File PDF

UNIVERSITAS INDONESIA
PERENCANAAN MANAJEMEN RISIKO KEAMANAN

INFORMASI: STUDI KASUS APLIKASI MODUL KEKAYAAN
NEGARA DIREKTORAT JENDERAL KEKAYAAN NEGARA
KEMENTERIAN KEUANGAN
KARYA AKHIR
SIGIT PRASETYO
1206194902
FAKULTAS ILMU KOMPUTER

PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI
JAKARTA
JULI 2014
Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

UNIVERSITAS INDONESIA
PERENCANAAN MANAJEMEN RISIKO KEAMANAN

INFORMASI: STUDI KASUS APLIKASI MODUL KEKAYAAN
NEGARA DIREKTORAT JENDERAL KEKAYAAN NEGARA
KEMENTERIAN KEUANGAN
KARYA AKHIR
Diajukan sebagai salah satu syarat untuk memperoleh
gelar Magister Teknologi Informasi
SIGIT PRASETYO
1206194902
HALAMAN JUDUL
FAKULTAS ILMU KOMPUTER

PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI
JAKARTA
JULI 2014

HALAMAN PERNYATAAN ORISINALITAS
ii

HALAMAN PENGESAHAN
iii

KATA PENGANTAR
Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa, karena atas berkat
dan rahmat-Nya, penulis dapat menyelesaikan Karya Akhir ini. Penulisan Karya
Akhir dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar
Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi,
Fakultas Ilmu Komputer – Universitas Indonesia. Penulis menyadari bahwa, tanpa
bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada
penyusunan karya akhir ini, sangatlah sulit bagi penulis untuk menyelesaikannya.
Oleh karena itu, penulis mengucapkan terimakasih kepada:
1. Bapak Yudho Giri Sucahyo M.Kom., Ph.D dan Muh. Kasfu Hammi S.Kom.,
MTI selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan
pikiran untuk mengarahkan dalam penyusunan Karya Akhir ini.
2. Dosen Penguji yang telah menguji dan memberikan saran dan perbaikan pada
Karya Akhir ini.
3. Direktorat Jenderal Kekayaan Negara (DJKN) yang telah memberikan
bantuan beasiswa.
4. Istri tercinta, Andry Muji Asbiyanti, yang telah memberikan pengertian,
perhatian, dukungan, dan semangat yang telah diberikan pada penulis.
5. Kedua orang tua tercinta, yang telah memberikan dukungan, doa, dan
perhatian yang telah diberikan kepada penulis.
6. Staf di Magister Teknologi Informasi, yang telah membantu kelancaran
perkuliahan dan Karya Akhir.
7. Teman – teman di MTI 2012SA, yang telah membantu melewati masa kuliah.
Akhir kata, semoga Allah SWT membalas semua kebaikan dan bantuan yang
telah diberikan dengan pahala yang berlipat ganda. Semoga Karya Akhir ini
memberikan manfaat bagi pengembangan ilmu pada umumnya dan bagi penulis
pada khususnya.
Jakarta, 16 Juni 2014
Penulis
iv

HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI
KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS

ABSTRAK
Nama : Sigit Prasetyo

Program Studi : Magister Teknologi Informasi
Judul Karya Akhir : Perencanaan Manajemen Risiko Keamanan Informasi:
Studi Kasus Aplikasi Modul Kekayaan Negara Direktorat
Jenderal Kekayaan Negara Kementerian Keuangan
Kementerian Keuangan khususnya Direktorat Jenderal Kekayaan Negara

(DJKN) merupakan salah satu organisasi yang bertugas untuk melakukan
pengelolaan barang milik negara dan melakukan peningkatan pelayanan terhadap
stakeholder dengan menggunakan teknologi informasi sebagai elemen
pendukungnya. Untuk mewujudkan database nilai kekayaan negara yang kredibel
sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat, dan dapat
digunakan untuk proses pengambilan keputusan bagi pimpinan Kementerian
Keuangan maka dibutuhkan suatu perencanaan manajemen risiko keamanan
informasi terhadap sistem informasi utama yang mendukung proses bisnis DJKN.
Penelitian ini bertujuan untuk menyusun perencanaan manajemen risiko
keamanan informasi untuk DJKN khususnya terhadap aplikasi yang mendukung
proses bisnis utama yaitu aplikasi Modul KN dengan menggunakan framework
ISO 27005 dan ISO 27002 untuk penanganan pengurangan risiko.
Hasil yang didapat dari penelitian ini adalah perencanaan manajemen risiko
keamanan informasi yang berupa dokumen penanganan risiko, rekomendasi
kontrol untuk mengurangi risiko dan penerimaan risiko yang berisi tentang
keputusan penanganan risiko serta penanggung jawab penanganan risiko.
Kata Kunci : Manajemen Risiko, Keamanan Informasi, ISO 27005, ISO

27002
vi Universitas Indonesia

ABSTRAC
Name : Sigit Prasetyo

Program of Study : Magister Teknologi Informasi
Topic : Information Security Risk Management Planning: A Case
Study at Application Module of State Asset, Directorate
General of State Asset, Ministry of Finance
Ministry of Finance in particular the Directorate General of State Asset

(DJKN) is one organization that is tasked to undertake the management of state
asset and improved services to stakeholders using information technology as a
supporting element . To realize the value database of state asset into a credible
executive information intact, timely, accurate and can be used for decision making
process for the leadership of the Ministry of Finance then needed an information
security risk management plan to the main information systems that support
business processes DJKN .
This research aimed to develop an information security risk management plan
for DJKN particularly to applications that support key business processes that
called state assets module applications using the framework of ISO 27005 and
ISO 27002 for risk reduction management.
The results obtained from this research is the information security risk
management plan that contains the document mitigation risk, control
recommendations to reduce risk and acceptance of risk which contains risk
management decisions also the person in charge of mitigation risk.
Key Words : Risk Management, Information Security, ISO 27005, ISO

27002
vii Universitas Indonesia

DAFTAR ISI
HALAMAN JUDUL .............................................................................................. i

HALAMAN PERNYATAAN ORISINALITAS ................................................ ii
HALAMAN PENGESAHAN .............................................................................. iii
KATA PENGANTAR .......................................................................................... iv
HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI.......................... v
KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS .............................. v
ABSTRAK ............................................................................................................ vi
ABSTRAC............................................................................................................ vii
DAFTAR ISI ....................................................................................................... viii
DAFTAR GAMBAR ............................................................................................. x
DAFTAR TABEL ................................................................................................ xi
BAB I PENDAHULUAN ...................................................................................... 1
1.1 Latar Belakang .............................................................................................. 1
1.2 Perumusan Masalah ..................................................................................... 10
1.3 Pertanyaan Penelitian .................................................................................. 11
1.4 Tujuan Penelitian ......................................................................................... 11
1.5 Manfaat Penelitian ....................................................................................... 11
1.6 Batasan Penelitian ....................................................................................... 12
1.7 Sistematika Penulisan .................................................................................. 12
BAB II LANDASAN TEORI ............................................................................. 13
2.1 Keamanan Informasi ................................................................................... 13
2.2 Risiko........................................................................................................... 15
2.3 Manajemen Risiko ....................................................................................... 15
2.4 Perencanaan Manajemen Risiko.................................................................. 15
2.5 Metode Penelitian Manajemen Risiko Keamanan Informasi ...................... 16
2.5.1 ISO 27005 ............................................................................................. 16
2.5.2 NIST SP 800-30 .................................................................................... 23
2.5.3 OCTAVE .............................................................................................. 26
2.6 Perbandingan Metode Perancangan Manajemen Risiko ............................. 29
2.7 Penelitian Sejenis Sebelumnya .................................................................... 30
2.8 Kerangka Pemikiran (Theoritical Framework) ........................................... 31
BAB III METODOLOGI PENELITIAN ......................................................... 34
3.1 Alur Penelitian ............................................................................................. 34
3.2 Metode Pengumpulan Data ......................................................................... 35
3.3 Metode Analisis Data ................................................................................. 36
BAB IVPROFIL ORGANISASI........................................................................ 37
4.1 Sejarah Singkat DJKN................................................................................ 37
4.2 Visi, Misi dan Tugas Organisasi ................................................................ 38
4.3 Sasaran Strategis Organisasi ...................................................................... 39
4.4 Struktur Organisasi ..................................................................................... 40
4.5 Rincian tugas tiap Direktorat ...................................................................... 41
4.6 Penerapan Manajemen Risiko di DJKN ...................................................... 42
BAB V ANALISIS DAN PEMBAHASAN ........................................................ 46
5.1 Penetapan Konteks ..................................................................................... 47
viii Universitas Indonesia

5.1.1 Kriteria Dasar Pengelolaan Risiko ........................................................ 47
5.1.2 Ruang Lingkup Perencanaaan Manajemen Risiko Keamanan
Informasi ........................................................................................................ 50
5.1.3 Organisasi Manajemen Risiko Keamanan Informasi .......................... 55
5.2 Penilaian Risiko .......................................................................................... 57
5.2.1 Identifikasi Risiko ................................................................................. 57
5.2.2 Estimasi Risiko ..................................................................................... 67
5.3 Evaluasi Risiko ............................................................................................ 74
5.4 Penanganan Risiko ...................................................................................... 77
5.4.1 Mengurangi risiko ................................................................................. 77
5.4.2 Mempertahankan risiko ........................................................................ 78
5.4.3 Menghindari risiko................................................................................ 78
5.4.4 Mentransfer risiko ................................................................................. 78
5.5 Penerimaan Risiko ..................................................................................... 103
BAB VI PENUTUP ........................................................................................... 115
6.1 Kesimpulan ................................................................................................ 115
6.2 Saran .......................................................................................................... 116
DAFTAR PUSTAKA ........................................................................................ 117
LAMPIRAN ....................................................................................................... 120
A.TRANSKRIP WAWANCARA................................................................... 120
B. REKAP HELPDESK TIK DJKN ............................................................... 133
C. MATRIKS EVALUASI RISIKO ............................................................... 137
ix Universitas Indonesia

DAFTAR GAMBAR
Gambar 1.1 Pie Chart Permasalahan layanan TIK DJKN ...................................... 8

Gambar 1.2 Gap Analysis TIK DJKN..................................................................... 9
Gambar 1.3 Analisis Fishbone .............................................................................. 10
Gambar 2.1 Model PDCA pada proses SMKI ...................................................... 14
Gambar 2.2 Proses Manajemen Risiko ISO 27005 ............................................... 18
Gambar 2.3 Proses Penanganan Risiko ................................................................. 20
Gambar 2.4 Proses Manajemen Risiko NIST 800-30 ........................................... 24
Gambar 2.5 Proses Manajemen Risiko OCTAVE ................................................ 27
Gambar 2.6 Kerangka Pemikiran .......................................................................... 32
Gambar 3.1 Metodologi Penelitian ....................................................................... 34
Gambar 4.1 Struktur organisasi kantor pusat ........................................................ 40
Gambar 4.2 Struktur organisasi kantor wilayah .................................................... 40
Gambar 4.3 Struktur organisasi KPKNL .............................................................. 41
Gambar 5.1 Proses Perencanaan Manajemen Risiko Keamanan Informasi ......... 46
Gambar 5.2 Proses bisnis pengelolaan BMN ........................................................ 51
Gambar 5.3 Pemetaan aplikasi di DJKN............................................................... 52
Gambar 5.4 Grid McFarlan .................................................................................. 52
Gambar 5.5 Proses bisnis aplikasi Modul KN ...................................................... 54
Gambar 5. 6 Arsitektur teknologi informasi aplikasi Modul KN ......................... 54
Gambar 5.7 Struktur organisasi manajemen risiko keamanan informasi di DJKN
............................................................................................................................... 56
x Universitas Indonesia

DAFTAR TABEL
Tabel 1.1 Rangkuman Permasalahan Layanan TIK DJKN .................................... 7

