Ujian Tengah Semester Manajemen Resiko Enterprise STEI / S2-IF5132 / 23-10-2015

Risk Assessment Repost

KASKUS

Disusun Oleh:
23514002 Adam Asshidiq

Dosen Pengajar:
Dra. Harlili S., M.Sc.

Magister Informatika
Sekolah Teknik Elektro dan Informatika
Institut Teknologi Bandung
2015
Institut Teknologi Bandung UTS Manajemen Resiko Enterprise

DAFTAR ISI
DAFTAR ISI................................................................................................................................................. 2
DAFTAR TABEL......................................................................................................................................... 2
DAFTAR GAMBAR .................................................................................................................................... 2
PENDAHULUAN ........................................................................................................................................ 3
Tujuan ....................................................................................................................................................... 4
Ruang Lingkup Penilaian Resiko.............................................................................................................. 4
PENDEKATAN PENILAIAN RESIKO ...................................................................................................... 5
Participants................................................................................................................................................ 5
Teknik Pengumpulan Informasi ................................................................................................................ 5
Perkembangan dan Deskripsi Skala Resiko .............................................................................................. 6
KARAKTERISASI SISTEM........................................................................................................................ 7
THREAT STATEMENT .............................................................................................................................. 8
Vulnerability Statement ............................................................................................................................ 8
Threat Source Statement ........................................................................................................................... 8
HASIL PENILAIAN RESIKO ..................................................................................................................... 9
KESIMPULAN ........................................................................................................................................... 10
REFERENSI ............................................................................................................................................... 11

DAFTAR TABEL
Tabel 1. Participants...................................................................................................................................... 5
Tabel 2. Teknik Pengumpulan Informasi ...................................................................................................... 5
Tabel 3. Deskripsi Kemungkinan Terjadinya Resiko (Likelihood) .............................................................. 6
Tabel 4. Deskripsi Dampak Resiko (Impact) ................................................................................................ 6
Tabel 5. Matriks Dampak Dan Kemungkinan Resiko .................................................................................. 7
Tabel 6. Vulnerability Statement .................................................................................................................. 8
Tabel 7. Threat Source .................................................................................................................................. 8
Tabel 8. Hasil Penilaian Resiko .................................................................................................................... 9
Tabel 9. Tabel Kesimpulan Penilaian Resiko Perusahaan Kaskus ............................................................. 10

DAFTAR GAMBAR
Gambar 1. Logo Kaskus ............................................................................................................................... 3
Gambar 2. Proses Manajemen Resiko Dalam Iso 31000:2009....................................................... 4

Adam Asshidiq (23514002) 2

Institut Teknologi Bandung UTS Manajemen Resiko Enterprise

PENDAHULUAN

Gambar 1. Logo KASKUS

KASKUS didirikan pada tanggal 6 November 1999 oleh tiga pemuda asal Indonesia yang
sedang melanjutkan studi di Seattle, Amerika Serikat. Mulanya Andrew Darwis, Ronald, dan Budi
membuat KASKUS untuk memenuhi tugas kuliah mereka. KASKUS sendiri bertujuan untuk
mengobati kerinduan mahasiswa Indonesia di luar negeri akan Indonesia melalui berita-berita
Indonesia yang diterjemahkan.

Di Indonesia, kantor KASKUS pertama berlokasi di daerah Mangga Besar, yang dibantu
dengan 2 orang tenaga profesional. Dibawah naungan PT. Darta Media Indonesia, langkah pertama
yang dilakukan KASKUS adalah melakukan rebranding. Mematuhi UU ITE (Undang-Undang
Informasi dan Transaksi Elektronik) yang berlaku dan mendorong perilaku berinternet sehat,
KASKUS mengambil langkah serius untuk menutup dua forum kontroversial yaitu BB17 (Buka-
Bukaan 17 Tahun) dan Fight Club. Langkah tersebut diapresiasi baik oleh pengguna internet
Indonesia, hal ini ditandai dengan meningkat pesatnya member KASKUS hingga 300% dengan
jumlah member sebanyak 1,2 juta.

