, perangkat jaringan, san storage, AC, UPS, listrik dan genset; - Memonitor, memeriksa dan mencatat semua perangkat server, storage, tape, network dan perangkat pendukung seperti AC, UPS dan genset di Data Center; - Melakukan pengecekan dan mencatat-nya secara rutin AC, UPS, Genset dan ME lainnya yang ada di Data Center serta mem-

sinkronisasi penunjuk waktu • Analisis dan spesifikasi persyaratan keamanan • Penggunaan informasi secara sistematik untuk mengidentifikasi sumber dan untuk memperkirakan risiko • manajemen kapasitas • Lakukan Inspeksi internal terhadap pegawai outsourcing • Pengawasan dari auditor eksternal terkait penerapan manajemen risiko Universitas Indonesia


98

8

Ahli Mekanikal dan Elektrikal

Subdit PDAK


follow up apabila ditemukan incident pada peralatan tersebut. • Tidak mampu menyelesaikan permasalahan terkait kelistrikan secara cepat • Tidak mampu menjaga suhu ruangan DC karena AC kurang dingin yang sering mati

• Proses penerimaan data, identifikasi ketunggalan data dan penajian data menjadi lambat

Sedang (3)

Jarang (2)

Menengah (6)

• Sudah ada pembagi an peran dan tanggung jawab • Sudah ada penyaringan dan (screening) terhadap pihak ketiga melalui proses penyediaan barang /jasa (lelang) pemerin tah • pemeliharaan peralatan

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


keamanan informasi .• Bersertifikat CISM, CISSP • Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • penempatan dan perlindungan peralatan • peralatan harus dilindungi dari kegagalan catu daya dan gangguan lain yang disebabkan oleh kegagalan sarana

Segera



99 pendukung • keamanan kabel Proses 9

Proses Penerimaan data hasil perekaman e-KTP dan pengembalian status data dari dan ke kecamatan tempat perekaman

Subdit PDAK


• Sistem pada DC yang tidak mampu menerima data hasil perekaman e-KTP di kecamatan secara online dalam jumlah yang besar • Adanya koneksi jaringan yang lemah (bandwidth kecil) • Kurangnya pengetahuan kemampuan tim dalam menangani masalah • Tidak adanya prosedur baku dalam menangani masalah aplikasi • Tidak melakukan dokumentasi dalam

• Kehilangan data perekaman yang seharusnya masuk secara online, sehingga data tidak lengkap • Proses penerimaan data berjalan lambat • Tidak diketahui proses penanganan yang tepat dalam mengatasi masalah

Sedang (3)

Sangat Sering (5)

Tinggi (15)

• validasi data masukan • pengendalian pengolahan internal • integritas pesan • validasi data keluaran • kebijakan tentang penggun aan pengendalian kriptografi • manajem en kunci

Sedang (3)

Sangat Sering (5)

Tinggi (15)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • pengendalian perangkat lunak yang operasional • pengendalian akses terhadap kode sumber program • prosedur pengendalian perubahan • manajemen kapasitas • BCP, DRP

2014



100

10

Proses Identifikasi Ketunggalan Data

Subdit PDAK


menyelesaikan masalah • Sistem masih mencatat ganda oleh data yang seharusnya tunggal, karena adanya penduduk yang menggunakan contact lens, sidik jari yang kotor atau halus, dan lainlain • Adanya koneksi jaringan yang lemah (bandwidth kecil) • Kurangnya pengetahuan kemampuan tim dalam menangani masalah • Tidak adanya prosedur baku dalam menangani masalah aplikasi • Tidak melakukan dokumentasi dalam

dan DRC • Terdapat penduduk yang teridentifikasi ganda oleh sistem, padahal jika dilihat secara kasat mata penduduk tersebut tunggal • Proses identifikasi ketunggalan data berjalan lambat • Tidak diketahui proses penanganan yang tepat dalam mengatasi masalah

Sedang (3)

Sangat Sering (5)

Tinggi (15)

• validasi data masukan • pengendalian pengolahan internal • integritas pesan • validasi data keluaran • kebijakan tentang penggunaan pengendalian kriptografi • manajemen kunci

Sedang (3)

Sangat Sering (5)

Tinggi (15)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • pengendalian perangkat lunak yang operasional • pengendalian akses terhadap kode sumber program • prosedur pengendalian perubahan • manajemen kapasitas • BCP, DRP dan DRC

2014



101

11

Proses Penyimpanan data

Subdit PDAK


menyelesaikan masalah • Kegagalan penyimpanan data • Storage Rusak

• Rusaknya hasil penyimpanan data • Hilangnya data yang tersimpan dalam sistem

Kecil (2)

Sangat Jarang (1)

Rendah (2)

• Perlu adanya manajemen kapasitas terkait media penyimpanan data • Perlu adanya prosedur dan penjadwalan terkait penyimpanan data

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • BCP, DRP dan DRC

Segera

Teknologi



102 12

Aplikasi Message Queue (MQ)

Subdit PDAK


• Terdapat error pada saat penerimaan data • Tidak ada dokumentasi terhadap source code aplikasi

• Proses penerimaan data terhambat saat jumlah perekaman sangat besar • Proses Troubleshooting aplikasi terhambat

Sedang (3)

Sangat Sering (5)

Tinggi (15)

13

Aplikasi Automated Biometric Iden-

Subdit PDAK


• Terdapat error pada saat identifikasi ketunggalan data • Tidak ada dokumentasi

• Proses penerimaan data terhambat • Proses Troubleshooting aplikasi terhambat

Sedang (3)

Sangat Sering (5)

Tinggi (15)

• Adanya Role Authorization • Adanya prosedur yang mewajibkan dokumentasi error terhadap setiap masalah yang dihadapi dan cara penyelesaiannya. • Perlu dimintanya dokumentasi source code dari vendor aplikasi • Adanya Role Authorization • Adanya prosedur yang

Sedang (3)

Sangat Sering (5)

Tinggi (15)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • Pembuatan aplikasi yang menyimpan log error dan solusi penyelesaiannya • Manajemen kapasitas • BCP, DRP dan DRC

2014

Sedang (3)

Sangat Sering (5)

Tinggi (15)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait

2014



103 tification System (ABIS)

14

Aplikasi Biometric Middleware (BMW )

terhadap source code aplikasi

Subdit PDAK


• Terdapat error pada saat sebagai berikut: - mengambil data dari aplikasi MQ - selanjutnya data tersebut dikirimkan ke aplikasi ABIS untuk dilakukan proses identifikasi ketunggalan

• Proses penerimaan data terhambat • Proses Troubleshooting aplikasi terhambat

Sedang (3)

Sangat Sering (5)

Tinggi (15)

mewajibkan dokumentasi error terhadap setiap masalah yang dihadapi dan cara penyelesaiannya. • Perlu dimintanya dokumentasi source code dari vendor aplikasi • Adanya Role Authorization • Adanya prosedur yang mewajibkan dokumentasi error terhadap setiap

Sistem Manajemen Keamanan Informasi (SMKI) • Pembuatan aplikasi yang menyimpan log error dan solusi penyelesaiannya • Manajemen kapasitas • BCP, DRP dan DRC

Sedang (3)

Sangat Sering (5)

Tinggi (15)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • Pembuatan aplikasi

2014



104

15

Aplikasi IDMS

Subdit PDAK


- Setelah aplikasi ABIS memberikan hasil status tunggal ataupun ganda terhadap data tersebut, maka aplikasi BMW mengirimkan data tersebut ke aplikasi IDMS Pusat untuk disimpan di dalam database dan secara bersamaan aplikasi BMW mengirimkan status notifikasi tunggal/ganda ke daerah melalui aplikasi MQ • Tidak ada dokumentasi terhadap source code aplikasi • Terdapat error pada saat penyimpanan data • Tidak ada dokumentasi terhadap source code aplikasi

masalah yang dihadapi dan cara penyelesaiannya. • Perlu dimintanya dokumentasi source code dari vendor aplikasi

• Proses penyimpanan data terhambat • Data tidak sesuai dengan yang seharusnya • Proses

Kecil (2)

Sangat Jarang (1)

Rendah (2)

• Adanya Role Authorization • Adanya prosedur yang mewajib-

yang menyimpan log error dan solusi penyelesaiannya • Manajemen kapasitas • BCP, DRP dan DRC

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem

2014



105 Troubleshooting aplikasi terhambat

kan dokumentasi error terhadap setiap masalah yang dihadapi dan cara penyelesaiannya. • Perlu dimintanya dokumentasi source code dari vendor aplikasi

Manajemen Keamanan Informasi (SMKI) • Pembuatan aplikasi yang menyimpan log error dan solusi penyelesaiannya • BCP, DRP dan DRC



106 16

Database eKTP

Subdit PDAK


• Adanya port yang dibuka untuk komunikasi data • Sharing Password

• Hacker • Virus • Orang yang tidak berwenang

Sedang (3)

Jarang (2)

Menengah (6)

• CCTV • Manajemen Akses ke dalam database Server (Remote Access) • Firewall, Anti Virus • Adanya back up data dan dokumen • Adanya Role Authorization • Perlu adanya prosedur enkripsi terhadap data yang telah selesai diolah pada database. • Adanya prosedur

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • Fingerprint di setiap akses ruangan • Pembelian aplikasi yang dapat mengelola server (kapasitas dan majemen port) (Orion)

2014



107 manajemen port • Adanya sanksi yang tinggi apabila melakukan pemanfaatan, pembocoran data, dan sharing password kepada pihak yang tidak berwenang



108 17

Perangkat Server

Subdit PDAK


• Adanya port yang dibuka untuk komunikasi data • Tidak ada manajemen kapasitas

• Server tidak dapat diakses • Penyusupan sistem • Data tidak sesuai dengan yang seharusnya • Data dicuri, hilang dan rusak • Server berjalan lambat

Sedang (3)

Sangat Sering (5)

Tinggi (15)

• Adanya CCTV • Manajemen Akses ke dalam Server (dapat dilakukan Remote Access) • Firewall, Anti Virus • Adanya back up data dan dokumen • Adanya Role Authorization • Melakukan inventarisasi peralatan TI secara rutin untuk menghindari hilang-

Sedang (3)

Sangat Sering (5)

Tinggi (15)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • Fingerprint di setiap akses ruangan • Pembelian aplikasi yang dapat mengelola server (kapasitas dan majemen port) (Orion) • BCP, DRP dan DRC

2014



109 nya barang inventaris TI • Melakukan update antivirus dan scanning virus secara berkala • Perlu adanya Manajemen Kapasitas server • Adanya prosedur manajemen port



110 18

Perangkat Jaringan Komunikasi

Subdit PDAK


• Adanya port yang dibuka untuk komunikasi data • Tidak ada manajemen kapasitas

• Pencurian dan perubahan data • Penyusupan sistem • Jaringan komunikasi lambat atau tidak bisa diakses sama sekali

Sedang (3)

Jarang (2)