Tabel 2.1 Penjelasan proses SMKI ....................................................................... 14
Tabel 2.2 Keselarasan antara proses SMKI dengan proses MRKI ....................... 23
Tabel 2.3 Perbandingan metode manajemen risiko keamanan informasi ............. 29
Tabel 4.1 Rincian tugas tiap Direktorat ................................................................ 42
Tabel 4.2 Laporan Profil Risiko DJKN semester 1 tahun 2014............................ 43
Tabel 4.3 Laporan Penanganan Risiko DJKN semester 1 tahun 2014 ................. 44
Tabel 5.1Kriteria Dampak ..................................................................................... 48
Tabel 5.2 Tingkat kecenderungan risiko ............................................................... 48
Tabel 5.3 Kriteria penerimaan risiko .................................................................... 49
Tabel 5.4 Kriteria risiko yang harus ditransfer ..................................................... 50
Tabel 5.5 Matriks selera risiko .............................................................................. 50
Tabel 5.6 Rincian aset pada Modul KN ................................................................ 58
Tabel 5.7 Identifikasi ancaman tiap aset ............................................................... 60
Tabel 5.8 Identifikasi kontrol yang sudah ada ...................................................... 62
Tabel 5.9 Identifikasi kerawanan tiap aset ............................................................ 64
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset .................. 68
Tabel 5.11 Matriks penentuan tingkatan evaluasi risiko ....................................... 74
Tabel 5.12 Matrik nilai evaluasi risiko ................................................................. 75
Tabel 5.13 Prioritas risiko berdasarkan nilai risiko .............................................. 76
Tabel 5.14 Analisis Penanganan Risiko ................................................................ 80
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap
rekomendasi kontrol .............................................................................................. 96
Tabel 5.16 Analisis Penerimaan Risiko .............................................................. 104
Tabel C.1 Matriks evaluasi risiko untuk A1 dan T1 ........................................... 137
Tabel C.9 Matriks evaluasi risiko A5 dan T3 ..................................................... 139
Tabel C.10 Matriks evaluasi risiko untuk A5 dan T6 ......................................... 139
Tabel C.17 Matriks evaluasi risiko untuk A10 dan T1 ....................................... 141
xi Universitas Indonesia

Tabel C.28 Matriks evaluasi risiko untuk A18 dan T10 ..................................... 143
Tabel C.39 Nilai risiko dari tiap skenario ........................................................... 147
xii Universitas Indonesia

1
BAB I
PENDAHULUAN
Pada bab ini menjelaskan mengenai latar belakang penulisan penelitian terhadap
kondisi terkini organisasi di Direktorat Jenderal Kekayaan Negara (DJKN),
melakukan analisis permasalahan yang dihadapi sehingga menghasilkan
perumusan masalah, menentukan ruang lingkup, tujuan, manfaat dan sistematika
penulisan.
1.1 Latar Belakang
Direktorat Jenderal Kekayaan Negara merupakan unit eselon 1 di lingkungan

Kementerian Keuangan berdasarkan Peraturan Presiden Nomor 66 Tahun 2006
tentang Perubahan Keempat atas Peraturan Presiden Nomor 10 Tahun 2005
tentang Unit Organisasi dan Tugas Eselon I Kementerian Republik Indonesia.
Direktorat Jenderal Kekayaan Negara mempunyai tugas merumuskan serta
melaksanakan kebijakan dan standardisasi teknis di bidang kekayaan negara,
piutang negara, dan lelang. Dalam melaksanakan tugas yang dibebankan kepada
Direktorat Jenderal Kekayaan Negara, maka ditetapkan visi DJKN, yaitu:
”Menjadi Pengelola Kekayaan Negara, Piutang Negara dan Lelang yang
profesional dan bertanggung jawab untuk sebesar-besar kemakmuran rakyat”.
Profesional adalah bahwa tugas-tugas pengelolaan kekayaan negara, penilaian,

pengurusan piutang negara dan pelayanan lelang dilaksanakan sesuai standar
profesi dan standar keilmuan yang telah ditetapkan. Bertanggung jawab adalah
bahwa pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan
pelaksanaan lelang dilakukan secara transparan dan dapat dipertanggungjawabkan
sesuai dengan ketentuan peraturan perundangundangan yang berlaku. Untuk
sebesar-besar kemakmuran rakyat, merupakan cita-cita dan arah dari tujuan akhir
pengelolaan kekayaan negara sesuai dengan jiwa Pasal 33 Undang-Undang Dasar
Republik Indonesia tahun 1945.
Universitas Indonesia

2
Untuk merealisasikan visi yang telah ditetapkan, maka Direktorat Jenderal

Kekayaan Negara menetapkan misi antara lain:
a. Mewujudkan optimalisasi penerimaan, efisiensi pengeluaran dan
efektivitas pengelolaan kekayaan negara;
b. Mengamankan kekayaan negara secara fisik, administrasi dan hukum;
c. Mewujudkan nilai kekayaan negara yang wajar dan dapat dijadikan acuan
dalam berbagai keperluan;
d. Melaksanakan pengurusan piutang negara yang efektif, efisien,
transparan dan akuntabel;
e. Mewujudkan lelang yang efektif, efisien, transparan, akuntabel, adil dan
kompetitif sebagai instrumen jual beli yang mampu mengakomodasi
kepentingan masyarakat.
Pada tahun 2008 telah disusun Blue Print (Cetak Biru) TIK DJKN yang bertujuan
sebagai rujukan dalam pengembangan dan implementasi TIK di DJKN selama 5
tahun yaitu tahun 2008 – 2012. Blue Print TIK DJKN tersebut mempunyai tujuan
yaitu pemanfaatan teknologi dan informasi (TIK) yang handal, terintegrasi dan
berkembang. Dalam analisis Strengths Weaknesses Opportunities and Threats
(SWOT) khususnya mengenai kelemahan TIK DJKN terdapat beberapa
permasalahan yaitu belum terdapatnya database yang lengkap, komprehensif dan
terintegrasi, kemudian belum terdapatnya sistem informasi yang memadai untuk
mendukung pelaksanaan proses-proses bisnis utama DJKN serta belum adanya
infrastruktur perangkat keras dan lunak pendukung yang memadai di DJKN.
Berdasarkan Peraturan Menteri Keuangan Nomor 191/PMK.09/2008 tentang

Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan bahwa
Setiap unit Eselon I di lingkungan Kementerian Keuangan harus menerapkan dan
mengembangkan Manajemen Risiko di lingkungan masing-masing. Hal ini
berdasarkan Peraturan Pemerintah nomor 60 tahun 2008 tentang Sistem
Pengendalian Internal Pemerintah khususnya pada bagian ketiga pasal 13 ayat 1
yaitu pimpinan instansi pemerintah wajib melakukan penilaian risiko. Saat ini
DJKN telah menyusun Laporan Manajemen Risiko pada awal tahun 2014 yang
dibuat berdasarkan sasaran kinerja organisasi terhadap risiko yang berpotensi

3
menghalangi, menurunkan atau menunda tercapainya sasaran kerja unit eselon I.

Laporan tersebut menghasilkan profil risiko dan cara penanganannya berdasarkan
sasaran kinerja masing-masing unit di DJKN.
Sesuai dengan Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang

Kebijakan dan Standar Sistem Manajemen Keamanan Informasi (SMKI) di
Lingkungan Kementerian Keuangan bahwa Unit TIK pusat dan unit TIK eselon I
menerapkan dan mengembangkan manajemen risiko dalam rangka pelaksanaan
pengamanan dan perlindungan aset informasi dengan mengikuti ketentuan
mengenai penerapan manajemen risiko di lingkungan Kementerian Keuangan.
Berdasarkan wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi
Informasi Bpk. Agus Setyo Pambudi tanggal 27 Maret 2014 bahwa sampai saat
ini baik Unit TIK Pusat maupun Unit TIK DJKN belum menerapkan dan
mengembangkan manajemen risiko dalam rangka pelaksanaan pengamanan dan
perlindungan aset informasi.
Kebijakan dan standar SMKI di lingkungan Kementerian Keuangan tersebut

disusun dengan memperhatikan Peraturan Menteri Komunikasi dan Informatika
Nomor 41/PERMEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola
Teknologi Informasi dan Komunikasi Nasional, lSO/IEC 27001:2005
(Information technology-Security techniques-Information security management
system-Requirements) dan lSO/IEC 27002:2005 (Information technology-
Securitytechniques-Code of practice for information security management). PMK
Nomor 479/KMK.01/2010 tersebut mewajibkan setiap unit Eselon I menerapkan
Kebijakan dan Standar SMKI di lingkungan unit eselon I masing-masing yang
terdiri dari sebelas pengendalian antara lain:
 Pengendalian Umum;
 Pengendalian Organisasi Keamanan Informasi;
 Pengelolaan Aset Informasi;
 Pengendalian Keamanan Sumber Daya Manusia;
 Pengendalian Keamanan Fisik dan Lingkungan;
 Pengendalian Pengelolaan Komunikasi dan Operasional;

4
 Pengendalian Akses;
 Pengendalian Keamanan Informasi dalam Pengadaan, Pengembangan dan
Pemeliharaan Sistem Informasi;
 Pengendalian Pengelolaan Gangguan Keamanan Informasi;
 Pengendalian Keamanan Informasi dalam Pengelolaan Kelangsungan
Kegiatan;
 Pengendalian Kepatuhan.
Untuk menindaklanjuti keputusan tersebut DJKN telah membuat Surat Edaran

No.6/KN/2012 tentang Struktur Tim Keamanan Informasi, Standarisasi Personal
Computer, Pengelolaan dan Pengoperasian Perangkat Teknologi Informasi dan
Komunikasi di Lingkungan Direktorat Jenderal Kekayaan Negara. Dalam hal ini
DJKN baru melakukan dua pengendalian yang diamanatkan oleh Keputusan
Menteri Keuangan yaitu pengendalian organisasi keamanan informasi dan
pengendalian pengelolaan komunikasi dan operasional sehingga diperlukan tindak
lanjut dalam menyusun pengendalian keamanan informasi.
Pada tahun 2010 telah disusun Keputusan Direktur Jenderal Kekayaan Negara
Nomor KEP-38/KN/2010 tentang Rencana Strategis Direktorat Jenderal
Kekayaan Negara Tahun 2010 – 2014 yang merupakan penjabaran lebih lanjut
dari Keputusan Menteri Keuangan Nomor 40/KMK.01/2010 tentang Rencana
Strategis Kementerian Keuangan tahun 2010-2014. Dalam Renstra tersebut
terdapat strategi organisasi di bidang Teknologi Informasi Keuangan (TIK) yaitu
melakukan pengembangan Sistem Informasi Manajemen (SIM) di lingkungan
Direktorat Jenderal Kekayaan Negara yang terdiri dari rencana aksi yaitu antara
lain dengan melakukan pengembangan aplikasi, pengelolaan database dan
pengembangan infrastruktur TIK. Renstra tersebut juga menjelaskan
permasalahan yaitu masih kurangnya kompetensi pegawai dalam pengoperasian
aplikasi terkait penatausahaan Barang Milik Negara (BMN).
Menurut Keputusan Menteri Keuangan Nomor 40/KMK.01/2010 tentang Rencana

Strategis Kementerian Keuangan tahun 2010-2014 terdapat salah satu sasaran
strategis dalam tema kekayaan negara yaitu terwujudnya database nilai kekayaan

5
negara yang kredibel dengan cara mendapatkan, mengumpulkan dan mengolah

data kekayaan negara sehingga menjadi informasi eksekutif yang utuh, tepat
waktu, akurat, dan dapat digunakan untuk proses pengambilan keputusan bagi
pimpinan Kementerian Keuangan. Sedangkan permasalahan TIK yang dihadapi
dalam pengelolaan kekayaaan negara yaitu penerapan Sistem Informasi
Manajemen dan Akuntansi (SIMAK) BMN belum merata diseluruh K/L, kualitas
dan kuantitas SDM belum memadai serta kurangnya sarana dan prasarana.
Berdasarkan laporan hasil audit Inspektorat Jenderal Nomor 83 tahun 2011

terhadap pembangunan modul kekayaan negara di DJKN yang terdiri atas audit
terkait pengandalian umum dan pengendalian aplikasi yang dapat dijelaskan
sebagai berikut:
a. Pengendalian umum
 IT Strategy Plan: Pengembangan TI tidak melalui rencana
strategis yang ada sehingga masih bersifat ad hoc;
 Arsitektur Informasi: DJKN belum memiliki Interprise Information
Architecture Model yang menjadi acuan dalam pengembangan aplikasi;
 Proses teknologi informasi, organisasi dan hubungan: tidak adanya IT
Strategy Comittee, belum terdapat personel yang bertanggung jawab
terhadap risiko, keamanan dan kepatuhan pada sistem TI DJKN, belum
adanya tim Quality Assurance;
 Tidak memiliki sistem manajemen kualitas;
 Belum memiliki manajemen risiko yang baku terkait pengelolaan TI;
 Tidak memiliki standar dan prosedur baku dalam manajemen proyek;
 Pembangunan aplikasi hanya didasari oleh pengetahuan dan pengalaman
dari individu kunci, tidak ada studi kelayakan dan analisis risiko;
 Dalam pembangunan aplikasi tidak terdapat ruang lingkup testing,
pengembangan, manajemen keamanan dan Software Quality Assurance
(SQA);
 Pengadaan infrastruktur tidak berdasarkan kebutuhan bisnis tapi dari sisi
teknis, hal ini dikarenakan tidak adanya penerapan audit, security dan
internal control untuk memproteksi sumber daya TIK dan memastikan