Tahun 2011 KASKUS memulai kemitraannya dengan Global Digital Prima, sebuah
perusahaan Indonesia yang berfokus untuk mengembangkan industri digital dan konten lokal
Indonesia. Kemitraan ini mendorong pertumbuhan KASKUS yang lebih besar lagi, baik dari sisi
infrastuktur, tenaga profesional & jaringan bisnisnya dalam usaha menjadi situs lokal nomor 1 di
Indonesia serta pemain global online di dunia. Mengimbangi ekspansi, KASKUS pun
memindahkan kantor utamanya ke Menara Palma dan menamakannya KASKUS Playground.

Manajemen resiko (Risk Management) yang dilakukan KASKUS mengacu pada ISO
31000:2009 (Risk Management). Resiko-resiko yang muncul dalam perusahaan dapat berdampak

Adam Asshidiq (23514002) 3

Institut Teknologi Bandung UTS Manajemen Resiko Enterprise

negatif terhadap kualitas layanan yang diberikan kepada para pelanggan, sehingga dibutuhkan
penanganan atau manajemen terhadap resiko, sehingga dampak negatifnya dapat di minimalisir
atau bahkan dihilangkan.

Gambar 2. Proses Manajemen Resiko dalam ISO 31000:2009

Tujuan
Manajemen resiko adalah sebuah proses dalam mengindetifikasi resiko, menilai resiko, dan
mengambil langkah-langkah untuk meminimalisasi resiko menjadi jumlah yang lebih kecil dan
dapat diterima. Manajemen risiko ini dilakukan untuk menilai risiko yang ada pada sistem dan
meminimalisasi risiko yang ada. Tujuannya adalah untuk membantu sistem ini untuk mengelola
risiko yang berhubungan dengan teknologi informasi / IT. Dalam laporan ini, akan mengangkat
studi kasus dari sebuah sistem forum terbesar di Indonesia, yaitu KASKUS, serta kemungkinan
munculnya suatu ancaman yang terdapat di dalam forum ini.

Ruang Lingkup Penilaian Resiko

Ruang lingkup pengukuran dilakukan dengan metodologi pengukuran resiko yang
meliputi:

Karakteristik sistem
Identifikasi ancaman

Adam Asshidiq (23514002) 4

Institut Teknologi Bandung UTS Manajemen Resiko Enterprise

Identifikasi celah keamanan

Analisis kontrol
Perkiraan resiko (likelihood determination)
Analisis dampak
Penentuan resiko
Rekomendasi kontrol
Dokumentasi hasil

PENDEKATAN PENILAIAN RESIKO

Participants
Participants menyatakan peserta yang terlibat dalam penilain risiko ini. Dalam kasus ini
merupakan pihak-pihak yang bertanggung jawab dalam perusahaan KASKUS. Berikut peserta
yang bertanggung jawab dalam jalannya perusahaan:

Tabel 1. Participants

Owner / Founder Andrew Darwis & Ken Dean Lawadinata

Chairman Ken Dean Lawadinata
Penasihat Situs Andrew Darwis
Chief Executive Officer Sukan Makmuri

Teknik Pengumpulan Informasi

Dalam mengumpulkan data menjadi informasi yang bermanfaat, dilakukan beberapa
pendekatan dan metode pengumpulan data. Berikut merupakan teknik-teknik yang dilakukan
dalam mendapatkan informasi:

Tabel 2. Teknik Pengumpulan Informasi

Risk Assessment dibuat berdasarkan pedoman dari Risk

Assesment Tools
Assessment Guide for Information Technology Systems
Melakukan interview kepada pihak terkait untuk
Interview memperoleh informasi tambahan dan melakukan validasi
terhadap informasi yang telah dikumpulkan.
Menganalisis dokumen-dokumen yang menyajikan
Document Review
informasi mengenai proses yang berjalan pada sistem.