Menengah (6)

• Adanya CCTV • Manajemen Akses ke dalam core Switch (Remote Access) • Firewall, Anti Virus • Adanya back up konfigurasi • Adanya Role Authorization • Adanya prosedur manajemen port

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • Fingerprint di setiap akses ruangan • Pembelian aplikasi yang dapat mengelola server (kapasitas dan majemen port) (Orion) • Penambahan kapasitas bandwidth

2014



111 19

Perangkat Storage

Subdit PDAK


• Tidak ada manajemen kapasitas • Tidak ada pemantauan (monitoring) penggunaan fasilitas teknologi, informasi dan komunikasi (TIK) secara komprehensif

• Data tidak sesuai dengan yang seharusnya • Data dicuri, hilang dan rusak • Kapasitas memory tidak mencukupi • Storage rusak/crash

Kecil (2)

Sangat Jarang (1)

Rendah (2)

20

Perangkat Pendukung (UPS, AC dan lainlain)

Subdit PDAK

Availability

• Kurangnya pemeliharaan sarana pendukung • Tidak ada manajemen kapasitas

• Ruangan menjadi kurang dingin menyebabkan proses menjadi lambat • Kondisi software dan hardware menjadi cepat rusak • Listrik mati

Kecil (2)

Sangat Jarang (1)

Rendah (2)

• Perlu adanya manajemen kapasitas terkait media penyimpanan data • Perlu adanya prosedur dan penjadwalan terkait penyimpanan data • Perlu adanya manajemen kapasitas terkait perangkat pendukung

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • Penambahan Storage baru

2014

Kecil (2)

Sangat Jarang (1)

Rendah (2)

Rendah


• Penyusunan SOP Data Center KTP Elektronik khususnya terkait Sistem Manajemen Keamanan Informasi (SMKI) • Penambahan jumlah perangkat yang baru

2014



112 Lampiran 2 : Form Kompilasi Analisis Risiko No.

1

Skenario Risiko

2

Konteks

Ancaman

Aset TI

Deskripsi Risiko TI (Risk Issue)

Probabilitas

Keuangan

Strategis

Operasional

Legal

Reputasi

7

8

9

10

11

12

3

4

5

6

Dampak

Severity

Inherent Risk

Efektivitas Kontrol Pro- Dambabipak litas

13

14

15

16

Probabilitas Residual 17

Dampak Residual

Residual Risk

18

19

A

Aplikasi

1

Software Integrity

Aplikasi MQ, BMW, ABIS dan IDMS



kesengajaan memodifikasi aplikasi menyebabkan kesalahan data

2

1

2

3

1

1

3,00

6,00

50%

67%

1,00

0,99

0,99

2

Software Integrity




3

1

1

2

1

1

2,00

6,00

50%

67%

1,50

0,66

0,99

3

Software Integrity




kesengajaan memodifikasi aplikasi menyebabkan terjadinya fraud Ketidaksengajaan kesalahan dalam pengelolaan perubahan atau konfigurasi aplikasi menyebabkan terjadinya fraud

3

2

2

2

2

2

2,00

6,00

50%

67%

1,50

0,66

0,99



113 4

Software Integrity




Ketidaksengajaan melakukan modifikasi aplikasi menyebabkan hasil yang tidak diharapkan

2

4

1

5

2

4

5,00

10,00

75%

0%

0,50

5,00

2,50

B

Fasilitas

5


Power

Failure

UPS, Prosedur pengelolaan layanan dengan pihak ketiga

listrik yang tidak stabil

3

2

1

2

1

2

2,00

6,00

38%

63%

1,86

0,74

1,38

C

Infrastruktur

6

New Technologies

Strategi TI untuk core business

Failure

Arsitektur TI

2

1

1

2

1

1

2,00

4,00

33%

50%

1,34

1,00

1,34


Software operational core business

Failure

Sistem operasi, software database, software backup

Kegagalan adopsi dan eksploitasi teknologi baru secara tepat waktu Software aplikasi untuk operasional sudah usang (teknologi, poorly documented, expensive to maintain, difficult to extend, not integrated in

7

1

1

1

1

1

1

1,00

1,00

17%

67%

0,83

0,33

0,27



114

8


Proyek eKTP

Failure


9


Proyek eKTP

Failure


10


Infrastruktur

Malicious

Laptop

11


Infrastruktur

Malicious

Server

12

Destruction of Infrastructure


Infrastruktur TI

13


Infrastruktur core business Infrastruktur core business


laptop

14

Logical trespassing

Hak Akses

Malicious

Sistem database

current architecture) Gangguan operasional ketika aplikasi baru mulai digunakan persiapan pengguna yang kurang memadai untuk menggunakan dan mengeksploitasi aplikasi baru pencurian laptop yang di dalamnya berisi data sensitif pencurian server pengembangan terjadinya sabotase pada DC kerusakan laptop yang berisi data sensitif Pengguna mendapatkan akses ke informasi yang

3

2

2

3

1

2

3,00

9,00

50%

67%

1,50

0,99

1,49

3

2

1

2

1

2

2,00

6,00

50%

67%

1,50

0,66

0,99

1

4

1

1

4

4

4,00

4,00

50%

75%

0,50

1,00

0,50

1

3

1

3

3

3

3,00

3,00

50%

75%

0,50

0,75

0,38

3

5

5

5

2

5

5,00

15,00

0%

0%

3,00

5,00

15,00

2

4

1

5

2

4

5,00

10,00

75%

0%

0,50

5,00

2,50

2

2

1

2

1

2

2,00

4,00

70%

20%

0,60

1,60

0,96



115 tidak sah 15


Patching/up grade sistem operasi untuk core business

Failure

Sistem operasi

kegagalan patching/ upgrade sistem operasi untuk core business kegagalan patching/ upgrade sistem database untuk core business Banjir

2

1

1

2

1

1

2,00

4,00

20%

90%

1,60

0,20

0,32

16


Patching/up grade sistem operasi untuk core business

Failure

sistem database

2

1

1

2

1

1

2,00

4,00

20%

90%

1,60

0,20

0,32

17

Acts of nature

Bencana alam

Natural

Infrastruktur, SDM

1

1

2

2

1

1

2,00

2,00

75%

25%

0,25

1,50

0,38

18

Acts of nature

Bencana alam

Natural

Infrastruktur, SDM

Gempa Bumi

2

1

1

2

1

1

2,00

4,00

75%

25%

0,50

1,50

0,75

19

Acts of nature

Bencana alam

Natural

Infrastruktur, SDM

Petir

4

1

1

2

1

1

2,00

8,00

75%

25%

1,00

1,50

1,50

D

Informasi/Data

20

Data(base) Integrity

Data pelaporan (core database)

Failure, Malicious

Data

1

3

2

3

4

3

4,00

4,00

70%

10%

0,30

3,60

1,08

Data pelaporan (core database) Data pelaporan

Failure, Malicious

Data

Kesengajaan menghapus data yang menyebabkan kehilangan data Pencurian data

21


1

3

2

3

4

3

4,00

4,00

70%

10%

0,30

3,60

1,08

22


Failure, Malicious

Data

Kesengajaan memodifikasi

2

4

2

3

4

4

4,00

8,00

70%

10%

0,60

3,60

2,16



116 (core database)

23


Data pelaporan (core database) Hak Akses

Failure, Malicious

Data

24

Logical trespassing

Malicious

PC

25

Logical trespassing

Hak Akses

Malicious

Aplikasi core

26

Logical trespassing

Hak Akses

Malicious

Data

E

Proses

27

Project Quality

Proyek eKTP

Failure

Proses penerimaan barang/ jasa proses penjaminan kualitas

28

Selection/ performance of third-party

penyedia jasa untuk support

Failure

Proses pengelolaan layanan

data yang menyebabkan ketidakakuratan data Database corrupt

2

2

2

3

2

2

3,00

6,00

70%

10%

0,60

2,70

1,62

Akses ilegal atas peralatan komputer end user

1

2

1

2

1

2

2,00

2,00

70%

20%

0,30

1,60

0,48

Ilegal logical access pada sistem aplikasi core Pengguna mencuri data sensitif

2

2

1

2

1

2

2,00

4,00

70%

20%

0,60

1,60

0,96

2

3

1

1

1

3

3,00

6,00

70%

20%

0,60

2,40

1,44

kualitas yang tidak memadai atas penyerahan proyek (terkait dengan dokumentasi software, kesesuaian dengan persyaratan fungsional) Penyampaian service dan support oleh

3

2

2

2

2

2

2,00

6,00

50%

67%

1,50

0,66

0,99

2

1

1

2

1

1

2,00

4,00

50%

63%

1,00

0,74

0,74



117 suppliers

operasional core business

pihak ketiga

29

Infrastructure (hardware)

Perangkat Server core

Accidental

Server core

30



Malicious

Server core

31


Perangkat jaringan

Accidental

Switch, router

32


Perangkat jaringan

Malicious

Switch, router, LAN

33


Perangkat keamanan

Accidental

Firewall, IPS

34


Kinerja Aplikasi MQ, BMW, ABIS dan IDMS

Failure


35

System capacity

penyediaan kapasitas Aplikasi MQ, BMW, ABIS dan IDMS

Failure

Server core

vendor tidak sesuai dengan SLA / perjanjian kesalahan konfigurasi server core kerusakan server core

2

1

1

3

1

1

3,00

6,00

50%

75%

1,00

0,75

0,75

2

2

1

3

1

2

3,00

6,00

50%

75%

1,00

0,75

0,75

kesalahan konfigurasi perangkat jaringan gangguan jaringan

2

1

1

2

1

1

2,00

4,00

50%

75%

1,00

0,50

0,50

3

1

1

2

1

1

2,00

6,00

50%

75%

1,50

0,50

0,75

kesalahan konfigurasi perangkat keamanan gangguan secara reguler pada Aplikasi MQ, BMW, ABIS dan IDMS sistem tidak dapat menangani volume transaksi ketika jumlah pengguna naik

2

1

1

2

1

1

2,00

4,00

50%

75%

1,00

0,50

0,50

2

3

1

2

1

3

3,00

6,00

63%

38%

0,74

1,86

1,38

3

5

5

3

1

5

5,00

15,00

25%

0%

2,25

5,00

11,25



118 36

System capacity

penyediaan kapasitas Aplikasi MQ, BMW, ABIS dan IDMS

Failure

Server core

37

Ageing of infrastructural software

umur software operasional core business

Failure

sistem operasi

38



Failure

Software backup

39


Failure

sistem database

40

Malware

Malicious

Server core

41

Malware

umur software operasional core business Infrastruktur core business Infrastruktur core business

Malicious, Accidental

Laptop

sistem tidak dapat menangani beban ketika aplikasi atau inisiatif baru di-deploy tidak mendukungnya versi sistem operasi saat digunakan untuk operasional tidak mendukungnya versi aplikasi backup saat digunakan untuk operasional Old version database masih digunakan