6
availability dan integrity dari sistem dan data TIK serta tidak adanya
perawatan berkala terhadap infrastruktur TI;
 Belum memilik standar baku manajemen perubahan;
 Belum memiliki manajemen dan standar tingkat layanan;
 Belum memiliki Business Continuity Plan (BCP) dan Disaster Recovery
Plan (DRP) untuk layanan berkelanjutan;
 Tidak ada manajemen service desk terhadap permasalahan;
 Belum memiliki standar baku konfigurasi aset TIK;
 Tidak memilik tata kelola TIK. Blue Print yang ada belum ditetapkan
secara formal oleh pejabat yang berwenang;
 Tidak ada dokumentasi hasil testing aplikasi Modul KN;
 Pembentukan database server kurang akurat, tidak mendukung
pertukaran data tingkat eselon I;
 Belum adanya monitoring dan evaluasi pembangunan TI;
 Tidak ada regulasi dalam penggunaan Modul KN untuk rekonsiliasi
BMN dalam bentuk peraturan (Surat Edaran).
b. Pengendalian Aplikasi
Berisi tentang berbagai permasalahan yang ada dalam pengoperasian Modul
KN yaitu adanya menu yang masih kurang, proses operasi yang lama,
Standar Operating Procedure (SOP) yang kurang lengkap dan tidak ada
indikator dalam proses eksekusi aplikasi.
Untuk menindaklanjuti hasil audit tersebut maka Direktorat PKNSI membuat

matriks tindak lanjut temuan Itjen atas kegiatan pengelolaan BMN dimana akan
melakukan perancangan pembuatan Blue Print (Cetak Biru) TIK yang didalamnya
berisi tentang perencanaan strategi TI, arsitektur informasi, manajemen kualitas,
manajemen risiko, manajemen proyek, kebutuhan proses bisnis dan solusi TI,
manajemen layanan, manajemen service desk, konfigurasi aset TIK dan tata kelola
TIK.
Berdasarkan laporan jumlah permasalahan terkait dengan layanan TI yang didapat

dari Aplikasi Helpdesk Layanan TIK DJKN pada tahun 2010 sampai dengan

7
tahun 2013 terdapat permasalahan yang semakin bertambah setiap tahun terutama
dalam hal pengelolaan TI dan keamanan informasi. Dalam hal pengelolaan TI
yaitu bertambahnya permasalahan terkait infrastruktur TI. Sedangkan dalam hal
keamanan informasi yaitu banyaknya permasalahan database yang hilang atau
rusak, adanya orang yang tidak mempunyai otoritas menggunakan akun (user
account) orang lain sehingga dapat melihat maupun merubah data, banyaknya
software yang rusak dikarenakan faktor manusia maupun faktor lainnya misalnya
karena terkena virus sehingga data tidak dapat diakses. Hal ini menyebabkan
risiko keamanan informasi terjadi berulang dan tidak dikontrol dengan baik.
Adapun rangkuman permasalahan seperti dijelaskan pada Tabel 1.1:
Tabel 1.1 Rangkuman Permasalahan Layanan TIK DJKN
Tahun Tahun Tahun Tahun

No Jenis Layanan
2010 2011 2012 2013
1 Umum 2 - 13 17
2 Jaringan 13 79 98 75
3 Aplikasi DJKN 4 26 19 32
4 User account dan Email 1 10 90 13
5 Hardware 3 17 35 27
6 Software 4 5 21 10
7 Rekonsiliasi BMN - 2 1 4
8 Database - 5 25 34
9 Konfigurasi - - - 6
10 Informasi - - - 3
11 Voip - - - -
12 SSO DJKN - - - -
Jumlah 27 144 302 242
Sumber: www.djkn.kemenkeu.go.id/helpdesktik
Pada Tabel 1.1 tersebut dapat dijelaskan bahwa terdapat permasalahan layanan
TIK dari tahun 2010 sampai dengan tahun 2013 dengan jumlah insiden sebanyak
715 insiden. Terkait permasalahan keamanan informasi terdapat 560 insiden yang
terdiri dari jenis layanan sebagai berikut:
 Jaringan sebanyak 265 insiden yang menyebabkan permasalahan terkait
ketersediaan data (availability);
 Aplikasi sebanyak 81 insiden yang menyebabkan permasalahan terkait
kerahasiaan dan ketersediaan data (confidentiality dan availability);

8
 Hardware sebanyak 82 insiden yang menyebabkan permasalahan terkait

keutuhan dan ketersediaan data (integrity dan availability);
 Software sebanyak 40 insiden yang menyebabkan permasalahan terkait
keutuhan dan ketersediaan data (integrity dan availability);
 Rekonsiliasi BMN sebanyak 7 insiden yang menyebabkan permasalahan
terkait keutuhan data (integrity);
 Database sebanyak 64 insiden yang menyebabkan permasalahan terkait
kerahasiaan, keutuhan dan ketersediaan data (confidentiality, integrity dan
availability);
Berdasarkan data tersebut maka dapat digambarkan porsi permasalahan keamanan

informasi pada Gambar 1.1:
Gambar 1.1 Pie Chart Permasalahan layanan TIK DJKN
Pada Gambar 1.1 dapat diketahui bahwa permasalahan terkait keamanan

informasi sebesar 79 % dengan jumlah insiden sebanyak 560 insiden sedangkan
untuk permasalahan diluar keamanan informasi sebesar 21 % dengan jumlah
insiden sebanyak 155 insiden.

9
Berdasarkan hasil wawancara dengan Kasubdit Pengolahan Data dan Layanan

Operasional Bpk. I Ketut Puja tanggal 4 Februari 2014 bahwa terdapat beberapa
permasalahan TIK di DJKN yaitu:
 Belum adanya perencanaan manajemen risiko terhadap pengelolaan teknologi
dan keamanan informasi di DJKN;
 Kompetensi dan jumlah SDM TI di DJKN masih kurang;
Sesuai dengan paparan diatas, maka dapat ditarik permasalahan dengan

menggunakan gap analysis (analisis kesenjangan) yang membandingkan antara
keadaan yang diharapkan dengan kenyataan yang terjadi pada kondisi sekarang
yang dapat dijelaskan pada Gambar 1.2:
Gambar 1.2 Gap Analysis TIK DJKN
Pada Gambar 1.2 menjelaskan bahwa ekspektasi dari Kementerian Keuangan

adalah DJKN dapat mewujudkan database nilai kekayaan negara yang kredibel
sehingga menjadi informasi eksekutif yang utuh, tepat waktu, akurat dan dapat
digunakan untuk proses pengambilan keputusan. Menurut rekap helpdesk TIK
DJKN sekarang ini database kekayaan negara yang terdapat dalam sistem
informasi utama yaitu Modul Kekayaan Negara banyak mengalami loss of

10
confidentiality, integrity dan availibility sehingga tidak kredibel dan tidak dapat
digunakan untuk proses pengambilan keputusan. Dalam hal ini terdapat
permasalahan yaitu risiko keamanan informasi database kekayaan negara yang
terdapat dalam Modul Kekayaan Negara tidak dikontrol dengan baik.
1.2 Perumusan Masalah
Berdasarkan permasalahan dan kondisi yang sudah dijelaskan diatas dapat

dilakukan perumusan dengan menggunakan analisis fishbone pada Gambar 1.3:
Gambar 1.3 Analisis Fishbone
Berdasarkan analisis fishbone pada Gambar 1.3 diatas, secara garis besar terdapat
empat permasalahan mendasar yang menyebabkan risiko terkait keamanan
informasi tidak dikontrol dengan baik yaitu:
 Sumber Daya Manusia (SDM): kompetensi dan jumlah SDM TI di DJKN
masih kurang menyebabkan rendahnya awareness keamanan informasi dan
penanganan risiko keamanan informasi tidak terselesaikan dengan baik;
 Infrastruktur: tidak adanya perawatan berkala terhadap infrastruktur TI. Hal
ini dapat menyebabkan kerusakan perangkat dan informasi yang terkandung

11
di dalamnya sehingga terjadi permasalahan terkait keutuhan data (integrity)

dan ketersediaan data (availability);
 Kebijakan: belum adanya evaluasi pembangunan SI/TI yang terkait dengan
risiko keamanan informasi misalnya evaluasi terhadap waktu layanan
(response time) dan keutuhan data sehingga kebutuhan pengendalian risiko
keamanan informasi tidak terdefinisi. Belum adanya perencanaan manajemen
risiko keamanan informasi sehingga perlindungan dan pengamanan aset
informasi tidak dilakukan baik;
 Organisasi: belum adanya unit yang bertanggung jawab melakukan
koordinasi, penanganan dan monitoring terhadap risiko keamanan informasi.
1.3 Pertanyaan Penelitian
Dari analisis permasalahan menggunakan fishbone diagram diatas, maka diambil

salah satu akar permasalahan yang dijadikan pertanyaan penelitian yaitu:
“ Bagaimanakah perencanaan manajemen risiko keamanan informasi yang tepat di
Direktorat Jenderal Kekayaan Negara Kementerian Keuangan khususnya terhadap
aplikasi yang mendukung proses bisnis utama (Modul Kekayaan Negara)?”
1.4 Tujuan Penelitian
Adapun tujuan yang dicapai dalam penelitian ini antara lain:

 Mengetahui risiko-risiko apa saja yang teridentifikasi dalam penilaian risiko
keamanan informasi;
 Melakukan rencana penanganan (mitigasi) terhadap risiko keamanan
informasi;
 Menentukan unit yang bertanggung jawab terhadap penanganan risiko
keamanan informasi.
1.5 Manfaat Penelitian
Adapun manfaat yang diperoleh dalam penelitian ini antara lain:
 Memberikan rekomendasi pemilihan penanganan risiko berdasarkan analisis

risiko yang telah dilakukan;

12
 Memberikan rekomendasi kontrol (pengendalian) keamanan informasi yang

tepat untuk mengurangi risiko.
1.6 Batasan Penelitian
Penelitian ini dibatasi pada lingkungan Direktorat Jenderal Kekayaan Negara

Kementerian Keuangan periode tahun 2010 – 2014.
1.7 Sistematika Penulisan
Sistematika penulisan Karya Akhir ini dibagi menjadi 6 (enam) bab sebagai
berikut:
 Bab 1. Pendahuluan, berisi latar belakang, perumusan masalah, pertanyaan
penelitian, tujuan dan manfaat penelitian dan batasan penelitian;
 Bab 2. Landasan Teori, berisi berbagai teori, metode, teknik, proses, dan
prosedur yang terkait dengan topik penelitian;
 Bab 3. Metodologi Penelitian, berisi langkah-langkah penelitian, metode yang
digunakan dan output yang diharapkan;
 Bab 4. Profil Organisasi, berisi sejarah singkat, visi, misi, rencana strategis,
struktur organisasi dan tugas masing-masing unit di DJKN;
 Bab 5. Analisis dan Pembahasan berisi penetapan konteks, penilaian risiko,
penanganan risiko dan penerimaan risiko;
 Bab 6. Kesimpulan dan Saran berisi tentang intisari penelitian dan masukan
terhadap perencanaan manajemen risiko keamanan informasi di DJKN.