Adam Asshidiq (23514002) 5

Institut Teknologi Bandung UTS Manajemen Resiko Enterprise

Perkembangan dan Deskripsi Skala Resiko

Dalam proses penilaian resiko ini dilakukan penilaian terhadap resiko-resiko yang ada
dalam Perusahaan, mencakup penilaian terhadap dampak (impact) apabila suatu resiko terjadi,
serta kemungkinan kejadiannya (likelihood) suatu resiko. Langkah selanjutnya yaitu dengan
melakukan pemetaan resiko, dimana resiko disusun berdasarkan kelompok tertentu sehingga
manajemen dapat mengidentifikasi karakter dari masing-masing resiko dan menetapkan tindakan
yang sesuai terhadap masing-masing resiko.

Teknik pemetaan yang digunakan adalah pemetaan dua dimensi, yaitu kemungkinan
terjadinya resiko dan dampaknya bila resiko tersebut terjadi. Dimensi pertama adalah
kemungkinan kejadian (likelihood), yang menyatakan tingkat kemungkinan suatu resiko akan
terjadi. Semakin tinggi kemungkinan suatu resiko terjadi, semakin perlu mendapat perhatian.
Pada dokumen ini dimensi kemungkinan dibagi ke dalam lima kategori seperti terlihat pada tabel
berikut:

Tabel 3. Deskripsi kemungkinan terjadinya resiko (Likelihood)

No Level Deskripsi
1. Almost never Hampir tidak pernah terjadi Tidak terjadi dalam 5 tahun
2. Unlikely Kemungkinan terjadi ada, tetapi kecil Terjadi 1 kali dalam 5 tahun
(jarang)
3. Possible Mungkin saja terjadi (kadang-kadang) Terjadi 1 kali dalam 2 tahun
4. Likely Kemungkinan besar terjadi (sering) Terjadi 1 4 kali dalam 1 tahun
5. Almost certain Hamper selalu terjadi (sangat sering) Terjadi > 5 kali dalam 1 tahun

Dimensi kedua berupa dampak (Impact), yaitu tingkat kegawatan apabila resiko yang
dihadapi benar-benar menjadi suatu kenyataan. Semakin besar dampak suatu resiko, semakin
perlu untuk mendapat perhatian khusus. Dimensi dampak dibagi ke dalam lima kategori, yaitu
minor, moderate, severe, major, dan worse case, seperti ditunjukkan pada Tabel berikut:

Tabel 4. Deskripsi dampak resiko (Impact)

No Level Deskripsi
1. Minor Dampaknya sangat kecil
2. Moderate Dampaknya kecil
3. Severe Dampaknya cukup besar
4. Major Dampaknya besar
5. Worse Case Dampaknya sangat besar

Adam Asshidiq (23514002) 6

Institut Teknologi Bandung UTS Manajemen Resiko Enterprise

Dari kedua tabel deskripsi tersebut, dapat dihasilkan suatu matriks kemungkinan dan dampak
yang terbagi dalam 5 kuadran sesuai dengan level prioritas penanganan, seperti pada tabel matriks
berikut:

Tabel 5. Matriks dampak dan Kemungkinan Resiko

Minor Moderate Severe Major Worst Case

Almost never Medium High High Extreme Extreme
Unlikely Low Medium High High Extreme
Possible Low Medium Medium High High
Likely Low Low Medium Medium High
Almost certain Very Low Low Low Low Medium

KARAKTERISASI SISTEM
Berikut merupakan komponen teknologi yang digunakan dalam perusahaan KASKUS:
Hardware