2

2

1

3

1

2

3,00

6,00

50%

0%

1,00

3,00

3,00

1

1

1

1

1

1

1,00

1,00

80%

40%

0,20

0,60

0,12

1

1

1

1

1

1

1,00

1,00

80%

40%

0,20

0,60

0,12

1

1

1

1

1

1

1,00

1,00

80%

40%

0,20

0,60

0,12

Intrusion malware pada server core Intrusion malware pada laptop yang berisi data sensitif

2

1

1

3

1

1

3,00

6,00

63%

25%

0,74

2,25

1,67

3

3

1

3

1

3

3,00

9,00

63%

25%

1,11

2,25

2,50



119 42

Malware

Infrastruktur core business

Malicious

Sistem operasi

43

Malware


Malicious, Accidental

sistem database

44

Malware


Malicious

Software backup

45

Malware


Malicious


penyusupan malware pada sistem operasi core business mengakibatkan kerusakan sistem operasi penyusupan malware pada sistem database core business mengakibatkan kerusakan sistem database penyusupan malware pada software backup core business mengakibatkan kerusakan software backup penyusupan malicious code pada sistem aplikasi dan mengakibatkan kerusakan sistem

3

2

1

2

1

2

2,00

6,00

63%

25%

1,11

1,50

1,67

2

2

1

2

1

2

2,00

4,00

63%

25%

0,74

1,50

1,11

2

2

1

2

1

2

2,00

4,00

63%

25%

0,74

1,50

1,11

3

2

1

2

1

2

2,00

6,00

63%

25%

1,11

1,50

1,67



120 46

Logical attacks

Serangan dari internet terhadap sistem core business

Malicious

Proses memastikan keamanan sistem, arsitektur aplikasi

serangan virus komputer

3

1

1

3

1

1

3,00

9,00

80%

50%

0,60

1,50

0,90

47

Logical attacks


Malicious


Denial of Service attack

3

1

1

3

1

1

3,00

9,00

80%

50%

0,60

1,50

0,90

48

Logical attacks


Malicious


Web defacement

3

3

1

2

1

3

3,00

9,00

80%

50%

0,60

1,50

0,90

49

Logical attacks


Malicious


Pengguna tidak sah mencoba masuk ke sistem core business

2

2

1

2

1

2

2,00

4,00

80%

50%

0,40

1,00

0,40



121 50

Information media

Media portable

Failure

SOP Data Center eKTP

51

Information media

Media portable

Failure


52

Information media

Media portable

Failure

53

Logical trespassing

Hak Akses

Malicious

SOP Data Center eKTP SOP Data Center eKTP

54

Logical trespassing

Hak Akses

Malicious


55


Kegiatan backup

Failure

Prosedur backup data

56


Kegiatan backup

Failure


terbukanya data sensitif yang ada pada media portable (misalnya CD, USB drive, disk portable) kehilangan data sensitif yang ada pada media portable (misalnya CD, USB drive, disk portable) kehilangan media backup

3

3

1

2

1

3

3,00

9,00

63%

50%

1,11

1,50

1,67

2

2

1

2

1

2

2,00

4,00

63%

50%

0,74

1,00

0,74

1

2

1

2

1

2

2,00

2,00

63%

50%

0,37

1,00

0,37

Ilegal logical access pada proses administrasi Tidak diketahuinya aktivitas penyalahgunaan wewenang Penyalahgunaan backup data oleh pihak internal Penyalahgunaan backup data oleh pihak eksternal

2

2

1

1

1

2

2,00

4,00

70%

20%

0,60

1,60

0,96

3

1

1

2

1

1

2,00

6,00

70%

20%

0,90

1,60

1,44

1

2

1

1

2

2

2,00

2,00

20%

90%

0,80

0,20

0,16

2

3

1

1

2

3

3,00

6,00

20%

90%

1,60

0,30

0,48



122 57


Kegiatan backup

Failure


kegagalan backup data

2

2

1

2

1

2

2,00

4,00

20%

90%

1,60

0,20

0,32

58


Kegiatan backup

Failure

kehilangan media backup

1

3

1

2

1

3

3,00

3,00

20%

90%

0,80

0,30

0,24

59


Kegiatan backup

Failure

SOP Data Center eKTP Prosedur backup data

2

2

1

2

1

2

2,00

4,00

20%

90%

1,60

0,20

0,32

60


Kegiatan backup

Failure


2

2

1

2

1

2

2,00

4,00

20%

90%

1,60

0,20

0,32

61


Lisensi software untuk core business

Failure Malicious

Proses kepatuhan terhadap lisensi

tidak dapat dilakukan restore atas backup sesuai checkpoint kesalahan saat melakukan backup data Ketidakpatuhan terhadap lisensi software (penggunaan software yang tidak berlisensi)

2

2

1

2

3

2

3,00

6,00

75%

63%

0,50

1,11

0,56

F

SDM

62

IT staff

Staf TI dalam operasional core business

Failure

SDM

staf TI mengundurkan diri / mutasi sehingga menyebabkan kehilangan staf yang kompeten di bidangnya

2

4

1

5

2

4

5,00

10,00

75%

0%

0,50

5,00

2,50



123 63

IT staff


Failure

Proses Pengelolaan SDM TI

tidak tersedianya staf TI saat dibutuhkan

2

4

1

5

2

4

5,00

10,00

75%

0%

0,50

5,00

2,50

64


Keahlian staf TI dalam operasional core business

Failure

SDM

adanya gap keahlian staf TI dengan teknologi yang digunakan di core business

2

2

2

3

1

2

3,00

6,00

50%

67%

1,00

0,99

0,99



124 Lampiran 3 : Form Pengukuran Efektivitas Kontrol

Keterangan Efektivitas Kontrol

Efek terhadap probabilitas dan dampak

Y=1

Tidak ada/sangat rendah/ tidak diperhitungkan = 0% Menengah Rendah (MR) = 25% Sedang = 50% Menengah Tinggi (MT) = 75% Tinggi = 100%

T=0

Essential Control

Control Reference

Control Title

1

2

3

Pertanyaan

Efektivitas Kontrol

Pengaruh

Desain

Operasi

Frequency

Dampak

4

5

6

7

8

Apakah memiliki arah perencanaan Teknologi yang ditetapkan manajemen? Apakah ada penetapan proses untuk memantau sektor core business, teknologi, infrastruktur, tren lingkungan hukum dan peraturan. Memasukkan konsekuensi dari tren ini ke dalam pengembangan rencana infrastruktur teknologi TI? Apakah strategi dan tujuan bisnis sudah dimasukkan ke dalam strategi SI/TI?

Y (Grand Design SIAK)

Y

Tinggi

Sedang

T

T

Rendah

Rendah


Y

Rendah

Tinggi

66,67%

66,67%

33,33%

50%

1. New Technologies Ya

PO3

PO3.1

Technological Direction Planning

Ya

PO3

PO3.3

Monitor Future Trends and Regulations

Ya

PM1

PM1.4

Translate the Business Strategy and Goals into IT Strategy and Goals

Skor



125 2. Ageing of application software Ya

AI2

AI2.6

Major Upgrades to Existing Systems

Ya

AI2

AI2.10

Application Software Maintenance

Apakah dalam hal perubahan besar pada sistem yang ada mengakibatkan perubahan signifikan dalam desain saat ini dan mengikuti proses perkembangan yang sama seperti yang digunakan untuk pengembangan sistem yang baru? Apakah ada pengelolaan software aplikasi?

Ya

PO1

PO1.3

Assessment of Current Capability and Performance

Apakah ada penilaian kemampuan dan kinerja software saat ini?

Skor

Y

Y

Rendah

Tinggi

Y (pengelolaan lisensi software aplikasi yang dimasukkan dalam rencana kerja tahunan (dengan pengadaan kegiatan layanan keahlian DC)) T

Y

Sedang

Tinggi

T

Rendah

Rendah

66,67%

66,67%

16,67%

66,67%

Y (SOP Data Center eKTP)

Y

Sedang

Sedang

Y

Y

Sedang

Sedang

3. Software Implementation Ya

AI2

AI2.8

Software Quality Assurance (QA)

Ya

AI4

AI4.4

Knowledge Transfer to Operations and Support Staff

Apakah ada pengembangan sumber daya dan rencana pelaksanaan software QA untuk memperoleh kualitas yang ditentukan dalam persyaratan yang sudah didefinisikan pada kebijakan dan prosedur? Apakah ada sistem untuk transfer pengetahuan bagi staf pendukung dan operasional?



126 Ya

AI7

AI7.3

Impementation Plan

Apakah ada perencanaan implementasi software yang disetujui oleh pihak terkait?

Skor


Y

Sedang

Tinggi

66,67%

66,67%

50%

66,67%

Y

Y

Tinggi

Tinggi


Y

Sedang

Sedang

Y

Y

Rendah

Sedang

100%

66,67%

50%

66,67%

Y (pengadaan secara elektronik)

Y

Sedang

Tinggi

Y (perjanjian kontrak kerja, SLA)

Y

Tinggi

Sedang

Y

Y

Sedang

Tinggi

4. Project Quality Ya

PO8

PO8.3

Development and Acquisition Standards

Ya

PO10

PO10.10

Project Quality Plan

Ya

PO3

PO3.4

Technological Standards

Apakah ada standar akuisisi dan pengembangan proyek serta penandatangan proyek apabila sudah selesai? Apakah ada rencana manajemen mutu yang menggambarkan sistem kualitas proyek dan bagaimana hal itu dilaksanakan dan rencana tersebut secara resmi dikaji dan disetujui oleh semua pihak yang berkepentingan dan kemudian dimasukkan ke dalam rencana proyek terpadu? Apakah ada forum / komite teknologi yang memberikan solusi teknologi yang konsisten, efektif dan aman bagi organisasi?

Skor 5. Selection/performance of third-party suppliers Ya

AI5

AI5.3

Supplier Selection

Ya

DS2

DS2.2

Supplier Relationship Management

Apakah pemilihan vendor dilakukan secara transparan dan akuntabel? Apakah ada SLA dengan vendor?

Ya

DS2

DS2.3

Supplier Risk Management

Apakah ada pengelolaan risiko terhadap vendor?



127 Ya

DS2

DS2.4

Supplier Performance Monitoring

Apakah ada monitoring kinerja vendor?

Y (perjanjian kontrak kerja, SLA)

Y

Rendah

Tinggi

75%

75%

25%

75%

Apakah ada pengembangan dan pengelolaan kebijakan untuk mendukung strategi TI? Apakah ada prosedur background checks pada proses penerimaan pegawai TI, kontrak dan vendor?

Y

Y

Sedang

Tinggi

Y

Y

Sedang

Tinggi

Skor 6. Infrastructure Theft Ya

PO6

PO6.3

IT Policies Management

Ya

PO7

PO7.6

Personnel Clearance Procedures

Ya

AI3

AI3.2

Infrastructure Resource Protection and Availability

Apakah ada langkah pengendalian internal, keamanan dan auditability selama konfigurasi, integrasi dan pemeliharaan perangkat keras dan perangkat lunak infrastruktur untuk melindungi sumber daya dan menjamin ketersediaan dan integritas?