13
BAB II
LANDASAN TEORI
Pada bab ini berisi penjelasan mengenai landasan teori yang terkait dengan topik
penelitian yang berisi antara lain berbagai teori, metode dan analisis penelitian
sebelumnya yang berhubungan dengan perancangan manajemen keamanan
informasi sehingga menghasilkan kerangka pemikiran (theoritical framework).
2.1 Keamanan Informasi
Menurut Andress (2011) keamanan informasi mempunyai tiga konsep dasar yaitu
confidentiality, integrity dan availability (CIA). Confidentiality adalah
kemampuan untuk melindungi data dari seseorang yang tidak memiliki otoritas
untuk melihat data tersebut. Integrity adalah kemampuan melindungi data agar
tidak mengalami perubahan dari sesuatu yang tidak terotorisasi maupun yang
tidak diinginkan. Availability adalah kemampuan untuk mengakses data pada saat
data tersebut diperlukan.
Keamanan informasi adalah perlindungan informasi dari berbagai macam

ancaman untuk memastikan kelangsungan bisnis, meminimalisasi risiko bisnis,
memaksimalkan pengembalian modal investasi dan peluang bisnis (Hintzbergen
& Smulders, 2010).
Berdasarkan ISO 27001 bahwa proses Sistem Manajemen Keamanan Informasi

(SMKI) terdiri dari empat langkah yang disebut Plan-Do-Check-Act (PDCA) pada
Gambar 2.1:

14
Gambar 2.1 Model PDCA pada proses SMKI

Sumber: ISO 27001:2008
Pada Gambar 2.1 dapat dijelaskan bahwa proses SMKI adalah proses yang
dilakukan secara terus menerus dan berkesinambungan yang dapat diterangkan
pada Tabel 2.1:
Tabel 2.1 Penjelasan proses SMKI
Proses SMKI Keterangan

Plan (Perencanaan) Menetapkan kebijakan SMKI, tujuan,
proses dan prosedur yang relevan dengan
pengelolaan risiko dan peningkatan
keamanan informasi untuk memberikan
hasil yang sesuai dengan kebijakan dan
tujuan organisasi
Do (Implementasi) Melakukan implementasi kebijakan SMKI,
kontrol, proses dan prosedur
Check (Pemeriksaan) Melakukan pengawasan dan pengukuran
terhadap implementasi kebijakan SMKI
Act (Tindakan) Melakukan koreksi dan tindakan
pencegahan sesuai dengan hasil audit
kebijakan SMKI

15
2.2 Risiko
Menurut Smith (2011) risiko adalah situasi potensial yang dapat melakukan
ancaman terhadap aset. Jika kita mempunyai deskripsi terhadap situasi maka
risiko mengidentifikasikan sesuatu yang buruk dapat terjadi menimpa aset kita.
Risiko adalah kemungkinan dimana sesuatu yang tidak diinginkan akan terjadi,
organisasi harus meminimalisasi risiko sesuai dengan tingkat risiko yang
diinginkan yaitu jumlah dan bentuk risiko yang akan mereka terima (Michael
Whiteman,2011).
2.3 Manajemen Risiko
Manajemen risiko adalah langkah untuk mengidentifikasi, melakukan kualifikasi

dan mengendalikan risiko informasi yang berdampak pada organisasi
(Angus,2012). Menurut NIST (2002), manajemen risiko adalah proses yang
memungkinkan manajer TI untuk menyeimbangkan biaya operasional dan
ekonomi dalam tindakan pengamanan dan mencapai peningkatan kemampuan
dengan melindungi data dan sistem TI yang mendukung misi organisasi mereka.
2.4 Perencanaan Manajemen Risiko
Perencanaan manajemen risiko terkait dengan semua komponen manajemen risiko

misalnya identifikasi risiko, analisis risiko dan mitigasi risiko dimana menjadi
suatu kesatuan fungsional. Merupakan bagian yang menginformasikan kepada
semua anggota tim dan pengawas tentang risiko proyek, bagaimana risiko akan
dikelola, dan siapa yang akan mengelola risiko (COA, 2005).
Perencanaan manajemen risiko merupakan skema dalam kerangka manajemen

risiko dengan menetapkan pendekatan, komponen manajemen (prosedur, praktek,
pembagian tanggung jawab, urutan dan waktu kegiatan) dan sumber daya untuk
untuk diterapkan pada pengelolaan risiko (ISO 31000, 2009).
Menurut ISACA (2013), dalam hal perencanaan dan sumber daya, manajemen
risiko mendefinisikan tanggung jawab, wewenang, hubungan antar personil yang
terlibat dan melakukan verifikasi pekerjaan yang terkait dengan manajemen risiko
dimana harus didefinisikan dan didokumentasikan. Organisasi harus

16
mengidentifikasi kebutuhan sumber daya dan memfasilitasi pelaksanaan program

manajemen risiko tersebut melalui penugasan personil terlatih dalam kegiatan
manajemen yang sedang berlangsung dan melakukan verifikasi untuk review
internal.
2.5 Metode Penelitian Manajemen Risiko Keamanan Informasi
Dalam sub bab ini akan dibahas mengenai beberapa metode yang umum
digunakan dalam perencanaan manajemen keamanan informasi yaitu antara lain:
2.5.1 ISO 27005
Merupakan standar yang dibuat oleh ISO (The International Organization for
Standardization) dan IEC (The International Electrotechnical Commission),
kedua badan tersebut sejak tahun 2005 mengembangkan sejumlah standardisasi
di seluruh dunia yang salah satunya mengembangkan sejumlah standar tentang
Information Security Management Systems (ISMS) atau Sistem Manajemen
Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan.
Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang
terdiri dari:
 ISO/IEC 27000:2009 tentang ISMS Overview and Vocabulary;

 ISO/IEC 27001:2005 tentang ISMS Requirement;
 ISO/IEC 27002:2005 tentang Code of Practice for ISMS;
 ISO/IEC 27003:2010 tentang ISMS Implementation Guidance;
 ISO/IEC 27004:2009 tentang ISMS Measurements;
 ISO/IEC 27005:2008 tentang Information Security Risk Management;
 ISO/IEC 27006: 2007 tentang ISMS Certification Body Requirements;
 ISO/IEC 27007 tentang Guidelines for ISMS Auditing.
Menurut ISO (2008), ISO 27005 memberikan pedoman manajemen risiko

keamanan informasi dan dirancang untuk membantu pelaksaanaan proses
keamanan informasi berdasarkan pendekatan manajemen risiko. Standar ini
berlaku pada semua jenis organisasi misalnya perusahaan komersial, instansi

17
pemerintah maupun organisasi non-profit yang berniat untuk mengelola risiko

yang dapat membahayakan keamanan informasi organisasi.
Suatu pendekatan sistematis terhadap manajemen risiko keamanan informasi

diperlukan untuk mengidentifikasi kebutuhan organisasi mengenai persyaratan
keamanan informasi dan menciptakan sistem manajemen keamanan informasi
yang efektif. Pendekatan ini harus sesuai untuk lingkungan organisasi dan
khususnya harus diselaraskan dengan manajemen risiko perusahaan secara
keseluruhan. Upaya keamanan harus menangani risiko secara efektif dan tepat
waktu dimana dan kapan mereka dibutuhkan. SMKI harus menjadi bagian integral
dari semua kegiatan manajemen keamanan informasi dan harus diterapkan baik
untuk pelaksanaan dan operasi yang sedang berlangsung.
Manajemen risiko keamanan informasi harus menjadi proses yang berkelanjutan.

Proses ini harus menetapkan konteks, menilai risiko dan penanganan risiko
menggunakan rencana penanganan untuk melaksanakan rekomendasi dan
keputusan. Manajemen risiko menganalisis apa yang bisa terjadi dan konsekuensi
apa yang ditimbulkan, sebelum memutuskan apa yang harus dilakukan dan kapan
untuk mengurangi risiko ke tingkat yang dapat diterima. Manajemen risiko
keamanan informasi harus berkontribusi pada hal-hal berikut:
 Risiko yang diidentifikasi;
 Risiko yang dinilai dalam hal konsekuensi bisnis dan kemungkinan terjadinya
risiko tersebut;
 Kemungkinan dan konsekuensi risiko dikomunikasikan dan dipahami;
 Urutan prioritas perlakuan resiko;
 Prioritas tindakan untuk mengurangi risiko yang terjadi;
 Para pemangku kepentingan terlibat ketika keputusan manajemen risiko
dibuat dan selalu diinformasikan mengenai status manajemen risiko;
 Efektivitas pemantauan perlakuan risiko;
 Risiko dan proses manajemen risiko dipantau dan dikaji secara berkala;
 Informasi ditangkap untuk meningkatkan pendekatan manajemen risiko;

18
 Manajer dan staf dididik tentang risiko dan tindakan yang diambil untuk
menanggulanginya.
Proses manajemen risiko keamanan informasi dapat diterapkan pada organisasi

secara keseluruhan, setiap bagian dari organisasi, setiap sistem informasi, aspek
yang ada atau yang direncanakan maupun untuk kontrol tertentu. Adapun
gambaran tentang proses manajemen risiko keamanan informasi dapat dilihat
pada Gambar 2.2:
Gambar 2.2 Proses Manajemen Risiko ISO 27005

Seperti yang digambarkan pada Gambar 2.2 bahwa proses manajemen risiko
keamanan informasi dapat berulang untuk penilaian risiko dan/atau kegiatan
penanganan risiko. Pendekatan iteratif untuk melakukan penilaian risiko dapat
meningkatkan kedalaman dan rincian dari penilaian pada setiap iterasi.
Pendekatan berulang itu memberikan keseimbangan yang baik antara
meminimalkan waktu dan usaha yang dihabiskan dalam mengidentifikasi kontrol.

19
Adapun langkah dalam proses manajemen risiko keamanan informasi adalah

sebagai berikut:
a. Penetapan konteks
Menerangkan konteks manajemen risiko keamanan informasi harus
ditetapkan dimana melibatkan penetapan kriteria dasar yang diperlukan untuk
manajemen risiko keamanan informasi, mendefinisikan ruang lingkup
maupun batasan dan membentuk sebuah organisasi yang layak menjalankan
manajemen risiko keamanan informasi.
b. Penilaian risiko kemanan informasi
Mengukur atau menggambarkan secara kualitatif suatu risiko dan
memungkinkan manajer untuk memprioritaskan risiko sesuai dengan
keseriusan yang dirasakan atau kriteria lain yang telah ditetapkan. Penilaian
risiko memuat kegiatan analisis risiko yang terdiri dari identifikasi risiko,
estimasi risiko dan evaluasi risiko.
c. Penanganan risiko keamanan informasi
Kontrol untuk mengurangi, mempertahankan, menghindari atau mentransfer
risiko yang harus dipilih dan rencana penanganan ditetapkan. Opsi
penanganan risiko harus dipilih berdasarkan pada hasil penilaian risiko, biaya
yang dikeluarkan dan manfaat yang diharapkan dari penerapan opsi tersebut.
Proses tersebut dapat dijelaskan pada Gambar 2.3:

20
Gambar 2.3 Proses Penanganan Risiko

Untuk mengurangi risiko maka harus menyusun rekomendasi kontrol yang

bersumber pada ISO 27002 yang berisi tentang kode praktis dalam
pengendalian keamanan informasi. Dalam ISO 27002 terdapat 12 kategori
utama pengelolaan keamanan informasi yaitu antara lain:
 Kebijakan Keamanan;
 Organisasi Keamanan Informasi;
 Pengelolaan Aset;
 Keamanan Sumber Daya Manusia;
 Keamanan Lingkungan dan Fisik;
 Pengelolaan Operasi dan Komunikasi;
 Kontrol Akses;
 Pemeliharaan, Pengembangan dan Penerimaan Sistem Informasi;
 Pengelolaan Insiden Sistem Informasi;

21
 Pengelolaan Kelangsungan Bisnis;

 Kepatuhan.
d. Penerimaan risiko keamanan informasi
Keputusan untuk menerima risiko dan tanggung jawab terhadap keputusan
harus dibuat dan secara resmi dicatat. Dalam beberapa kasus level risiko
residual mungkin tidak memenuhi kriteria penerimaan risiko karena kriteria
yang diterapkan tidak memperhitungkan keadaan yang berlaku. Sebagai
contoh, dapat dikatakan bahwa perlu untuk menerima risiko karena manfaat
yang menyertai risiko sangatlah menarik atau karena biaya pengurangan
risiko terlalu tinggi. Keadaan seperti itu menunjukkan bahwa kriteria
penerimaan risiko tidak memadai dan harus direvisi jika memungkinkan.
e. Komunikasi risiko keamanan informasi
Kegiatan untuk mencapai kesepakatan tentang bagaimana untuk mengelola
risiko dengan bertukar dan/atau berbagi informasi tentang risiko antara
pengambil keputusan dan pemangku kepentingan lainnya. Komunikasi risiko
harus dilaksanakan untuk mencapai hal-hal berikut:
 Untuk memberikan jaminan hasil manajemen risiko organisasi;
 Untuk mengumpulkan informasi risiko;
 Untuk membagi hasil dari penilaian risiko dan menyampaikan rencana
penanganan risiko;
 Untuk menghindari atau mengurangi baik terjadinya maupun
konsekuensi dari pelanggaran keamanan informasi karena kurangnya
saling pengertian di antara para pembuat keputusan dan pemangku
kepentingan;
 Untuk mendukung pengambilan keputusan;
 Untuk mendapatkan pengetahuan baru tentang keamanan informasi;
 Untuk bekerja sama dengan pihak lain dan merencanakan tanggapan
untuk mengurangi konsekuensi dari kejadian apapun;
 Untuk memberikan rasa tanggung jawab tentang risiko pada para
pembuat keputusan dan pemangku kepentingan;
 Untuk meningkatkan kesadaran.