Nama Perangkat Merk

Cash Drawer Gowell
PC All in One HP HP Pavilion TouchSmart 22-H110D All-in-
One

Jaringan

Nama Perangkat Merk

Core Router Routerboard UiAS-RM
Switch D-Link DES 1024 D Fast Ethernet
Switch
Wireless Device (Router) LINKSYS EA4500
Wireless Device (Repeater) LINKSYS Wireless-N Range
Extreme Extender
Rack Server 8 U 8U 19" Rack System
RJ-45 Connector Tyco AMP RJ-45 Connector
Kabel STP TYCO AMP STP Cable
AMP Plug Tyco Boot Plug
UPS APC 600 WATT

Adam Asshidiq (23514002) 7

Institut Teknologi Bandung UTS Manajemen Resiko Enterprise

Server

Nama Perangkat Merk

Rack Server IBM IBM System x3250 M4, Prosesor Intel Xeon
seri E3-1200, HW RAID (optional)

THREAT STATEMENT
Vulnerability Statement
Vulnerability Statement berisikan mengenai celah kemanan yang ditemukan di dalam
forum KASKUS. Berikut adalah list dari celah keamanan yang ditemukan:

Tabel 6. Vulnerability Statement

Vulnerability Deskripsi
Password yang digunakan oleh user mudah ditebak dan peluang
Tingkat kerumitan password
pembobolan tinggi.
Data yang disimpan sudah mulai ter-enkripsi namun masih
Keamanan system
menggunakan enkripsi yang sederhana (1-layer).
Karena masih dalam proses pengembangan, sistem sering kali
Update Versi di-update sehingga rentan akan redudansi dan ketidak-
konsistenan fitur.
Sistem tidak melakukan pengecekan data yang dibutuhkan oleh
Pengecekan ganda
system
Perbaharuan data antivirus mengurangi kemungkinan sistem
Update keamanan dari virus
diserang oleh aplikasi-aplikasi yang tidak diinginkan (malicious)
Belum adanya penanganan bencana yang mengakibatkan sistem
Disaster Recovery Data
terganggu

Threat Source Statement

Threat Source Statement berisikan ancaman keamanan yang ditemukan di dalam forum
KASKUS. Berikut adalah list dari ancaman kemanan yang ditemukan:

Tabel 7. Threat Source

Threat Source Threat Action

- Hacking
Hacker - Pengaksesan system yang tidak terautentikasi
- Gangguan pada system (overload thread)
Pelaku Kriminal - Pencurian

Adam Asshidiq (23514002) 8

Institut Teknologi Bandung UTS Manajemen Resiko Enterprise

- Pencurian Identitas
- Penipuan (Spoofing)
- Bencana Alam (banjir, gempa, dan lain sebagainya)
Lingkungan
- Kebakaran
Un-authenticated user Mengakses data tanpa autentikasi untuk masuk ke dalam system
Maintenance Hubungan maintenance yang terhambat

HASIL PENILAIAN RESIKO

Hasil yang didapatkan berdasarkan keluhan pengguna, pengalaman pengguna, informasi
yang ada, serta analisa celah dari keamanan dan ancaman yang ditemukan dalam forum KASKUS
ini dirumuskan sebagai berikut:

Tabel 8. Hasil Penilaian Resiko

Threat
Item Existing Likeli- Risk Recommended
Observation source / Impact
No. Controls hood Rating Controls
vulnerability

Himbauan
Tingkat
Hacker / user untuk
kerumitan
yang tdk ter- mengubah Sistem harus
password yang
1. otentikasi / password High High High terenkripsi
dapat dengan
Pasword yang pengguna dengan baik
mudah ditebak
tidak efektif secara
oleh orang lain
berkala

Pengem-
Pengembangan
bangan Aplikasi harus
KASKUS
2. Maintenance aplikasi Medium High High rutin diperbarui
Playground dan
yang terus- dan di cek bug
FJB
menerus

Data yang Larangan

3. diambil oleh All sudah Low Medium Low Monitoring
pihak lain ditetapkan

Deaktivasi
Pergantian akun Redirect site ke
4. domain dari .us Maintenance sementara Low Medium Low domain yang
ke .com & .co.id (max < 24 baru
jam)