Y

Y

Tinggi

Tinggi

Ya

DS12

DS12.2

Physical Security Measures

Apakah sudah menerapkan langkah-langkah keamanan fisik sesuai dengan kebutuhan organisasi untuk mengamankan lokasi dan aset fisik. Langkah langkah keamanan fisik harus mampu secara efektif mencegah, mendeteksi dan mengurangi risiko yang berkaitan dengan pencurian?

Y (penempatan CCTV pada tempat-tempat terbatas)

Y

Rendah

Rendah

75%

75%

50%

75%

Skor



128 7. Destruction of Infrastructure Ya

DS12

DS12.2


Ya

DS12

DS12.3

Physical Access

Ya

DS12

DS12.5

Physical Facilities Management

Ya

DS12

DS12.4

Protection Against Enironmental Factors

Apakah sudah menerapkan langkah-langkah keamanan fisik sesuai dengan kebutuhan organisasi untuk mengamankan lokasi dan aset fisik. Langkah langkah keaman fisik harus mampu secara efektif mencegah, mendeteksi dan mengurangi risiko yang berkaitan dengan pencurian? Apakah sudah menetapkan dan menerapkan prosedur untuk memberikan, membatasi dan mencabut hak akses ke lokasi bangunan dan tempat lain sesuai dengan kebutuhan organisasi, termasuk keadaan darurat. Akses ke lokasi bangunan dan tempat harus dibenarkan, resmi dicatat dan dimonitor. Ini harus berlaku untuk semua orang yang memasuki lokasi, termasuk staf, pegawai kontrak, klien, vendor, pengunjung atau pihak ketiga lainnya? Apakah ada pengelolaan fasilitas fisik?

Y (belum optimal, sangat terbatas)

Y (belum optimal, sangat terbatas)

Tinggi

Rendah

Y

Y

Rendah

Rendah

Y

Y

Rendah

Rendah

Apakah sudah merancang dan mengimplementasikan langkahlangkah untuk perlindungan terhadap faktor lingkungan. Memasang peralatan khusus untuk memantau mengendalikan lingkungan?

Y

Y

Rendah

Rendah



129 100%

100%

0

0

Apakah ada prosedur pengelolaan proses penerimaan pegawai TI selaras dengan kebijakan organiasi? Apakah tersedia training yang berorientasi pada pencapaian tujuan organisasi? Apakah sudah meminimalkan ketergantungan terhadap personel individu, dengan membangun dokumentasi , knowledge management system, cadangan staf? Apakah struktur organisasi sesuai kebutuhan bisnis?

T

T

Rendah

Rendah

Y (program pelatihan tiap tahun)

Y

Tinggi

Rendah

Y (pembentukan tim proyek)

Y

MT

Rendah

Y

Y

Tinggi

Rendah

Apakah sudah diatur untuk setiap perubahan dan penghentian pekerjaan dilakukan transfer pengetahuan, hak akses dihapus?

Y

Y

Sedang

Rendah

80%

80%

75%

0%

T

T

Rendah

Rendah

Y

Y

Tinggi

Rendah

Skor 8. IT Staf Ya

PO7

PO7.1

Personnel Recruitment and Retention

Ya

PO7

PO7.4

Personnel Training

Ya

PO7

PO7.5

Dependence Upon Individuals

Ya

PO4

PO4.5

IT Organisational Structure

Ya

PO7

PO7.8

Job Change and Termination

Skor 9. IT expertise and skills Ya

PO7

PO7.1

Personnel Recruitment and Retention

Ya

PO7

PO7.4

Personnel Training

Apakah ada prosedur pengelolaan proses penerimaan pegawai TI selaras dengan kebijakan organiasi? Apakah tersedia training yang berorientasi pada pencapaian tujuan organisasi?



130 Ya

PO7

PO7.5

Dependence Upon Individuals

Ya

PO7

PO7.7

Employee Job Performance Evaluation

Apakah sudah meminimalkan ketergantungan terhadap personel individu, dengan membangun dokumentasi, knowledge management system, cadangan staf? Apakah ada evaluasi kinerja pegawai?

Skor

Y (pembentukan tim proyek (tim teknis / tenaga ahli)

Y

MT

Tinggi

Y (DP3), audit kinerja

Y

MR

Tinggi

75%

75%

50%

68,75%

10. Software integrity Ya

AI2

AI2.10


Apakah ada kebijakan pengelolaan software aplikasi?

Y (SOP DC e-KTP)

Y

Tinggi

Tinggi

Ya

AI6

AI6.1

Change Standards and Procedures

Apakah ada SOP change management?

T

T

Rendah

Rendah

Ya

AI7

AI7.9

Post Implementation Review

Apakah ada review setelah implementasi?

Y

Y

Rendah

Tinggi

Ya

DS5

DS5.3

Identity Managemen

Y

Y

Tinggi

TInggi

Ya

DS9

DS9.3

Configuration Integrity Review

Apakah sudah memastikan bahwa semua pengguna (internal, eksternal dan pegawai kontrak) dan aktivitas mereka pada sistem TI (aplikasi organisasi, lingkungan TI, operasi sistem, pengembangan dan pemeliharaan) teridentifikasi? Apakah secara berkala mereview data konfigurasi untuk memverifikasi dan mengkonfirmasi integritas dari konfigurasi saat ini?

Y

Y

Rendah

Tinggi



131 Ya

AC3

AC3

Accuracy, Completeness and Authenticity Checks

Ya

AC4

AC4

Processing Integrity and Validity

Ya

AC5

AC5

Output Review, Reconciliation and Error Handling

Apakah ada pengecekan bahwa transaksi yang terjadi sudah akurat, lengkap dan valid, memvalidasi data yang masuk dan mengedit untuk koreksi data? Apakah ada proses validasi dan integritas di seluruh proses pengolahan data? Apakah ada prosedur dan PIC yang bertanggung jawab terhadap output dan kesalahan data?

Skor

Y

Y

Tinggi

Tinggi

Y

Y

Tinggi

Sedang

Y

Y

Tinggi

Rendah

75%

75%

50%

68,75%

Y

Y

Tinggi

Tinggi

Y

Y

Rendah

Rendah

11. Infrastructure (hardware) Ya

AI3

AI3.2


Ya

DS12

DS12.2


Apakah ada pengendalian internal yang menjamin ketersediaan dan melindugi sumber daya infrastruktur? Apakah sudah menerapkan langkah-langkah keamanan fisik sesuai dengan kebutuhan organisasi untuk mengamankan lokasi dan aset fisik. Langkah langkah keaman fisik harus mampu secara efektif mencegah, mendeteksi dan mengurangi risiko yang berkaitan dengan pencurian?



132 Ya

DS12

DS12.3

Physical Access

Ya

DS9

DS9.3


Apakah sudah menetapkan dan menerapkan prosedur untuk memberikan, membatasi dan mencabut hak akses ke lokasi bangunan dan tempat lain sesuai dengan kebutuhan organisasi, termasuk keadaan darurat. Akses ke lokasi bangunan dan tempat harus dibenarkan, resmi, dicatat dan dimonitor. Ini harus berlaku untuk semua orang yang memasuki lokasi, termasuk staf, pegawai kontrak, klien, vendor, pengunjung atau pihak ketiga lainnya? Apakah secara berkala mereview data konfigurasi untuk memverifikasi dan mengkonfirmasi integritas dari konfigurasi saat ini?

Skor

Y

Y

Rendah

Rendah

Y

Y

Tinggi

Tinggi

100%

75%

50%

75%

12. Software performance Ya

AI2

AI2.10


Apakah ada pengelolaan software aplikasi?

Y

Y

Tinggi

Tinggi

Ya

DS3

DS3.5

Monitoring and Reporting

Apakah kinerja software dimonitoring dan dilaporkan?

Y

Y

Sedang

Sedang

Ya

DS10

DS10.2

Problem Tracking and Resolution

Apakah ada system audit trail dan tracking problem?

Y

Y

Sedang

Rendah

Ya

AI2

AI2.8

Software Quality Assurance (QA)

Apakah ada penjaminan kualitas software?

Y

T

Sedang

Rendah

100%

75%

62,50%

37,5%

Skor



133 13. System capacity Ya

DS3

DS3.1

Performance and Capacity Planning

Apakah ada perencanaan kapasitas?

Y

T

Rendah

Rendah

Ya

AI3

AI3.3


Apakah ada prosedur pengelolaan infrastruktur?

Y (SOP DC e-KTP)

Y

Sedang

Rendah

Ya

DS3

DS3.3

Future Performance and Capacity

Y

T

MR

Rendah

Ya

DS3

DS3.4

IT Resources Availability

Apakah melakukan forecasting/prediksi kinerja dan kapasitas sumber daya TI secara berkala untuk meminimalkan risiko gangguan layanan karena kapasitas tidak mencukupi atau penurunan kinerja? Apakah tersedia sumber daya TI?

Y

Y

MR

Rendah

100%

50%

25%

0%


Y

Tinggi

Sedang


Y

Tinggi

Tinggi

Skor 14. Ageing of Infrastructural Software Ya

PO3

PO3.2

Technological Infrastructure Plan

Ya

PO3

PO3.5

IT Architecture Board

Apakah rencana infrastruktur teknologi sesuai dengan rencana strategis TI dan dikelola dengan baik? Apakah memiliki arsitektur TI?

Ya

AI1

AI1.1

Definition and Maintenance of Business Functional and Technical Requirements

Apakah sudah melakukan identifikasi, prioritisasi, menentukan dan menyepakati kebutuhan teknisi dan fungsional organisasi?

Y

Y

Tinggi

Rendah

Ya

AI3

AI3.3


Apakah ada prosedur pengelolaan infrastruktur?

Y (SOP DC e-KTP)

Y

Rendah

Rendah



134 Ya

AI3

AI3.2


Apakah ada pengendalian internal yang menjamin ketersediaan dan melindugi sumber daya infrastruktur?

Skor

Y

Y

Tinggi

Sedang

100%

100%

80%

40%

15. Malware Ya

DS5

DS5.5

Security Testing, Surveillance and Monitoring

Apakah ada pengujian keamanan dan pemantauan?

Y

Y

Tinggi

MR

Ya

DS5

DS5.9

Malicious Software Prevention, Detection and Correction

Y

Y

Tinggi

MR

Ya

PO6

PO6.3


Y (Grand Design SIAK dan SOP DC e-KTP)

Y

MR

MR

Ya

PO6

PO6.4


Apakah sudah menggunakan tools untuk mencegah, mendeteksi dan memperbaiki kerusakan akibat malicious software? Apakah ada kebijakan yang mendukung strategi TI dan dikelola dengan baik? Apakah penegakan kebijakan TI kepada semua staf TI yang relevan, sehingga mereka menjadi bagian integral dari operasi organisasi?