22
f. Pemantauan dan peninjauan risiko keamanan informasi

Resiko tidak statis. Ancaman, kerentanan, kemungkinan atau konsekuensi
dapat berubah tiba-tiba tanpa ada indikasi. Oleh karena itu pemantauan
konstan diperlukan untuk mendeteksi perubahan ini. Hal ini dapat didukung
oleh layanan eksternal yang memberikan informasi mengenai ancaman atau
kerentanan baru. Organisasi harus memastikan bahwa hal-hal berikut ini terus
dipantau:
 Aset baru yang telah dimasukkan dalam lingkup manajemen risiko;
 Modifikasi diperlukan terhadap nilai aset, misalnya karena perubahan
kebutuhan bisnis;
 Ancaman baru yang bisa aktif baik di luar maupun di dalam organisasi
dan yang belum dinilai;
 Kemungkinan bahwa kerentanan baru atau yang meningkat dapat
memungkinkan ancaman untuk mengeksploitasi kerentanan baru atau
berubah;
 Mengidentifikasi kerentanan untuk menentukan mereka yang terekspos
sehingga menjadi ancaman baru atau yang muncul kembali;
 Peningkatan dampak atau konsekuensi dari ancaman, kerentanan dan
risiko yang telah dinilai dalam pengumpulan menghasilkan level risiko
yang tidak dapat diterima;
 Insiden keamanan informasi.
Dalam proses Manajemen Risiko Keamanan Informasi (MRKI) terdapat

keselarasan dengan sistem manajemen keamanan informasi (SMKI) yang dapat
dijelaskan pada Tabel 2.2:

23
Tabel 2.2 Keselarasan antara proses SMKI dengan proses MRKI
Proses SMKI Proses Manajemen Risiko

Keamanan Informasi (MRKI)
Plan (Perencanaan)  Menetapkan konteks
 Penilaian risiko
 Mengembangkan rencana
penanganan risiko
 Penerimaan risiko
Do (Implementasi)  Penerapan rencana penanganan
risiko
Check (Pemeriksaan)  Pemantauan dan peninjauan berkala
terhadap risiko
Act (Tindakan)  Meningkatkan dan memelihara
proses manajemen risiko keamanan
informasi
Pada Tabel 2.2 diatas menerangkan bahwa proses menetapkan konteks, penilaian
risiko, mengembangkan rencanan penanganan risiko dan penerimaan risiko di
Manajemen Risiko Keamanan Informasi selaras dengan proses perencanaan di
Sistem Manajemen Keamanan Informasi dikarenakan dalam keseluruhan proses
tersebut terdapat kebijakan dan prosedur yang digunakan untuk meningkatkan
keamanan informasi.
2.5.2 NIST SP 800-30
Merupakan rekomendasi dari NIST (National Institute of Standard and

Technology ) melalui publikasi khusus yang berisi tentang Risk Management
Guide for Information Technology System. Menurut NIST (2002), terdapat tiga
proses dalam melakukan manajemen risiko yang dapat dilihat pada Gambar 2.4:

24
Risk
Assesment
Risk Risk
Evaluation Mitigation
Gambar 2.4 Proses Manajemen Risiko NIST 800-30
Pada Gambar 2.4 dapat dijelaskan bahwa terdapat tiga proses dalam melakukan
manajemen risiko keamanan informasi yaitu:
a. Risk Assesment
Adalah proses pertama dalam metodologi manajemen risiko. Organisasi
menggunakan penilaian risiko untuk menentukan sejauh mana potensi
ancaman dan risiko yang terkait dengan sistem TI. Hasil dari proses ini
membantu untuk mengidentifikasi pengendalian yang tepat untuk mengurangi
atau menghilangkan risiko selama proses mitigasi risiko. Dalam proses ini
terdapat sembilan langkah penilaian risiko antara lain:
 Mengetahui karakteristik dari sistem TI : Hardware, software, sistem
antarmuka (koneksi internal atau eksternal), data dan informasi, orang
yang mendukung atau menggunakan sistem, tujuan dari sistem, data
kritis dan sensitifitas data;
 Melakukan identifikasi terhadap ancaman yang dapat menyerang
kelemahan sistem TI. Proses ini terdiri dari identifikasi sumber ancaman
dan identifikasi motifikasi serta aksi ancaman;
 Identifikasi kerawanan (vulnerability). Tujuan dari proses ini adalah
mengembangkan daftar kerawanan dari sistem yang dapat dieksploitasi
sumber ancaman;

25
 Melakukan analisis kontrol. Tujuan dari proses ini adalah untuk

melakukan analisis terhadap kontrol yang sudah diimplementasikan dan
atau kontrol yang direncanakan untuk diimplementasikan ;
 Menetapkan kecenderungan (likelihood) yang dipengaruhi oleh
kemampuan dan motivasi sumber ancaman, sifat kerawanan dan
efektifitas dari kontrol yang telah digunakan;
 Analisa terhadap dampak yang dihasilkan dari suksesnya ancaman
seperti loss of integrity, loss of availability, dan loss of confidentiality.
Beberapa dampak yang nyata dapat diukur secara kuantitatif dalam
kehilangan pendapatan, biaya perbaikan sistem, atau tingkat usaha yang
dibutuhkan untuk memperbaiki masalah yang disebabkan oleh tindakan
ancaman yang sukses. Dampak lainnya (hilangnya kepercayaan
masyarakat, kehilangan kredibilitas, kerusakan kepentingan organisasi)
tidak dapat diukur dalam satuan tertentu tetapi dapat memenuhi syarat
atau dijelaskan dalam hal tinggi, sedang, dan dampak yang rendah.
 Melakukan penilaian level risiko dari sistem TI dengan mengembangkan
matrik level dan risiko skala risiko;
 Rekomendasi kontrol dengan tujuan untuk mengurangi level risiko
sistem TI sehingga mencapai level dapat diterima;
 Dokumentasi hasil yang berisi laporan penilaian risiko yang menjelaskan
ancaman dan kerawanan, pengukuran risiko dan menyediakan
rekomendasi implementasi kontrol.
b. Proses Pengurangan Resiko (Risk Mitigation)
Merupakan langkah kedua dalam proses manajemen risiko. Proses ini terdiri
dari beberapa langkah antara lain:
 Menentukan aksi prioritas berdasarkan level resiko dari hasil penilaian
resiko, implementasi dari aksi yang diprioritaskan. Hasil dari langkah
pertama ini adalah ranking tindakan mulai dari tinggi hingga rendah;
 Melakukan evaluasi terhadap pilihan kontrol yang direkomendasikan.
Kelayakan dan efektifitas dari pilihan kontrol yang direkomendasikan
dianalisis dengan tujuan untuk meminimalkan risiko. Hasilnya adalah
susunan daftar kontrol yang layak;

26
 Menyusun cost-benefit analysis. Hasilnya adalah penjelasan biaya dan

manfaat jika organisasi mengimplementasikan atau tidak
mengimplementasikan kontrol tersebut;
 Memilih kontrol berdasarkan hasil dari cost-benefit analysis dimana
manajemen menentukan kontrol dengan biaya paling efektif untuk
mengurangi risiko terhadap misi organisasi. Hasilnya adalah daftar
kontrol yang dipilih;
 Memberikan tanggung jawab. Menentukan personil yang sesuai yang
memiliki keahlian dan ketrampilan ditugaskan untuk
mengimplementasikan pemilihan kontrol yang telah diidentifikasi dan
bertanggung jawab terhadap apa yang sudah ditugaskan. Hasilnya adalah
daftar tanggung jawab personal;
 Mengembangkan rencana implementasi keamanan yang mempunyai
informasi terhadap risiko, rekomendasi kontrol, prioritas aksi, kontrol,
daftar tanggung jawab dan implementasi;
 Implementasikan kontrol. Hasilnya adalah risiko residual.
c. Proses Evaluasi Risiko (Risk Evaluation)
Bagian ini menekankan praktek yang baik, kebutuhan untuk penilaian dan
evaluasi risiko yang sedang berlangsung dan faktor-faktor yang akan
mengarah pada kesuksesan program manajemen risiko.
2.5.3 OCTAVE
Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability

Evaluation) yang dikembangkan Software Engineering Institute, Carnegie Mellon
University. Menurut SEI (2011) bahwa metode manajemen risiko di dalam
Octave dapat dilihat pada Gambar 2.5:

27
Gambar 2.5 Proses Manajemen Risiko OCTAVE

Sumber: Octave Catalog of Practise:2001
Pada Gambar 2.5 menggambarkan tiga langkah dalam melakukan metode

manajemen risiko Octave yang terdiri dari:
a. Membangun profil ancaman berdasarkan aset
Fase ini adalah evaluasi dari sebuah organisasi. Tim analisis menentukan aset
mana yang paling penting untuk organisasi (aset kritis) dan melakukan
identifikasi apa yang telah dilakukan untuk melindungi aset-aset tersebut.
Survei berdasarkan katalog penerapan yang digunakan untuk memperoleh
informasi dari personil organisasi tentang apa saja yang sudah dilakukan
dengan memperhatikan penerapan keamanan. Proses yang dilakukan antara
lain:
 Proses 1: Identifikasi pengetahuan manajemen senior. Manajer senior
yang terpilih mengidentifikasi aset penting, ancaman yang dirasakan,
persyaratan keamanan, penerapan keamanan saat ini dan kerentanan
organisasi;
 Proses 2: Identifikasi pengetahuan manajemen area operasional. Manajer
Operasional yang terpilih mengidentifikasi aset penting, ancaman yang

28
dirasakan, persyaratan keamanan, penerapan keamanan saat ini dan

kerentanan organisasi;
 Proses 3: Identifikasi pengetahuan staf. Pegawai staf TI dan di luar TI
mengidentifikasi aset penting, ancaman yang dirasakan, persyaratan
keamanan, penerapan keamanan saat ini dan kerentanan organisasi;
 Proses 4: Membuat Profil Ancaman. Tim analisis menganalisis informasi
dari Proses 1 sampai 3, memilih aset kritis, memperbaiki persyaratan
keamanan terkait dengan aset tersebut, mengidentifikasi ancaman
terhadap aset kritis dan membuat profil ancaman.
b. Melakukan identifikasi kerawanan infrastruktur
Fase ini adalah evaluasi dari infrastruktur informasi. Tim analisis mengkaji
kunci komponen operasional untuk mencari kelemahan (kerentanan
teknologi) yang dapat menyebabkan tindakan yang tidak terotorisasi terhadap
aset kritis. Proses yang dilakukan dalam fase ini antara lain:
 Proses 5: Identifikasi Komponen Kunci - Tim analisis mengidentifikasi
informasi kunci sistem dan komponen teknologi untuk setiap aset kritis.
Kasus tertentu kemudian dipilih untuk evaluasi;
 Proses 6: Evaluasi Komponen Terpilih - Tim analisis mengkaji sistem
dan komponen kunci untuk kelemahan teknologi. Hasilnya diperiksa dan
diringkas kemudian mencari relevansi untuk aset kritis dan profil
ancaman.
c. Mengembangkan rencana dan strategi keamanan
Dalam tahap evaluasi ini, tim analisis mengidentifikasi risiko terhadap aset
kritis organisasi dan memutuskan cara untuk mengatasi risiko. Proses pada
tahap ini antara lain:
 Proses 7: Melakukan Analisis Risiko - Tim analisis mengidentifikasi
dampak ancaman terhadap aset penting untuk menentukan risiko,
mengembangkan kriteria untuk mengevaluasi risiko-risiko, dan
mengevaluasi dampak risiko berdasarkan kriteria tersebut. Ini
menghasilkan profil risiko untuk setiap aset kritis;
 Proses 8: Mengembangkan Strategi Perlindungan - Tim analisis
menciptakan strategi perlindungan organisasi dan mitigasi rencana untuk

29
aset kritis, berdasarkan analisis informasi yang dikumpulkan. Manajer

senior kemudian meninjau, memperbaiki, dan menyetujui strategi dan
rencana;
2.6 Perbandingan Metode Perancangan Manajemen Risiko
Dari pembahasan ketiga metode perencanaan manajemen risiko keamanan

informasi seperti dibahas pada sub bab 2.4, maka dapat dilakukan perbandingan
dari karakteristik pada masing-masing metode perencanaan manajemen risiko
keamanan informasi untuk selanjutnya digunakan sebagai pertimbangan dan
panduan dalam metodologi penelitian. Adapun kriteria dan perbedaan dari metode
perencanaan manajemen risiko keamanan informasi adalah seperti yang
ditunjukkan pada Tabel 2.3:
Tabel 2.3 Perbandingan metode manajemen risiko keamanan informasi
No Metodologi NIST SP 800-30 OCTAVE ISO 27005
1 Vendor National Institute for Carnegie Mellon International Standard

Standard and University, Software Organization (ISO)
Technology (NIST) Engineering Institute
(SEI)
2 Risk  Memberikan  Bersifat self-  Menjelaskan dengan