5. Penanganan All Menghentik Medium High High Penelusuran

rekening an layanan dana yang

Adam Asshidiq (23514002) 9

Institut Teknologi Bandung UTS Manajemen Resiko Enterprise

bersama dalam rekening masuk dan

FJB KASKUS bersama jika keluar di dalam
terjadi rekening
masalah bersama

Update Tidak ada Pemeliharaan

Unnecessary
6. keamanan dari update Low Low Low hardware dan
Service
virus keamanan anti-virus

KESIMPULAN
Kesimpulan yang diperoleh dari penilaian resiko kemanan terhadap perusahaan Kaskus
dinyatakan dalam tabel berikut:
Tabel 9. Tabel kesimpulan penilaian resiko perusahaan KASKUS

(1) (2) (3) (4) (5) (6) (7) (8)

Risk Risk Recommend Action Selected Required Start Maintenance
(Vulnerability Level ed Controls Priorit Planned Resources Date / Requiremen
/ Threat Pair) y Controls End t/
Date Comments
Tingkat High Control untuk High Memperbaharu 1 Setiap Dilakukan
kerumitan pembatasan i sistem secara hari perubahan
minimum berkala secara berkala
password yang karakter
dapat dengan password,
mudah kompleksitas,
dan
ditebak oleh
kerahasiaan
orang lain
Pergantian Low Deaktivasi Medium Maintenance 1 Saat Selalu update
domain dari akun sementara secara berkala perganti- ke versi terbaru
(max < 24 jam) an domain
.us ke .com &
.co.id
Pengembang- Medium Menjaga High Pengem- 1 Setiap Aplikasi
an KASKUS layanan serta bangan hari harus rutin
tetap aplikasi yang diperbarui
Playground mengebangkan terus-menerus dan di cek
dan FJB nya
bug

Penanganan High Menghentika High Kontrol dan 1 Setiap Penelusuran

rekening n layanan pengawasan hari dana yang
bersama rekening dana yang masuk dan
bersama jika masuk dan keluar di
dalam FJB
terjadi keluar agar dalam
KASKUS masalah sesuai rekening
bersama

Adam Asshidiq (23514002) 10

Institut Teknologi Bandung UTS Manajemen Resiko Enterprise

transaksi yang
dilakukan

Data yang Low Pengamanan Medium Kontrol dan 1 jam untuk Setiap Monitoring
diambil oleh yang dilakukan pengawasan penambaha hari
n
pihak lain konfigurasi

REFERENSI

Stonebumer, Gary, Goguen Alice, dkk. Risk Management Guide for Information Technology
Systems. NIST. 2002.

Lukman, Enricko. Ken dan Andrew resmi keluar dari jabatan CEO dan CTO di Kaskus
(UPDATED). https://id.techinasia.com/ken-dan-andrew-resmi-sudah-menjual-kaskus/ diakses
pada 22 Oktober 2015.

Miftachul, Andi. Kaskus Hadapi Isu Teknis dan Buat Pelanggan Kebingungan (update).
https://dailysocial.net/post/kaskus-hadapi-isu-teknis-dan-buat-pelanggan-kebingungan diakses
pada 22 Oktober 2015.

Panji, Aditya. Penggelapan Dana Rekber Blackpanda Kaskus Capai Rp 515 Juta.
http://www.cnnindonesia.com/teknologi/20150915133550-185-78851/penggelapan-dana-rekber-
blackpanda-kaskus-capai-rp-515-juta/ diakses pada 22 Oktober 2015.

Prihadi, Susetyo Dwi. Ganti Domain, Kaskus Bantah Ada Masalah.

http://inet.detik.com/read/2012/05/29/103903/1927082/398/ganti-domain-kaskus-bantah-ada-
masalah diakses pada 22 Oktober 2015.

Adam Asshidiq (23514002) 11