Y

Y

MR

MR

100%

100%

62,5%

25%

Y (Grand Design SIAK dan SOP DC e-KTP)

Y

MR

MR

Y

T

Tinggi

Rendah

Skor 16. Logical attacks Ya

PO6

PO6.3


Ya

DS4

DS4.2

IT Continuity Plans

Apakah ada kebijakan yang mendukung strategi TI dan dikelola dengan baik? Apakah sudah memiliki perencanaan kelangsungan organisasi/TI?



135 Ya

DS5

DS5.5



Y (Pentes, alat monitoring)

Y

Tinggi

MR

Ya

DS5

DS5.9

Malicious Software Prevention, Detection and Correction

Y (anti virus)

Y

Tinggi

Tinggi

Ya

DS5

DS5.10

Network Security

Apakah sudah menggunakan tools untuk mencegah, mendeteksi dan memperbaiki kerusakan akibat malicious software? Apakah menggunakan perangkat keamanan?

Y (Firewall)

Y

MT

Tinggi

100%

80%

80%

50%

Y

Y

Sedang

Rendah

Y

Y

Tinggi

Sedang

Y (SOP DC e-KTP)

Y

Sedang

Tinggi

Y

Y

Sedang

Sedang

100%

100%

62,50%

50%

Skor 17. Information Media Ya

DS11

DS11.2

Storage and Retention Arrangements

Ya

DS11

DS11.4

Disposal

Ya

DS11

DS11.5

Backup and Restoration

DS11

DS11.3

Media Library Management System

Skor

Apakah sudah memiliki prosedur pengelolaan storage secara efektif dan efisien, dan prosedur tersebut sudah dijalankan? Apakah organisasi sudah menetapkan dan menerapkan prosedur untuk memastikan bahwa persyaratan untuk perlindungan data sensitif dan perangkat lunak terpenuhi ketika data dan perangkat keras dihanguskan/dibuang atau ditransfer? Apakah sudah memiliki prosedur backup dan restore data? Apakah sudah memiliki sistem pengelolaan media library untuk menjamin ketersediaan?



136 18. Utilities Performance Ya

DS4

DS4.8

IT Services Recovery and Resumption

Apakah memiliki prosedur pemulihan layanan TI?

Y

Y

Rendah

Tinggi

Ya

DS12

DS12.5

Physical Facilities Management

Apakah ada pengelolaan fasilitas fisik?

Y

Y

Tinggi

Tinggi

Ya

DS1

DS1.3

Service Level Agreements

Apakah sudah memiliki SLA pada layanan kritikal?

Y

Y

Sedang

Sedang

Ya

DS4

DS4.2

IT Continuity Plans

Apakah sudah memiliki perencanaan kelangsungan organisasi/TI?

Y

T

Rendah

Rendah

100%

75%

37,50%

62,5%

Skor 19. Data(base) integrity Ya

PO4

PO4.9

Data and System Ownership

Apakah unit kerja pemilik data sudah disediakan prosedur dan alat yang digunakan untuk membantu tanggung jawab terhadap data yang dimiliki?

Y

Y

Tinggi

MR

Ya

AI6

AI6.1

Change Standards and Procedures

Apakah sudah memiliki SOP tentang perubahan data?

Y (SOP DC e-KTP)

Y

Tinggi

Rendah

Ya

DS9

DS9.3


Apakah secara berkala mereview data konfigurasi untuk memverifikasi dan mengkonfirmasi integritas dari konfigurasi saat ini?

Y

T

Sedang

Rendah

Ya

DS11

DS11.2

Storage and Retention Arrangements

Apakah sudah memiliki prosedur pengelolaan storage secara efektif dan efisien, dan prosedur tersebut sudah dijalankan?

Y (SOP DC e-KTP)

Y

Sedang

Rendah



137 Ya

DS11

DS11.6

Security Requirements for Data Management

Apakah sudah mendefinisikan dan mengimplementasikan kebijakan dan prosedur untuk mengidentifikasi dan menerapkan persyaratan keamanan yang berlaku untuk pengolahan, penyimpanan, penerimaan dan output data?

Y (SOP DC e-KTP)

Y

Sedang

MR

100%

80%

70%

10%

Apakah sudah memastikan bahwa semua pengguna (internal, eksternal dan pegawai kontrak) dan aktivitas mereka pada sistem TI (aplikasi organisasi, lingkungan TI, operasi sistem, pengembangan dan pemeliharaan) teridentifikasi? Apakah ada pengelolaan user account?

Y

Y

Tinggi

Rendah

Y

Y

Sedang

Rendah

Skor 20. Logical trespassing Ya

DS5

DS5.3

Identity Management

Ya

DS5

DS5.4

User Account Management

Ya

DS5

DS5.5



Y (Pentes, alat monitoring)

Y

Tinggi

Sedang

Ya

PO4

PO4.14

Contracted Staff Policies and Procedures

Y (kontrak kerja)

Y

Sedang

Sedang

Ya

PO6

PO6.4


Apakah ada kebijakan dan prosedur yang mengatur kontrak pegawai, vendor, pegawai kontrak? Apakah penegakan kebijakan TI kepada semua staf TI yang relevan, sehingga mereka menjadi bagian integral dari operasi organisasi?

Y

Y

Sedang

Rendah



138 Skor

100%

100%

70%

20%

Y

Y

Tinggi

Sedang

Y

Y

Rendah

Tinggi

21. Operational IT errors Ya

PO7

PO7.4

Personnel Training

Ya

DS4

DS4.8


Apakah organisasi sudah menyediakan training yang selaras dengan tujuan organisasi? Apakah memiliki prosedur pemulihan layanan TI?

Ya

DS7

DS7.1

Identification of Education and Training Needs

Apakah kebutuhan pelatihan dan pendidikan sudah teridentifikasi?

Y

Y

Rendah

Tinggi

Ya

DS7

DS7.2

Delivery of Training and Education

Apakah delivery pengajar, mentor sudah sesuai dengan kualifikasi yang dipersyaratkan?

Y

Y

Rendah

Tinggi

Ya

DS13

DS13.1

Operations Procedures and Instructions

Apakah ada prosedur dan petunjuk operasional TI?

Y

Y

Rendah

Tinggi

100%

100%

20%

90%

Skor 22. Contractual Compliance Ya

AI5

AI5.2

Supplier Contract Management

Apakah ada pengelolaan perjanjian dengan vendor?

Y

Y

Tinggi

Sedang

Ya

DS2

DS2.2

Supplier

Apakah hubungan dengan vendor diformalkan dengan SLA?

Y

Y

Tinggi

Sedang



139 Ya

ME3

ME3.1

Identification of External Legal, Regulatory and Contractual Compliance Requirements

Ya

ME3

ME3.4

Positive Assurance of Compliance

Apakah ada identifikasi, secara terus menerus, hukum lokal dan internasional, peraturan, dan persyaratan eksternal lainnya yang harus dipenuhi untuk dimasukkan dalam kebijakan organisasi TI, standar, prosedur dan metodologi? Apakah organisasi selalu patuh terhadap kualitas?

Skor

Y

Y

Rendah

Sedang

Y

Y

Tinggi

Tinggi

100%

100%

75%

62,50%

23. Acts of Nature Ya

DS4

DS4.8


Apakah memiliki prosedur pemulihan layanan TI?

Y

Y

Tinggi

MR

Ya

DS12

DS12.1

Site Selection and Layout

Y

Y

Tinggi

MR

Ya

DS12

DS12.4

Protection Against Enironmental Factors

Apakah pemilihan lokasi penempatan aset TI sudah didefinisikan? Apakah sudah merancang dan mengimplementasikan langkahlangkah untuk perlindungan terhadap faktor lingkungan. Memasang peralatan khusus untuk memantau mengendalikan lingkungan?

Y

Y

Rendah

Sedang

Ya

DS4

DS4.2

IT Continuity Plans

Apakah sudah memiliki perencanaan kelangsungan organisasi/TI?

Y

T

Tinggi

Rendah

75%

75%

75%

25%

Skor



140 Lampiran 4 : Profil Risiko TI (RE3)

No.

Skenario Risiko

Konteks

Aset TI

Deskripsi Risiko TI (Risk Issue)

Kontrol yang Ada Saat Ini

Tingkat Risiko

Risk Appetite

Strategi/ Respon Risiko

Langkah Mitigasi

Komponen Penyusun Profil Risiko TI (RE3)

1

2

3

4

5

6

7

8

9

10

11

1

New Technologies

Strategi TI untuk core business

Arsitektur TI

Kegagalan adopsi dan eksploitasi teknologi baru secara tepat waktu yang cukup berdampak bagi efisienasi organisasi

Grand Design SIAK

1,34 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

2


Software operasional core business

Sistem operasi, software analisis, software database, software backup

Software aplikasi untuk operasional sudah usang (teknologi, poorly documented, expensive to maintain, difficult to extend, not integrated in current architecture)

Pengelolaan lisensi software aplikasi yang dimasukkan dalam rencana kerja tahunan

1,10 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

3


Proyek e-KTP

Aplikasi MQ, BMW, ABIS dan IDMS)

Gangguan operasional ketika aplikasi baru tersebut mulai digunakan

Penjaminan kualitas (QA), Training

1,49 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3



141 4


Proyek e-KTP

Aplikasi MQ, BMW, ABIS dan IDMS)

Persiapan pengguna yang kurang memadai untuk menggunakan dan mengeksploitasi aplikasi baru

Training bagi pegawai

0,99 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

5

Project Quality

Proyek e-KTP

Proses penerimaan barang/jasa, proses penjaminan kualitas

Kualitas yang tidak memadai atas penyerahan proyek (terkait dengan dokumentasi software, kesesuaian dengan persyaratan fungsional)

Kerangka Acuan Kerja dan Perjanjian Kontrak (Service Level Agreement (SLA))

0,99 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

6

Selection/perfor mance of thirdparty suppliers

Penyedia jasa untuk support operasional core business

Proses pengelolaan layanan pihak ketiga

Penyampaian Service dan Support oleh vendor tidak sesuai SLA/perjanjian

e-Procurement perjanjian kontrak kerja

0,74 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

7


Infrastruktur

Laptop

Pencurian laptop yang di dalamnya berisi data sensitif

0,50 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RE1.2, RE1.3, RR1.3

8


Infrastruktur

Server

Pencurian server pengembangan

- penempatan CCTV yang terbatas - SOP Data Center e-KTP

0,38 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RE1.2, RE1.3, RR1.3

9



Infrastruktur TI

Terjadinya sabotase dan gangguan pada DC

15 (Tinggi)

Rendah

Mitigasi

Manusia: - wajib menggunakan kartu identitas selama berada di lingkungan kerja

RE1.4, RE2, RR1.1, RR2.5, RE1.2, RE1.3, RR1.3



142 10



Laptop

Kerusakan laptop yang berisi data sensitif

SOP Data Center e-KTP

1,10 (Rendah)