Metodologi panduan dan directed, yang lengkap proses
identifikasi yang berarti bahwa manajemen risiko
rinci (checklist, personel dalam keamanan informasi
grafis dan rumus organisasi  Masih berkaitan
matematika) dalam bertanggung jawab dengan ISO 27001
manajemen dan untuk menetapkan dan ISO 27002
penilaian risiko strategi keamanan  Terdapat kriteria unit
keamanan informasi. organisasi. dan ruang lingkup
dalam penetapan
konteks manajemen
risiko keamanan
informasi
3 Target  Pemerintahan  Small Medium  Pemerintahan
Organisasi  Perusahaan besar Enterprise (SME)  Perusahaan besar
 Small Medium  Small Medium
Enterprise (SME) Enterprise (SME)
4 Target Level  Teknikal  Manajemen  Manajemen
Organisasi  Operasional  Operasional  Operasional
Sumber: The European Union Agency for Network and Information Security: 2014

30
2.7 Penelitian Sejenis Sebelumnya
Sebagai bahan pertimbangan dan rujukan dalam penyusunan penelitian yang

disusun, penulis telah menemukan beberapa penelitian sejenis sebelumnya yang
mengambil topik yang berkaitan dengan perencanaan manajemen risiko keamanan
informasi. Berikut pembahasan mengenai penelitian tersebut:
a. Perancangan Manajemen Resiko Sistem Informasi di Instansi Pemerintah:

Studi Kasus Direktorat Jenderal Perkeretaapian oleh Ary Lundi Ayu Oktrada
tahun 2012.
Dalam penelitian ini menggunakan metodologi NIST 800-30 dikarenakan
standar tersebut sudah banyak digunakan di pemerintahan. Analisis dan
tahapan penelitian yang digunakan adalah sebagai berikut:
 Identifikasi sistem informasi;
 Pemilihan sistem informasi;
 Penyusunan perencanaan manajemen risiko TI.
Keluaran yang dihasilkan adalah daftar kontrol yang digunakan untuk
mengurangi risiko. Kekurangan dari penelitian ini adalah pada proses
penilaian risiko dimana penentuan kecenderungan kurang lengkap dan
kuantifikasi dampak serta analisis biaya kurang terperinci.
b. Manajemen Resiko Sistem Informasi: Studi Kasus Pusat Komunikasi
Kementerian Luar Negeri oleh Feradhian Prasastie tahun 2013.
Dalam penelitian ini menggunakan metodologi NIST 800-30 dikarenakan
standar tersebut tepat untuk diimplementasikan di lingkungan pemerintahan.
Analisis dan tahapan penelitian yang digunakan adalah sebagai berikut:
 Perumusan masalah;
 Studi literatur;
 Pengumpulan data;
 Penilaian risiko;
 Prioritas tindakan;
 Evaluasi kontrol;
 Analisis biaya dan manfaat;
 Pemilihan kontrol.

31
Keluaran yang dihasilkan adalah kontrol yang digunakan untuk mengurangi

risiko yang ada dilengkapi dengan analisis biaya. Kekurangan dari penelitian
ini adalah objek penelitian terlalu luas yaitu seluruh sistem informasi dan
teknologi informasi di Pusat Komunikasi Kementerian Luar Negeri sehingga
penilaian risiko kurang mendalam dan tidak adanya strategi penanganan
risiko dimana disusun rekomendasi kontrol untuk semua risiko yang sudah
dievaluasi.
c. Evaluasi Manajemen Risiko Keamanan Informasi Sistem Provisionong
Gateway Telkom Flexy oleh Ega Lestaria Sukma tahun 2011
Penelitian ini menggunakan metodologi ISO 27001 dan ISO 27002
dikarenakan memiliki kontrol objektif yang lengkap. Analisis dan tahapan
penelitian yang digunakan adalah sebagai berikut:
 Perencanaan;
 Pengumpulan data;
 Analisis;
 Penyelesaian.
Keluaran yang dihasilkan adalah evaluasi risiko dan penyusunan prosedur
keamanan informasi pada sistem provisioning gateway Telkom Flexi.
Kekurangan dari penelitian ini adalah tidak adanya definisi kriteria
penanganan risiko sehingga keputusan untuk menerima risiko kurang jelas.
2.8 Kerangka Pemikiran (Theoritical Framework)
Adapun kerangka pemikiran dari penelitian ini dapat dilihat pada Gambar 2.6:

32
Kondisi Organisasi
saat ini
PMK No 191/PMK.09/2008 Perencanaan Manajemen Risiko

Keamanan Informasi
KMK No 479/KMK.01/2010 Penentuan konteks
Penilaian Risiko NIST 800-30
ISO 27005 Penanganan Risiko
Penerimaan Risiko
Rancangan Pengendalian
Keamanan Informasi
Analisis Kebutuhan Kontrol
ISO 27002 Analisis Biaya dan Manfaat
Rekomendasi Kontrol
Gambar 2.6 Kerangka Pemikiran
Pada Gambar 2.6 dapat dijelaskan bahwa proses perencanaan manajemen risiko
keamanan informasi di Direktorat Jenderal Kekayaan Negara Kementerian
Keuangan dipengaruhi oleh:
a. Kondisi organisasi saat ini yang diperoleh dari pengumpulan data baik data
primer maupun data sekunder;
b. Adanya PMK No. 191/PMK.09/2008 tentang Penerapan Manajemen Risiko
di Kementerian Keuangan yang mengamanatkan agar tiap eselon I
menerapkan dan mengembangkan Manajemen Risiko di lingkungan masing-
masing. KMK No. 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem
Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan
yang mengamanatkan agar tiap eselon I melakukan pengendalian terhadap
keamanan informasi dan menerapkan serta mengembangkan manajemen
risiko keamanan informasi;
c. Metode manajemen risiko keamanan informasi ISO 27005 dikarenakan
memberikan panduan perencanaan manajemen risiko yang secara khusus dan
lebih komprehensif dalam melakukan assesment terkait keamanan informasi
serta memiliki alur kerangka kerja (framework) yang sama dengan
manajemen risiko yang tertuang dalam PMK No. 191/PMK.09/2008;

33
d. Kode penerapan manajemen keamanan informai ISO 27002 dikarenakan

telah menjadi kerangka pemikiran pada KMK No. 479/KMK.01/2010 dan
memiliki panduan yang lengkap terkait pengendalian keamanan informasi.
e. NIST 800-30 digunakan untuk melakukan penilaian matriks risiko
dikarenakan terdapat identifikasi yang rinci (checklist, grafis dan rumus
matematika) dalam penilaian risiko keamanan informasi dan mempunyai
format matriks yang sama dengan penilaian risiko di PMK No.
191/PMK.09/2008.

34
BAB III
METODOLOGI PENELITIAN
Pada bab ini membahas mengenai tahapan penelitian yang harus dilakukan untuk
melakukan perencanaan manajemen risiko keamanan informasi.
3.1 Alur Penelitian
Merupakan urutan proses penelitian yang harus dilakukan dari awal sampai akhir
yang dapat dilihat pada Gambar 3.1:
Gambar 3.1 Metodologi Penelitian

35
Pada Gambar 3.1 diatas dapat dijelaskan mengenai alur penelitian yang terdiri dari
beberapa tahap antara lain:
a. Merumuskan masalah terhadap berbagai permasalahan yang telah ditemukan

yang didapat dari kondisi organisasi saat ini. Pada tahap ini menghasilkan
fishbone analysis yang menyebutkan permasalahan utama dan penyebab dari
permasalahan tersebut;
b. Melakukan studi literatur terhadap teori dan metode yang berhubungan
dengan penelitian serta referensi dari penelitian sejenis sebelumnya bersarkan
pertanyaan penelitian. Pada tahap ini menghasilkan kerangka pemikiran yang
akan disusun dalam penelitian;
c. Mengumpulkan data baik data primer maupun sekunder sehingga
menghasilkan dokumentasi pendukung sebagai bahan penyusunan penelitian;
d. Menetapkan kriteria dan ruang lingkup perencanaan manajemen risiko
sehingga menghasilkan penetapan konteks manajemen risiko;
e. Melakukan penilaian risiko berdasarkan dokumentasi data dan aset sehingga
menghasilkan dokumen evaluasi risiko;
f. Melakukan penanganan risiko berdasarkan prioritas risiko yang telah dipilih
dan menghasilkan dokumen rencana penanganan risiko;
g. Melakukan pengendalian dan penerimaan keamanan informasi sesuai dengan
cost benefit analysis sehingga menghasilkan dokumen rencana pengendalian
dan penerimaan keamanan informasi.
3.2 Metode Pengumpulan Data
Pada penelitian ini menggunakan data primer dan sekunder yang mempunyai
pengertian sebagai berikut:
a. Data primer: merupakan data yang diperoleh dari sumber asli dengan
menggunakan teknik tertentu, dengan cara melakukan wawancara dengan
pihak yang terkait dengan penelitian, baik pimpinan unit TI di DJKN maupun
pihak yang melakukan implementasi dan pengembangan TIK di DJKN.
Observasi ke lapangan untuk melakukan pengamatan kondisi bisnis dan SI/TI
yang terjadi dalam organisasi;

36
b. Data sekunder: merupakan data yang secara tidak langsung diperoleh melalui
sumber asli. Data ini diperoleh dari dokumen yang berkaitan dengan
penelitian.
3.3 Metode Analisis Data
Setelah mendapatkan data yang dibutuhkan maka dilakukan analisis data yaitu
antara lain:
a. Analisis perencanaan manajemen risiko keamanan informasi menggunakan

metode ISO 27005;
b. Analisis pengendalian keamanan informasi menggunakan ISO 27002.

37
BAB IV
PROFIL ORGANISASI
Pada bab ini menjelaskan tentang sejarah singkat berdirinya DJKN sebagai unit
eselon I Kementerian Keuangan, menjabarkan tentang visi, misi dan tugas pokok
yang dimiliki DJKN, sasaran strategis yang dilakukan dalam mencapai tujuan
yang diharapkan serta struktur organisasi yang ada dalam mendukung kinerja
organisasi.
4.1 Sejarah Singkat DJKN
Direktorat Jenderal Kekayaan Negara (DJKN) merupakan salah satu unit Eselon I
pada Kementerian Keuangan. Direktorat Jenderal Kekayaan Negara dibentuk
ketika terjadi penataan organisasi di lingkungan Departemen Keuangan pada
tahun 2006 dimana fungsi Pengurusan Piutang Negara dan Pelayanan Lelang di
Direktorat Jenderal Piutang dan Lelang Negara (DJPLN) digabung dengan fungsi
Pengelolaan Kekayaan Negara Direktorat Pengelolaan Barang Milik/Kekayaan
Negara (PBM/KN) di Direktorat Jenderal Perbendaharaan (DJPB), sehingga
Direktorat Jenderal Piutang dan Lelang Negara (DJPLN) berubah menjadi
Direktorat Jenderal Kekayaan Negara (DJKN) berdasarkan Peraturan Presiden
Nomor 66 Tahun 2006 tentang Perubahan Keempat atas Peraturan Presiden
Nomor 10 Tahun 2005 tentang Unit Organisasi dan Tugas Eselon I Kementerian
Republik Indonesia. Hal ini merupakan salah satu hasil Reformasi Birokasi yaitu
dalam hal penyatuan fungsi-fungsi yang sejenis ke dalam satu unit Eselon I.
Direktorat Jenderal Kekayaan Negara beralamat di Gedung Syafruddin

Prawiranegara II Jl. Lapangan Banteng Timur 2-4 Jakarta Pusat, 10710. Jumlah
pegawai sekitar 3000 orang yang tersebar di kantor pusat, kantor wilayah dan
kantor operasional di seluruh Indonesia.

38
4.2 Visi, Misi dan Tugas Organisasi

piutang negara, dan lelang. Dalam melaksanakan tugas yang dibebankan kepada
Direktorat Jenderal Kekayaan Negara, maka ditetapkan visi DJKN, yaitu:
”Menjadi Pengelola Kekayaan Negara, Piutang Negara dan Lelang yang
profesional dan bertanggung jawab untuk sebesar-besar kemakmuran rakyat”.
Profesional adalah bahwa tugas-tugas pengelolaan kekayaan negara, penilaian,

pengurusan piutang negara dan pelayanan lelang dilaksanakan sesuai standar
profesi dan standar keilmuan yang telah ditetapkan. Bertanggung jawab adalah
bahwa pengelolaan kekayaan negara, penilaian, pengurusan piutang negara dan
pelaksanaan lelang dilakukan secara transparan dan dapat dipertanggungjawabkan
sesuai dengan ketentuan peraturan perundangundangan yang berlaku. Untuk
sebesar-besar kemakmuran rakyat, merupakan cita-cita dan arah dari tujuan akhir
pengelolaan kekayaan negara sesuai dengan jiwa Pasal 33 Undang-Undang Dasar
Republik Indonesia tahun 1945.
Untuk merealisasikan visi yang telah ditetapkan, maka Direktorat Jenderal

Kekayaan Negara menetapkan misi antara lain:
1. Mewujudkan optimalisasi penerimaan, efisiensi pengeluaran dan efektivitas
pengelolaan kekayaan negara;
2. Mengamankan kekayaan negara secara fisik, administrasi dan hukum;
3. Mewujudkan nilai kekayaan negara yang wajar dan dapat dijadikan acuan
dalam berbagai keperluan;
4. Melaksanakan pengurusan piutang negara yang efektif, efisien, transparan dan
akuntabel;
5. Mewujudkan lelang yang efektif, efisien, transparan, akuntabel, adil dan
kompetitif sebagai instrumen jual beli yang mampu mengakomodasi
kepentingan masyarakat.

39

piutang negara, dan lelang.
4.3 Sasaran Strategis Organisasi
Sasaran Strategis Direktorat Jenderal Kekayaan Negara yang terdapat dalam

Rencana Strategis (Renstra) DJKN tahun 2010 - 2014 antara lain:
1. Menyusun dan menyempurnakan peraturan perundang-undangan di bidang
pengelolaan kekayaan negara, penilaian kekayaan negara, pengurusan piutang
negara, dan lelang;
2. Menatausahakan kekayaan negara, piutang negara, dan lelang dengan akurat
dan akuntabel;
3. Meningkatkan pengamanan kekayaan negara baik secara administrasi, fisik dan
tertib hukum;
4. Mengintegrasikan perencanaan kebutuhan Barang Milik Negara (BMN)
dengan penganggaran;
5. Meningkatkan kualitas pelayanan pengelolaan kekayaan negara, penilaian,
pengurusan piutang negara, dan lelang;
6. Mengoptimalkan pengelolaan kekayaan negara termasuk aset idle dan
pengurusan piutang negara;
7. Meningkatkan penerimaan kembali (recovery) yang berasal dari pengeluaran
pembiayaan APBN dan Penerimaan Negara Bukan Pajak (PNBP);
8. Meningkatkan kesadaran (awareness) dan kemitraan dengan stakeholder dalam
pengelolaan kekayaan negara, penilaian, pengurusan piutang negara, dan
lelang;
9. Meningkatkan monitoring dan evaluasi kinerja pelaksanaan pengelolaan
kekayaan negara, pengurusan piutang negara, dan lelang;
10.Meningkatkan kualitas sumber daya manusia (SDM), Organisasi, Teknologi
Informasi dan Komunikasi (TIK), dan Pengelolaan Anggaran.

40
4.4 Struktur Organisasi
Struktur organisasi di DJKN terdiri dari Kantor Pusat, Kantor Wilayah dan Kantor
Pelayanan Kekayaan Negara dan Lelang (KPKNL) yang dapat dilihat pada
Gambar 4.1:
a. Kantor Pusat
Gambar 4.1 Struktur organisasi kantor pusat
Pada Gambar 4.1 dapat dilihat struktur organisasi yang dimiliki oleh DJKN
yang dipimpin oleh Direktur Jenderal. Unit kerja Kantor Pusat DJKN terdiri
dari 8 unit eselon II. Selain unit Kantor Pusat, DJKN juga mempunyai unit
kerja vertikal yang tersebar di seluruh Indonesia, yang terdiri dari 17 Kantor
Wilayah dan 70 KPKNL.
b. Kantor Wilayah
Gambar 4.2 Struktur organisasi kantor wilayah
Pada Gambar 4.2 dapat dilihat struktur organisasi pada kantor wilayah
dipimpin oleh Kepala Kanwil. Unit kerja kantor wilayah terdiri dari 6 unit
eselon III, yaitu: Bagian Umum, Bidang Pengelolaan Kekayaan Negara,

41
Bidang Penilaian, Bidang Piutang Negara, Bidang Lelang dan Bidang Hukum
dan Informasi.
c. Kantor Pelayanan Kekayaan Negara dan Lelang (KPKNL)
Gambar 4.3 Struktur organisasi KPKNL
Pada Gambar 4.3 dapat dilihat struktur organisasi pada KPKNL yang
dipimpin oleh Kepala Kantor. Unit kerja KPKNL terdiri dari 7 unit eselon IV,
yaitu: Sub bagian Umum, Seksi Pengelolaan Kekayaan Negara, Seksi
Pelayanan Penilaian, Seksi Piutang Negara, Seksi Pelayanan Lelang, Seksi
Hukum dan Informasi serta Seksi Kepatuhan Internal.
4.5 Rincian tugas tiap Direktorat
Berdasarkan PMK No.184/PMK.01/2010 tentang Organisasi dan Tata Kerja

Kementerian Keuangan dan PMK No.170/PMK.01/2012 tentang Organisasi dan
Tata Kerja Instansi Vertikal di Direktorat Jenderal Kekayaan Negara, maka dapat
dijelaskan tugas untuk tiap unit kerja di DJKN pada Tabel 4.1:

42
Tabel 4.1 Rincian tugas tiap Direktorat
No. Direktorat Tugas
1. Sekretariat Melaksanakan koordinasi pelaksanaan tugas serta

pembinaan dan pemberian dukungan administrasi
kepada semua unsur di lingkungan direktorat
jenderal.
2. Barang Milik Negara Merumuskan serta melaksanakan kebijakan dan
(BMN) standardisasi teknis di bidang barang milik negara.
3. Kekayaan Negara Merumuskan serta melaksanakan kebijakan dan
Dipisahkan (KND) standardisasi teknis di bidang kekayaan negara
dipisahkan.
4. Pengelolaan Kekayaan Merumuskan serta melaksanakan kebijakan dan
Negara dan Sistem standardisasi teknis di bidang pengelolaan kekayaan
Informasi (PKNSI) negara dan sistem informasi.
5. Penilaian Merumuskan serta melaksanakan kebijakan dan
standardisasi teknis di bidang penilaian.
6. Piutang Negara dan Merumuskan serta melaksanakan kebijakan dan
Kekayaan Negara standardisasi teknis di bidang piutang negara dan
Lain-lain (PNKNL) kekayaan negara lain-lain.
7. Lelang Merumuskan serta melaksanakan kebijakan dan
standardisasi teknis di bidang lelang.
8. Hukum dan Hubungan Merumuskan serta melaksanakan kebijakan dan
Masyarakat standardisasi teknis di bidang hukum dan hubungan
masyarakat.
9 Kantor Wilayah melaksanakan koordinasi, bimbingan teknis,
pengendalian, evaluasi dan pelaksanaan tugas di
bidang kekayaan negara, piutang negara dan lelang.
10 KPKNL melaksanakan pelayanan di bidang kekayaan negara,
penilaian, piutang negara dan lelang.
4.6 Penerapan Manajemen Risiko di DJKN
Berdasarkan PMK No.191/PMK.09/2008 tentang Penerapan Manajemen Risiko

di Lingkungan Kementerian Keuangan bahwa Setiap unit Eselon I di lingkungan
Kementerian Keuangan harus menerapkan dan mengembangkan Manajemen
Risiko di lingkungan masing-masing dan diwajibkan menyusun laporan profil
risiko, penanganan risiko dan monitoring risiko setiap enam bulan sekali. Laporan
manajemen risiko DJKN dapat dilihat pada Tabel 4.2 dan Tabel 4.3:

43
Tabel 4.2 Laporan Profil Risiko DJKN semester 1 tahun 2014
Identifikasi Risiko Analisis Risiko

Kategori Pengendalian
No Sasaran Strategis Deskripsi
Risiko Deskripsi Risiko Penyebab Yang Ada Konsekuensi Kemungkinan Level
Konsekuensi
(1) (2) (3) (4) (5) (6) (7) (8) (9) (10)
1 Utilisasi kekayaan negara Risiko Tidak tercapainya target BMN pada K/L belum seluruhnya tidak tercapainya Dokumen Tinggi Tinggi Tinggi
yang optimal Strategik utilisasi kekayaan negara diusulkan permohonan realisasi utilisasi Utilisasi
pengelolaan BMN kekayaan negara
2 Penerimaan pembiayaan Risiko Tidak tercapainya target Adanya perubahan target HPA Tidak optimalnya Peraturan, Tinggi Sedang Tinggi
dari aset recovery Strategik jumlah penerimaan kembali dalam APBN-P pengurusan aset kredit SOP
yang berasal dari dan aset properti
pengeluaran APBN
3 Penyelesaian BMN Risiko Rendahnya persentase tidak terselesaikannya Tingkat kepercayaan Peraturan, Sedang Sedang Sedang
Kemenkeu yang Strategik penyelesaian BMN penyelesaian BMN Kemenkeu menurun SOP
bermasalah Kemenkeu yang bermasalah yang bermasalah
4 Pelaksanaan Pelayanan Risiko Rendahnya persentase Peraturan pengelolaan kekayaan Tingkat kepercayaan Peraturan, Sedang Sedang Sedang
pengelolaan kekayaan operasional ppermohonan pengelolaan negara belum memadai menurun SOP
negara yang efektif dan kekayaan negara tepat
efisien waktu
5 Pengelolaan dan Risiko tidak terealisasinya Peraturan/kebutuhan pengguna Tidak tercapainya Sedang Sedang Sedang
pengembangan TIK yang Operasional pembangunan sistem belum terdefinisi dengan baik, dukungan sistem
optimal informasi yang mendukung perancangan sistem informasi informasi terhadap
proses bisnis belum siap, atau pengadaan proses bisnis
sistem informasi terkendala.
6 Kepuasan Pengguna Risiko Rendahnya indeks kepuasan Banyaknya keluhan (komplain) Tingkat kepercayaan Kuesioner Sedang Sedang Sedang
Layanan yang tinggi Operasional pengguna layanan dari stakeholder internal dan stake holder menurun
eksternal
7 Pelaksanaan anggaran Risiko Tidak tercapainya implementasi kegiatan Tingkat kepercayaan Peraturan, Sedang Sedang Sedang
yang optimal Operasional penyerapan DIPA secara mengalami perubahan stake holder menurun SOP
optimal
8 Penataan organisasi yang Risiko Tidak tercapainya penerapan Penerapan manajemen risiko Tingkat kepercayaan Peraturan, Sedang Rendah Rendah
adaptif Operasional manajemen risiko belum optimal stake holder menurun SOP

44
Tabel 4.3 Laporan Penanganan Risiko DJKN semester 1 tahun 2014
Penanganan Risiko Risiko residual yang diharapkan

Jadwal Penanggung
No Rencana
Risiko Rincian Penanganan Implementasi Jawab Konsekuensi Kemungkinan Level
Penanganan
(1) (2) (3) (4) (5) (6) (7) (8) (9)

1 Tidak tercapainya target Mengurangi Peningkatan koordinasi dengan K/L yang kurang aktif Tahun 2014 Dirjen KN Sedang Rendah Rendah
utilisasi kekayaan negara risiko
2 Tidak tercapainya target Menghindari peningkatan koordinasi dengan kantor operasional dalam Tahun 2014 Dirjen KN Sedang Rendah Rendah
jumlah penerimaan kembali risiko rangka pengurusan piutang, lelang aset PPA, BDL, dan BPPN
(recovery) yang berasal dari dalam rangka memenuhi perubahan target HPA
pengeluaran APBN
3 Rendahnya persentase Mengurangi koordinasi dengan Setjen Kemenkeu dan pelaksanaan revisi KMK Tahun 2014 Dirjen KN Sedang Rendah Rendah
penyelesaian BMN risiko 31/KM.06/2010 tentang pendelegasian wewenang atau
Kemenkeu yang bermasalah rekonsiliasi data dengan Kanwil/KPKNL
4 Rendahnya persentase Mengurangi melakukan evaluasi dan monitoring penyelesaian permohonan Tahun 2014 Dirjen KN Sedang Rendah Rendah
ppermohonan pengelolaan risiko pengelolaan kekayaan negara serta pelaksanaan revisi KMK
kekayaan negara tepat waktu 31/KM.06/2010 tentang pendelegasian wewenang
5 tidak terealisasinya Menghindari mendefinisikan peraturan/kebutuhan pengguna dengan baik. Tahun 2014 Dirjen KN Sedang Rendah Rendah
pembangunan sistem risiko Dalam hal peraturan/kebutuhan sistem informasi yang
informasi yang mendukung memerlukan pengetahuan teknis yang tidak sederhana,
proses bisnis pembangunan sistem informasi diserahkan kepada unit teknis
terkait untuk menghindari kesalahan interpretasi.
6 Rendahnya indeks kepuasan Menghindari Penyelesaian permohonan pengelolaan kekayaan negara secara Tahun 2014 Dirjen KN Sedang Rendah Rendah
pengguna layanan risiko tepat waktu
7 Tidak tercapainya Menghindari rapat koordinasi internal Direktorat terkait evaluasi penyerapan Tahun 2014 Dirjen KN Sedang Rendah rendah
penyerapan DIPA secara risiko DIPA atau penyusunan disbursement plan
optimal
8 Tidak tercapainya penerapan Menghindari rapat koordinasi internal Direktorat dan permintaan masukan Tahun 2014 Dirjen KN Sedang Rendah Rendah
manajemen risiko risiko atas MR yang telah dibuat

45
Pada Tabel 4.2 diatas merupakan laporan profil risiko di DJKN pada awal semeter
tahun 2014. Laporan tersebut disusun berdasarkan sasaran strategis yang harus
dicapai oleh DJKN dimana dibagi menjadi dua jenis risiko yaitu risiko stategis
dan risiko operasional. Selanjutnya dilakukan identifikasi risiko yang mungkin
terjadi terhadap pencapaian sasaran strategis dengan mengetahui deskripsi,
penyebab dan konsekuensi risiko. Melakukan identifikasi terhadap penanganan
yang sudah ada dan melakukan analisis risiko sehingga menghasilkan tingkat
konsekuensi, tingkat kemungkinan dan level risiko.
Pada Tabel 4.3 menjelaskan mengenai rencana dan diskripsi penanganan terhadap
risiko yang timbul, menentukan jadwal implementasi, menentukan penanggung
jawab penanganan risiko dan menentukan risiko residual yang diharapkan. Dalam
hal ini DJKN hanya melaporkan profil risiko dan penanganan risiko dikarenakan
DJKN baru menyusun laporan tersebut pada awal semester tahun 2014 sehingga
belum terdapat laporan monitoring risiko.