Rendah

Diterima

11

IT Staff


Proses Pengelolaan SDM TI

Tidak tersedianya staf TI saat dibutuhkan

Pembentukan tim untuk setiap proyek

1,49 (Rendah)

Rendah

Diterima

- kesadaran memelihara peralatan yang telah diberikan Proses: - Membuat Standar Prosedur Operasi teknis tentang pemeliharaan peralatan - Kebijakan melarang masuknya alat dengan kemampuan merekam ke dalam wilayahwilayah kerja tertentu, kecuali telah ada ijin sebelumnya - Kebijakan menentukan area kerja terbatas seperti Data Center Teknologi: - penambahan jumlah CCTV - BCP, DRP dan DRC (tidak hanya sebagai backup server) - semua area kerja dilengkapi dengan sistem access control -

RE1.4, RE2, RR1.1, RE1.2, RE1.3, RR1.3

RE1.4, RE2, RR1.1, RR1.3



143 12

IT Staff


SDM

Staf TI mengundurkan diri / mutasi sehingga menyebabkan kehilangan staf yang kompeten di bidangnya

Perjanjian kontrak kerja

0,99 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

13


keahlian Staf TI dalam operasional core business

SDM

Adanya gap keahlian staf TI dengan teknologi yang digunakan di core business

Program Pelatihan TI

0,99 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

14


keahlian Staf TI dalam operasional core business

SDM

Kurangnya pemahaman bisnis proses pada core business oleh staf TI

Program Pelatihan TI

0,99 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

15

Software Integrity



Kesengajaan memodifikasi aplikasi menyebabkan kesalahan data


0,99 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RE1.2, RE1.3, RR1.3

16

Software Integrity



Kesengajaan memodifikasi aplikasi menyebabkan fraud


0,99 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RE1.2, RE1.3, RR1.3

17

Software Integrity



Ketidaksengajaan kesalahan dalam pengelolaan perubahan atau konfigurasi aplikasi menyebabkan terjadinya fraud


0,99 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RE1.2, RE1.3, RR1.3



144 18



Server core

kesalahan konfigurasi server core

19



Server core

20


Perangkat jaringan

21


22


0,75 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

kerusakan server core

0,75 (Rendah)

Rendah

Diterima

-

Switch, router

kesalahan konfigurasi perangkat jaringan

0,75 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RE1.2, RE1.3, RR1.3 RE1.4, RE2, RR1.1, RR1.3

Perangkat jaringan

Switch, router, LAN

gangguan jaringan

0,75 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3


Perangkat keamanan

Firewall, IPS

kesalahan konfigurasi perangkat keamanan

0,5 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

23


Kinerja Aplikasi MQ, BMW, ABIS dan IDMS


gangguan secara reguler pada Aplikasi MQ, BMW, ABIS dan IDMS


1,38 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

24

System capacity

Server core

sistem tidak dapat menangani volume transaksi ketika jumlah pengguna naik

- Grand Design SIAK - SOP Data Center e-KTP

11,25 (Menengah Tinggi)

Rendah

Mitigasi

System capacity

Server core

sistem tidak dapat menangani beban ketika aplikasi atau inisiatif baru di-deploy

3 (Menengah Rendah)

Rendah

Mitigasi

Manusia: Terdapat staf TI yang bertanggung jawab atas perencanaan dan monitoring Proses: - kebijakan yang menetapkan adanya capacity planning, monitoring dan evaluasi untuk seluruh implementasi sistem informasi - untuk setiap sistem

RE1.4, RE2, RR1.1, RR2.5, RE1.2, RE1.3, RR1.3

25

penyediaan kapasitas Aplikasi MQ, BMW, ABIS dan IDMS penyediaan kapasitas Aplikasi MQ, BMW, ABIS dan IDMS

RE1.4, RE2, RR1.1, RR2.5, RE1.2, RE1.3, RR1.3



145

26



sistem operasi

tidak mendukungnya versi sistem operasi saat digunakan untuk operasional


0,36 (Rendah)

Rendah

Diterima

informasi yang dikembangkan harus memiliki capacity plan Teknologi: - Alat untuk monitoring resource - BCP, DRP dan DRC (tidak hanya sebagai backup server) -

27



Software backup

tidak mendukungnya versi aplikasi backup saat digunakan untuk operasional


0,24 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

28



sistem database


0,36 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

29

Malware


Server core

Old version database masih digunakan (saat ini masih Oracle 11g seharusnya sudah Oracle 12c) Intrusion malware pada server core

- pemasangan antivirus - pengujian keamanan

1,67 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

30

Malware


Laptop

2,50 (Meneng ah Rendah)

Rendah

Mitigasi

Manusia: - Terdapat staf TI yang bertanggung jawab atas kemanan TI - Terdapat staf TI yang bertanggung jawab atas update patches

RE1.4, RE2, RR1.1, RR2.5, RE1.2, RE1.3, RR1.3

Intrusion malware pada laptop yang berisi data sensitif

RE1.4, RE2, RR1.1, RR2.5, RE1.2, RE1.3, RR1.3



146 keamanan dan virus Proses: - Direktorat Pengelolaan Informasi Administrasi Kependudukan (PIAK) melakukan sosialisasi kesadaran keamanan informasi - Direktorat Pengelolaan Informasi Administrasi Kependudukan (PIAK) melakukan perlindungan terhadap kode jahat yang didasarkan pada pendeteksian awal, perbaikan software, kesadaran keamanan, dan pengendalian manajemen perubahan dan sistem akses yang memadai - Direktorat Pengelolaan Informasi Administrasi Kependudukan (PIAK) menetapkan petunjuk pengelolaan dan tanggungjawab untuk menangani antisipasi kode jahat terhadap sistem yang berjalan, pelatihan yang diperlukan, pelaporan Universitas Indonesia


147 dan perbaikan dari serangan kode jahat - Direktorat Pengelolaan Informasi Administrasi Kependudukan (PIAK) mendeteksi dan mencegah terjadinya malicious code yang mungkin dikirim pada saat terjadinya komunikasi elektronis - Direktorat Pengelolaan Informasi Administrasi Kependudukan (PIAK) melarang penggunaan software secara ilegal di lingkungan Ditjen Dukcapil dan melaksanakan petunjuk untuk perlindungan atasa adanya risiko ketika menerima file dan software dari jaringan eksternal atau dari perantara jaringan yang lain - Pemeriksaan untuk setiap file elektronis dan media optik, dan file yang diterima jaringan, terhadap kode jahat sebelum penggunaan



148 Teknologi: - Penggunaan antivirus dan antispam - BCP, DRP dan DRC (tidak hanya sebagai backup server) 31

Malware


Sistem operasi

penyusupan malware pada sistem operasi core business mengakibatkan kerusakan sistem operasi

1,67 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

32

Malware


sistem database

penyusupan malware pada sistem database core business mengakibatkan kerusakan sistem database

1,11 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

33

Malware


Software backup

penyusupan malware pada software backup core business mengakibatkan kerusakan software backup

1,11 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

34

Malware



penyusupan malicious code pada sistem aplikasi dan mengakibatkan kerusakan sistem

1,67 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

- pemasangan antivirus - pengujian keamanan



149 35

Logical attacks



serangan virus komputer

36

Logical attacks


Denial of Service attack

37

Logical attacks


Proses memastikan keamanan sistem, arsitektur aplikasi Proses memastikan keamanan sistem, arsitektur aplikasi

38

Logical attacks


39

Information media

Media portable

- pemasangan antivirus - kontrol akses - alat monitoring keamanan - pemasangan peralatan keamanan (firewall)

0,90 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

0,90 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

Web defacement

0,90 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3


Pengguna tidak sah mencoba masuk ke sistem core business

0,40 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3


terbukanya data sensitif yang ada pada media portable (misalnya CD, USB drive, disk portable)

1,67 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

SOP Pemeliharaan dan Pengamanan Data



150 40

Information media

Media portable


kehilangan data sensitif yang ada pada media portable (misalnya CD, USB drive, disk portable)


0,74 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RE1.2, RE1.3, RR1.3

41

Information media

Media portable




0,37 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RE1.2, RE1.3, RR1.3

42

Utilitis performance

Power

UPS, Prosedur pengelolaan layanan dengan pihak ketiga

listrik yang tidak stabil

Perjanjian kontrak dengan vendor

1,38 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

43


Data e-KTP (core database)

Data

Kesengajaan menghapus data yang menyebabkan kehilangan data


1,08 (Rendah)

Rendah

Diterima

Manusia: - Terdapat staf TI yang bertanggung jawab atas pengelolaan database - Terdapat staf TI yang bertanggung jawab atas keamanan database - Menumbuhkan kesadaran untuk menjaga integritas dan keamanan data Proses: - Menyusun SOP tentang pelabelan dan penanganan informasi

RE1.4, RE2, RR1.1, RR1.3



151 44



Data

Pencurian data

1,08 (Rendah)

Rendah

Diterima

45



Data

Kesengajaan memodifikasi data yang menyebabkan ketidakakuratan data

2,16 (Menengah Rendah)

Rendah

Mitigasi

(pemrosesan, penyimpanan, penyebaran sampai penghapusannya) berdasarkan klasifikasi aset informasi di lingkungan unit kerja masing-masing - Menerapkan enkripsi pada informasi yang sensitif/kritikal baik selama penyimpanan maupun pemindahan untuk memastikan kerahasiaan - Melakukan update SOP terkait pengelolaan database - Rotasi pegawai - Pembagian tugas - Direktorat Pengelolaan Informasi Administrasi Kependudukan (PIAK) berwenang mengendalikan akses ke jaringan data dan layanan yang ada di jaringan data, serta untuk menetapkan kriteria yang harus

RE1.4, RE2, RR1.1, RE1.2, RE1.3, RR1.3

RE1.4, RE2, RR1.1, RR2.5, RE1.2, RE1.3, RR1.3



152 46



Data

Database corrupt

1,62 (Rendah)

Rendah

Diterima

dipenuhi untuk mengakses jaringan data, siapa saja yang diperbolehkan mengakses jaringan data, serta jaringan dan layanan jaringan apa saja yang diperbilehkan untuk diakses - Direktorat Pengelolaan Informasi Administrasi Kependudukan (PIAK) harus memastikan bahwa penggunaan jaringan selalu dipantau, dibatasi, dan/atau dilarang untuk tujuan tertentu, seperti pemindahan data yang tidak ada kaitannya dengan kegiatan Ditjen Dukcapil, akses interaktif dan aplikasi interaktif yang dapat memindahkan data ke tempat lain - Direktorat Pengelolaan Informasi Administrasi Kependudukan (PIAK) menempatkan fasilitas pengolah informasi yang menangani data yang sensitif sedemikian rupa

RE1.4, RE2, RR1.1, RE1.2, RE1.3, RR1.3



153 sehingga pada saat aplikasi digunakan, informasi yang ada di layar tidak dapat dilihat oleh orang yang tidak berkepentingan - Unit kerja yang membawahi bidang SDM memastikan bahwa seluruh pegawai Ditjen Dukcapil menyetujui peran dan tanggung jawab keamanan informasi yang diberikan kepada mereka dengan menandatangani surat perjanjian yang menyatakan kesanggupan menjaga kerahasiaan dan larangan penyingkapan untuk jenis aset informasi yang bersifat sensitif bagi Ditjen Dukcapil - Seluruh pegawai Ditjen Dukcapil harus menandatangani pembaruan perjanjian kerahasiaan sebagai bagian dari perjanjian kontrak kerja pegawai - Dalam aktivitas pengembangan dan pemeliharaan sistem Universitas Indonesia


154

47

Logical trespassing

Hak Akses

PC

Akses ilegal atas peralatan komputer end user

48

Logical trespassing

Hak Akses

Aplikasi core

Ilegal logical access pada sistem aplikasi core

- Kontrol Akses - Perjanjian Kontrak Kerja Pegawai

0,48 (Rendah)

Rendah

Diterima

informasi unit kerja yang membawahi bidang Pengembangan Aplikasi Sistem serta unit kerja pengguna dan pemilik aplikasi harus memastikan bahwa seluruh aplikasi yang ada di Ditjen Dukcapil telah memiliki pengendalian memadai, yang minimal mampu melakukan validasi data masukan, validasi pemrosesan, dan validasi data keluaran - Pemberian hak akses sesuai kebutuhan Teknologi: - Menyediakan metode dan atau sistem tools (alat bantu) dalam penanganan kriptografi - pemberian hak akses sesuai kebutuhan - BCP, DRP dan DRC (tidak hanya sebagai backup server) -

0,96 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

RE1.4, RE2, RR1.1, RR1.3



155 49

Logical trespassing

Hak Akses


Ilegal logical access pada proses administrasi

0,96 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

50

Logical trespassing

Hak Akses


Tidak diketahuinya aktivitas penyalahgunaan wewenang

1,44 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

51

Logical trespassing

Hak Akses

Sistem database

Pengguna mendapatkan akses ke informasi yang tidak sah

0,96 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

52

Logical trespassing

Hak Akses

Data

Pengguna mencuri data sensitif

1,44 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

53


Kegiatan backup


penyalahgunaan backup data oleh pihak internal

0,16 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

54


Kegiatan backup


penyalahgunaan backup data oleh pihak eksternal

0,48 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

55


Kegiatan backup


kegagalan backup data

0,32 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

56


Kegiatan backup



0,24 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

57


Kegiatan backup


tidak dapat dilakukan restore atas backup sesuai checkpoint

0,32 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

- SOP Pemeliharaan dan Pengamanan Database Kependudukan - Pelatihan Staf TI - SOP Data Center e-KTP



156 58


Kegiatan backup


kesalahan saat melakukan backup data

0,32 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

59


Patching/ upgrade sistem operasi untuk core business

Sistem operasi

kegagalan patching/upgrade sistem operasi untuk core business

- SOP Data Center - Pelatihan Staf TI

0,32 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

60


Patching/ upgrade sistem operasi untuk core business

sistem database

kegagalan patching/upgrade sistem database untuk core business

- SOP Data Center - Pelatihan Staf TI

0,32 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

61


Lisensi software untuk core business

Proses kepatuhan terhadap lisensi

ketidakpatuhan terhadap lisensi software (penggunaan software yang tidak berlisensi)

pengelolaan lisensi software

0,56 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

62

Acts of nature

Bencana alam

Infrastruktur, SDM

Banjir

perbaikan saluran air

0,38 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

63

Acts of nature

Bencana alam

Infrastruktur, SDM

Gempa Bumi

Konstruksi gedung anti gempa

0,75 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3

64

Acts of nature

Bencana alam

Infrastruktur, SDM

Petir

Pemasangan penangkal petir

1,50 (Rendah)

Rendah

Diterima

-

RE1.4, RE2, RR1.1, RR1.3



157 Lampiran 5 : Transkrip Wawancara

1. Bapak Dr. Ir. H. Husni Fahmi, MSEE Jabatan : Kasubdit Pengelolaan Data Administrasi Kependudukan mewakili Direktur Pengelolaan Informasi Administrasi Kependudukan Unit Kerja : Direkorat Pengelolaan Informasi Administrasi Kependudukan Tanggal : 19 September 2013 1. Peran TI [Tingkat Kepentingan] Minim (M); Rendah (R); Sedang (S); Tinggi (T); Kritis (K) No. 1.

2.

Status Komentar M R S T K Total anggaran tahunan yang v Total anggaran untuk dialokasikan untuk TIK, penerapan e-KTP ini sebagai berikut: sebesar ± Rp 6 triliun - Kurang dari Rp 1 Milyar = untuk tahun jamak Minim yaitu tahun 2010, - Rp 1 Milyar s.d. Rp 3 Milyar 2011 dan 2012. = Rendah - Rp 3 Milyar s.d. Rp 8 Milyar = Sedang - Rp 8 Milyar s.d. Rp 20 Milyar = Tinggi - Lebih dari Rp 20 Milyar = Kritis Jumlah staff/pengguna dalam v Pegawai Ditjen instansi yang menggunakan Dukcapil s.d. tahun infrastruktur TIK, sebagai 2012 berjumlah ± 500 berikut: orang, namun yang - Kurang dari 60 = Minim menggunakan TIK - Antara 60 s.d. 120 = Rendah dan sebagai - Antara 120 s.d. 240 = Sedang penanggungjawabnya - Antara 240 s.d. 600 = Tinggi adalah Direktorat - 600 atau lebih = Kritis Pengelolaan Informasi Administrasi Kependudukan (DPIAK) yang jumlah pegawainya ± Pertanyaan



158 60 orang.

3.

Tingkat ketergantungan terhadap layanan TIK untuk menjalankan Tugas Pokok dan Fungsi Organisasi

v

4.

Nilai kekayaan intelektual yang dimiliki dan dihasilkan oleh Organisasi

v

5.

Dampak dari kegagalan sistem TIK utama yang digunakan Organisasi Tingkat ketergantungan ketersediaan sistem TIK untuk menghubungkan lokasi kerja organisasi

6.

7.

Dampak dari kegagalan sistem TIK organisasi terhadap kinerja instansi pemerintah lainnya

v

v

v

Ketergantungan terhadap TIK sangat tinggi terkait untuk mendukung proses kerja utama Ditjen Dukcapil yaitu pelayanan penerapan SIAK, e-KTP dan Koneksitas NIK. Data kependudukan merupakan produk Ditjen Dukcapil yang bernilai sangat tinggi dan bersifat sangat rahasia. Kegagalan sistem TIK mempengaruhi proses kerja utama. Ditjen Ducapil sangat tergantung terhadap ketersediaan sistem TIK ini, dengan lokasi kerja (tempat perekaman e-KTP) di 6.234 kecamatan. Produk Ditjen Dukcapil memang digunakan oleh instansi lain namun bukan berarti kinerja instansi tersebut hanya ditentukan oleh produk Ditjen Dukcapil



159 8.

Tingkat sensitifitas pengguna sistem TIK di organisasi

v

9.

Tingkat kepatuhan terhadap UU dan perangkat hukum lainnya

v

10.

Potensi kerugian atau dampak negatif dari insiden ditembusnya keamanan informasi sistem TIK Organisasi Tingkat ketergantungan terhadap pihak ketiga dalam menjalankan/mengoperasikan sistem TIK

v

Tingkat klasifikasi/kekritisan sistem TIK di Organisasi, relatif terhadap ancaman upaya penyerangan atau penerobosan keamanan informasi

v

11.

12.

v

Pengguna (Pemerintah Kabupaten/Kota) sangat sensitif, karena hal ini terkait pelayanan kepada masyarakat sehingga harus tuntas. Kepatuhan terhadap UU terkait Administrasi Kependudukan untuk mencapai ketunggalan data penduduk. Akan mempengaruhi kepercayaan dari pihak pelapor dan citra Ditjen Dukcapil menurun. Tingkat ketergantungan terhadap pihak ketiga dalam menjalankan / mengoperasikan sistem TIK sangat tinggi. Tingkat klasifikasi/kekritisan relatif tinggi, karena hal ini terkait data penduduk yang bersifat rahasia dan dilindungi oleh UU No.23 Tahun 2006

2. Proses Berdasarkan struktur organisasi, DPIAK memiliki proses Perencanaan dan Kebijakan TI, Penyediaan Sarana Infrastruktur, Pengelolaan Data, Pemeliharaan Kualitas, Pengoperasian dan Pemeliharaan Layanan, Pengamanan Jaringan dan User Support yang mendukung proses kerja di Ditjen Dukcapil, apakah benar? Sependapat.



160 Apakah bapak bersedia kita menganalisis setiap proses tersebut dan kemudian melihat risikonya? Bisa, apabila memang memerlukan ijin dari atasan kita usahakan. Mungkin diprioritaskan saja pada aset TI yang mendukung proses kerja utama Ditjen Dukcapil dalam penerapan e-KTP ini. Diantara proses tersebut, proses apa saja menurut bapak yang dikategorikan sebagai kritikal? Kritikal di sini mempunyai dampak signifikan terhadap bisnis. Kalau diurutkan no. 1-3 yaitu: pengembangan aplikasi , pengamanan jaringan dan pengoperasian dan pemeliharaan layanan. Terdapat 3 (tiga) proses kerja prioritas yaitu: a. Proses Penerimaan data hasil perekaman e-KTP dan pengembalian status data dari dan ke kecamatan tempat perekaman; b. Proses Identifikasi Ketunggalan Data; dan c. Proses Penyimpanan data.

3. Pengelolaan kebijakan dan prosedur Apakah semua proses di atas sudah dibakukan dalam bentuk SOP? Saat ini sudah ada SOP Data Center Kependudukan yang masih perlu disempurnakan, dan belum detailnya petunjuk teknis. Apakah SOP tersebut perlu di-update? Ya, perlu diupdate. Bagaimana dengan efektivitas mengendalikan risiko?

SOP/Kebijakan

sebagai

kontrol

untuk

Nantinya efektivitas SOP dan pedoman tersebut 75% kecuali untuk pedoman atau SOP yang baru belum bisa diukur.



161 4. Penilaian Risiko Apakah Bapak setuju setiap aktivitas dalam memberikan layanan TI selalu mengandung risiko? Setuju. Apakah risiko tersebut perlu kelola? Pasti. Mengapa pengelolaan risiko TI sangat penting untuk organisasi? Karena apabila tidak dikelola dengan baik berdampak pada organisasi itu perlu meminimalkan dampak dengan pengelolaan risiko. Incident apa yang pernah terjadi dan mendapatkan perhatian serius dari manajemen? Kegagalan listrik. Disebabkan oleh apa incident tersebut terjadi? Listrik dari PLN tidak bisa menyuplai ke UPS sehingga dukungan power pada Data Center (DC) terganggu. Apa kira-kira dampak yang ditimbulkan oleh incident tersebut dari dampak yang paling ringan hingga dampak serius? Beberapa server dimatikan, sehingga layanan TI untuk sementara dihentikan. Lalu kendali apa yang sudah diterapkan untuk mengurangi risiko tersebut? Ganti Kabel listrik akibat upgrade daya beberapa kali dan penggunaan UPS. Seberapa sering risiko sehari/seminggu/setahun?

tersebut

terjadi?

Berapa

kali

dalam

Untuk tahun 2012 lalu sudah empat kali terjadi namun kemungkinan ke depan dengan adanya perbaikan yang dilakukan jarang terjadi namun kemungkinan ke depan dengan adanya perbaikan yang dilakukan jarang terjadi. Selain itu pada tahun 2012 lalu, DC e-KTP ini pernah mengalami downtime selama 2 minggu dalam 1 tahun. Seberapa efektifkah kendali tersebut?



162 Cukup efektif, beberapa bulan ini sudah tidak terjadi lagi. Dari kelima level risiko yaitu sangat tinggi, tinggi, sedang, rendah, sangat rendah, level risiko manakah yang Bapak tetapkan untuk dapat diterima? Sesuai dalam draft pedoman manajemen risiko, level risiko yang bisa diterima organisasi yaitu rendah. 5. Pengelolaan Risiko TI [Penilaian] Tidak Dilakukan (TD); Dalam Perencanaan (DP); Dalam Penerapan atau Diterapkan Sebagian (DS); Diterapkan Secara Menyeluruh (DSM) Status No.

Pertanyaan

Komentar TD

DP

1.

Apakah organisasi TI mempunyai program kerja pengelolaan risiko TI?

v

2.

Apakah organisasi TI mempunyai kerangka kerja pengelolaan risiko TI yang terdokumentasi dan secara resmi digunakan?

v

3.

Apakah kerangka kerja pengelolaan risiko ini mencakup definisi dan hubungan tingkat klasifikasi aset informasi, tingkat ancaman, kemungkinan terjadinya ancaman tersebut dan dampak kerugian terhadap organisasi?

v

4.

Apakah organisasi sudah menetapkan ambang batas tingkat

DS

DSM

v



163 risiko yang dapat diterima? Dalam draft manajemen risiko ambang batas tingkat risiko adalah low 5.

Apakah organisasi TI sudah mendefinisikan kepemilikan dan pihak pengelola (custodian) aset yang ada, termasuk aset utama/penting dan proses kerja utama yang menggunakan aset tersebut?

6.

Apakah ancaman dan kelemahan yang terkait dengan aset informasi, terutama untuk setiap aset utama sudah teridentifikasi?

7.

Apakah dampak v kerugian yang terkait dengan hilangnya/terganggunya fungsi aset utama sudah ditetapkan sesuai dengan definisi yang ada?

8.

Apakah organisasi TI sudah menjalankan inisiatif analisis/kajian risiko keamanan informasi secara terstruktur terhadap aset

v

v

v



164 informasi yang ada (untuk nantinya digunakan dalam mengidentifikasi langkah mitigasi atau penanggulangan yang menjadi bagian dari program pengelolaan keamanan informasi)? 9.

Apakah organisasi TI sudah menyusun langkah mitigasi dan penanggulangan risiko yang ada?

v

10.

Apakah langkah mitigasi risiko disusun sesuai tingkat prioritas dengan target penyelesaiannya dan penanggungjawabnya, dengan memastikan efektifitas biaya yang dapat menurunkan tingkat risiko ke ambang batas yang bisa diterima dengan meminimalisasi dampak terhadap operasional layanan TIK?

v

11.

Apakah status penyelesaian langkah mitigasi risiko dipantau secara berkala, untuk memastikan penyelesaian atau kemajuan kerjanya?

v



165 12.

Apakah penyelesaian langkah mitigasi yang sudah diterapkan dievaluasi untuk memastikan konsistensi dan efektifitasnya?

v

13.

Apakah profil risiko berikut bentuk mitigasinya secara berkala dikaji ulang untuk memastikan akurasi dan validitasnya, termasuk merevisi profil tersebut apabila ada perubahan kondisis yang signifikan atau keperluan penerapan bentuk pengamanan baru?

v

14.

Apakah kerangka kerja pengelolaan risiko secara berkala dikaji untuk memastikan dapat meningkatkan efektifitasnya?

v

15.

Apakah pengelolaan risiko menjadi bagian dari kriteria proses penilaian obyektif kinerja efektifitas pengamanan?

v



166

2. Bapak Dr. Ir. H. Husni Fahmi, MSEE Jabatan : Kasubdit Pengelolaan Data Administrasi Kependudukan Unit Kerja : Direkorat Pengelolaan Informasi Administrasi Kependudukan Tanggal : 19 September 2013 1. Apa gambaran umum tentang proses kerja pengelolaan data administrasi kependudukan pada Data Center KTP Eletronik di Medan Merdeka Utara? Terdapat 3 (tiga) proses kerja prioritas yaitu: a. Proses Penerimaan data hasil perekaman e-KTP dan pengembalian status data dari dan ke kecamatan tempat perekaman; b. Proses Identifikasi Ketunggalan Data; dan c. Proses Penyimpanan data. 2. Hal negatif apa yang mungkin dapat terjadi di proses kerja ini? a. Storage crash; b. Listrik mati beberapa kali dan pernah gardu listrik jebol; c. Ganti Kabel listrik akibat upgrade daya beberapa kali; d. Jaringan komunikasi data yang tidak stabil, terutama saat menerima data yang menggunakan VSAT; e. Adanya penduduk yang telah melakukan perekaman untuk pertama kalinya, namun dinyatakan ganda (DUPLICATE_RECORD) oleh sistem. Hal ini disebabkan karena penduduk menggunakan lensa kontak (contact lens) dan sidik jari penduduk yang kotor; f. Adanya data hasil perekaman penduduk yang tidak sampai ke DC (Penduduk sudah merekam tetapi data yang bersangkutan tidak ada di DC). 3. Aktivitas apa saja dalam proses kerja ini? Operasional Data Center dan penyiapan jaringan komunikasi data. 4. Dalam menjalanan incident/permasalahan?

aktivitas

tersebut,

apakah

pernah

terjadi



167 Pernah. Database tidak dapat dipakai (corrupt), sistem operasi corrupt, sumber daya hardware kurang (RAM, memory, storage), storage crash, listrik mati dan lain-lain. 5. Apa kira-kira dampak yang ditimbulkan oleh incident tersebut dari dampak yang paling ringan hingga dampak serius? Terhambatnya pada sistem dalam proses penerimaan data hasil perekaman e-KTP dan pengembalian status data dari dan ke kecamatan tempat perekaman; proses identifikasi ketunggalan data; dan proses penyimpanan data.

6. Lalu kendali apa yang sudah diterapkan untuk mengurangi risiko tersebut? SOP Data Center Kependudukan yang masih disempurnakan. 7. Seberapa sering risiko sehari/seminggu/setahun?

tersebut

terjadi?

Berapa

kali

dalam

Pada tahun 2012 lalu, listrik mati terjadi sampai dengan 4 kali dan terjadi downtime Data Center sampai dengan dua minggu dalam setahun. 8. Apakah incident tersebut mengganggu operasional layanan TI? Ya. 9. Apakah ada SOP, kebijakan terkait proses kerja ini? Ada, SOP Data Center KTP Elektronik (e-KTP). 10. Apakah SOP tersebut perlu di-review? Ya. Adanya perkembangan teknologi dan proses kerja maka ada beberapa hal yang belum masuk dalam SOP tersebut agar lebih detail. 11. Berapa efektivitas kontrol yang ada untuk mengurangi risiko? Sekitar 75%.



168 12. Apakah Anda membuat dokumentasi permasalahan dan solusi terkait incident tersebut? Kadang-kadang. 13. Apa persyaratan yang dibutuhkan agar ketersediaan (availability) data informasi terjaga? Manusia (SDM), proses dan teknologi (infrastruktur). 14. Apa sensitifitas tingkat informasi yang dikelola? Sangat rahasia. 15. Apa dampak potensial terhadap organisasi jika informasi diungkapkan kepada personel yang tidak berhak? Kehilangan reputasi. 16. Apa saja persyaratan yang diperlukan untuk menjamin ketersediaan dan integritas informasi? Infrastruktur, pembagian peran dan tanggungjawab, hak akses, keamanan dan kebijakan keamanan informasi. 17. Berapa maksimum waktu toleransi downtime atas sistem proses bisnis ini? Saat ini belum ada waktu toleransi downtime dan seharusnya memang ada mengingat hal ini merupakan proses kerja prioritas dalam penerapan e-KTP. Pada tahun 2012 terjadi downtime selama ± 2 minggu dalam waktu 1 tahun.



169

3. Bapak Ir. Tri Sampurno Jabatan : PIC Pengamanan jaringan Unit Kerja : Direkorat Pengelolaan Informasi Administrasi Kependudukan Tanggal : 24 September 2013

1. Hal negatif/kejadian apa yang mungkin dapat terjadi pada proses pengamanan jaringan? Gangguan jaringan, incident keamanan jaringan dan kesalahan konfigurasi.

2. Bagaimana hal tersebut dapat terjadi? Kesalahan konfigurasi dan faktor eksternal seperti attack

3. Dalam menjalankan aktivitas proses pengamanan jaringan, apakah pernah terjadi incident/permasalahan? Pernah, adanya virus di jaringan.

4. Apa kira-kira dampak yang ditimbulkan oleh incident tersebut? Gangguan jaringan, confidentiality, integrity, availability (CIA).

5. Lalu kendali apa yang sudah diterapkan untuk mengurangi risiko tersebut? Penggunaan pemasangan pengaman jaringan (Firewall), antivirus, awareness untuk administrator dan user.

6. Berapa efektivitas kontrol tersebut? Cukup efektif, kira-kira 90% apabila terkait teknologi, tetapi bila terkait manusia dan proses kira-kira 50%.

7. Seberapa sering risiko tersebut terjadi? Berapa kali dalam sehari / seminggu / setahun? Pada saat ini belum tercatat dengan baik mengenai incident keamanan.



170

8. Apakah incident tersebut mengganggu operasional layanan TI? Ya, tergantung jenis gangguan.

9. Apakah ada SOP, kebijakan terkait proses kerja ini? Ada, tapi belum lengkap

10. Apakah SOP tersebut perlu di-review? Mengapa? Ya, karena belum lengkap.

11. Apakah Anda membuat dokumentasi permasalahan dan solusi terkait incident tersebut? Belum ada.

12. Apa persyaratan yang dibutuhkan agar ketersediaan (availability) jaringan? Infrastruktur terutama alat pengamanan jaringan.



UNIVERSITAS INDONESIA

Recommend Documents