46
BAB V
ANALISIS DAN PEMBAHASAN
Pada bab ini menjelaskan proses perencanaan manajemen risiko keamanan

informasi yang dimulai dari penetapan konteks, penilaian risiko sehingga
menghasilkan daftar risiko yang diprioritaskan, penanganan risiko dan
penerimaan risiko pada Gambar 5.1:
Gambar 5.1 Proses Perencanaan Manajemen Risiko Keamanan Informasi

47
Pada Gambar 5.1 diatas menggambarkan proses perencanaan manajemen risiko

keamanan informasi yang dapat dijelaskan sebagai berikut:
5.1 Penetapan Konteks
Sebelum melakukan proses analisis risiko maka harus menentukan dahulu kriteria
dasar terkait dengan pengelolaan risiko, ruang lingkup proses perencanaan
manajemen risiko keamanan informasi dan organisasi yang layak dalam
menjalankan manajemen risiko keamanan informasi di DJKN.
5.1.1 Kriteria Dasar Pengelolaan Risiko
Dalam hal ini terdapat kriteria dalam pengelolaan risiko yang terdiri dari kriteria
evaluasi risiko, kriteria dampak dan kriteria penerimaan risiko. Adapun penjelasan
setiap kriteria sebagai berikut:
a. Kriteria Evaluasi Risiko
Berdasarkan ISO 27005 bahwa terdapat beberapa macam kriteria evaluasi
risiko yang dapat ditentukan dari beberapa faktor antara lain:
 Nilai strategis dari proses informasi bisnis;
 Kebutuhan untuk regulasi dan hukum;
 Tingkat aset informasi yang terlibat;
 Kepentingan operasional bisnis terkait confidentiality, integrity dan
availability;
 Pengaruh terhadap kepentingan stakeholder;
 Konsekuensi terhadap reputasi organisasi.
Dalam penelitian ini menggunakan faktor kriteria evaluasi risiko yaitu
kepentingan operasional bisnis terkait confidentiality, integrity dan
availability dan faktor pengaruh terhadap kepentingan stakeholder yang dapat
mempengaruhi proses kinerja DJKN, hal ini sesuai dengan tingkat evaluasi
risiko yang terdapat di PMK No.191/PMK.09/2008.
b. Kriteria Dampak
Dalam penelitian ini menggunakan kriteria dampak dan kriteria
kecenderungan risiko berdasarkan PMK No.191/PMK.09/2008 tentang

48
Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan yaitu

pada Tabel 5.1 dan Tabel 5.2:
Tabel 5.1Kriteria Dampak
Tingkat
Dampak PMK No.191/PMK.09/2008 Penelitian
Tinggi  Pengaruh terhadap strategi dan  Proses bisnis terhenti dalam jangka
aktivitas operasi tinggi waktu lebih dari 12 jam.
 Pengaruh terhadap kepentingan  Adanya informasi rahasia yang
para stakeholder tinggi tersebar ke pihak yang tidak
berwenang
 Adanya data yang rusak/hilang dan
tidak terdapat backup
 Berdampak lebih dari 20 % jumlah
kantor operasional (diatas 20 kantor
operasional)
Sedang  Pengaruh terhadap strategi dan  Proses bisnis terhenti dalam jangka
aktivitas operasi sedang waktu 3 – 12 jam.
 Pengaruh terhadap kepentingan  Adanya data yang rusak/hilang
para stakeholder sedang namun terdapat backup
 Berdampak antara 5% - 20% jumlah
kantor operasional (beberapa /
antara 5-20 kantor operasional)
Rendah  Pengaruh terhadap strategi dan  Proses bisnis terhenti kurang dari 3
aktivitas operasi rendah jam.
 Pengaruh terhadap kepentingan  Berdampak kurang dari 5 % jumlah
para stakeholder rendah kantor operasional
(sebagian kecil / dibawah 5 kantor
operasional)
Tabel 5.2 Tingkat kecenderungan risiko

Tingkat PMK
Kecenderungan Penelitian
No.191/PMK.09/2008
Tinggi Kemungkinan terjadinya  Banyaknya permasalahan lebih dari 50
tinggi atau hampir pasti kali dalam setahun
terjadi  Kontrol tidak berjalan efektif
Sedang Kemungkinan terjadinya  Banyaknya permasalahan antara 5 sampai

sedang 50 kali dalam setahun
 Kontrol dapat mengurangi ancaman
Rendah Tidak pernah atau jarang  Banyaknya permasalahan kurang dari 5
terjadi kali dalam setahun
 Kontrol dapat mengurangi atau mencegah
ancaman

49
Pada Tabel 5.1 dijelaskan mengenai tingkat dampak yang dapat berpengaruh
terdapat strategi dan aktivitas operasi maupun terhadap kepentingan para
stakeholder dan Tabel 5.2 menerangkan tingkat kecenderungan terjadinya
risiko berdasarkan PMK No.191/PMK.09/2008. Namun keterangan tersebut
masih bersifat umum sehingga dalam penelitian ini perlu disusun kriteria
yang lebih spesifik dan terukur sehingga memudahkan dalam proses penilaian
risiko. Tingkat dampak penelitian bersumber pada hasil wawancara dengan
berbagai narasumber yang terkait sedangkan tingkat kecenderungan
penelitian bersumber pada Rekap helpdesk TIK dan NIST SP 800-30.
c. Kriteria Penerimaan Risiko
Dalam penelitian ini menggunakan kriteria penerimaan risiko dan kriteria
risiko yang harus ditransfer berdasarkan PMK No.191/PMK.09/2008 tentang
Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan dapat
dilihat pada Tabel 5.3 dan Tabel 5.4:
Tabel 5.3 Kriteria penerimaan risiko
PMK No.191/PMK.09/2008 Penelitian
 Maksimal memiliki tingkat konsekuensi  Selera risiko maksimal memiliki tingkat

pada level yang telah ditetapkan untuk risiko residual rendah yang terdiri dari
diretensi sesuai dengan toleransi dan tingkat konsekuensi sedang dan tingkat
selera risiko instansi yang telah kecenderungan rendah.
ditetapkan.  Terdapat perlindungan hukum yang
 Terdapat perlindungan hukum yang memadai mencakup regulasi dan atau
memadai mencakup regulasi dan atau perjanjian/kontrak;
perjanjian/kontrak;  Unit pengambil risiko dan pemilik risiko
 Unit pengambil risiko dan pemilik terkait dapat memastikan dengan tingkat
risiko terkait dapat memastikan dengan keyakinan diatas 85 % bahwa tidak akan
tingkat keyakinan diatas 85 % bahwa terjadi kegagalan pada orang, proses dan
tidak akan terjadi kegagalan pada orang, sistem yang ada.
proses dan sistem yang ada.

50
Tabel 5.4 Kriteria risiko yang harus ditransfer
PMK No.191/PMK.09/2008 Penelitian
 Risiko-risiko residual dengan tingkat  Risiko residual dengan tingkat

konsekuensi pada level yang tidak dapat konsekuensi pada level yang tidak dapat
diterima sesuai dengan toleransi dan diterima sesuai dengan selera risiko;
risiko instansi yang dapat diterima.  DJKN tidak memiliki sumber daya yang
 Instansi tidak memiliki sumber daya memadai untuk melakukan pengurangan
yang memadai untuk membiayai risiko tersebut.
konsekuensi risiko yang diperkirakan.
Adapun penentuan selera risiko pada penelitian ini bersumber pada laporan
manajemen risiko DJKN semester I tahun 2014 yang dapat dilihat pada Tabel 5.5:
Tabel 5.5 Matriks selera risiko
Dampak Rendah (10) Sedang (50) Tinggi (100)
Kecenderungan
Tinggi (1.0) Mitigate Mitigate Mitigate
Sedang (0.5) Accept Mitigate Mitigate
Rendah (0.1) Accept Accept Mitigate
5.1.2 Ruang Lingkup Perencanaaan Manajemen Risiko Keamanan

Informasi
Berdasarkan ISO 27005 bahwa organisasi harus menentukan ruang lingkup dan
batasan manajemen risiko keamanan informasi. Ruang lingkup dari proses
manajemen risiko keamanan informasi perlu ditetapkan untuk memastikan bahwa
semua aset yang relevan diperhitungkan dalam penilaian risiko.
Berdasarkan PMK No.120/PMK.06/2007 tentang Penatausahaan BMN dan PMK
No.96/PMK.06/2007 tentang Tata Cara Pelaksanaan Penggunaan, Pemanfaatan,
Penghapusan dan Pemindahtanganan BMN dapat diketahui bahwa proses bisnis
utama di DJKN adalah melakukan pengelolaan barang milik negara yang secara

51
umum dibagi menjadi 3 tahapan yaitu tahap awalan, tahap utama, dan tahap
ikutan dapat dilihat pada Gambar 5.2:
Gambar 5.2 Proses bisnis pengelolaan BMN
Pada Gambar 5.2 dapat dijelaskan bahwa siklus awalan adalah proses pertama
dalam pengelolaan barang milik negara meliputi perecanaan, penganggaran dan
pengadaan dimana sampai saat ini masih dikelola oleh Kementerian/Lembaga.
Siklus reguler dalam tahap utama memiliki pengertian bahwa setiap barang milik
negara yang telah diadakan pasti akan melalui siklus ini artinya setiap barang pasti
akan digunakan, diawasi, ditatausahakan, dan sampai dengan tahap dihapuskan.
Sebaliknya siklus insidentil ini memiliki makna bahwa hanya barang – barang
tertentu atau dalam hal – hal tertentu saja barang milik negara tersebut akan
dimanfaatkan, dipindahtangankan, dinilai, atau bahkan dimusnahkan. Sedangkan
yang dimaksud dengan siklus ikutan ini adalah suatu tahapan dimana diadakan
pelaksanaan lelang atau timbulnya piutang merupakan akibat dari pelaksanaan
sebagian siklus utama tersebut. Siklus utama dan ikutan saat ini sudah dikelola
oleh Direktorat Jenderal Kekayaan Negara (DJKN).
Apabila ditarik dari segi aplikasi, maka pada proses utama menggunakan aplikasi
Modul KN sedangkan proses ikutan menggunakan aplikasi Simple. Berdasarkan
Blue Print (Cetak Biru) TIK DJKN, bahwa terdapat beberapa sistem aplikasi yang
ada di DJKN dalam menunjang kinerja organisasi yaitu dapat dilihat pada Gambar
5.3:

52
Gambar 5.3 Pemetaan aplikasi di DJKN

Sumber: Blue Print TIK DJKN: 2008
Pada Gambar 5.3 tersebut dapat diketahui bahwa terdapat beberapa aplikasi yang
dipetakan sesuai dengan ApplicationsPortofolio (Ward & Peppard, 2002) yang
dapat dijelaskan pada Gambar 5.4:
Gambar 5.4 Applications Portofolio

Sumber: Strategic Planning for Information Systems Third Edition: 2002
Sesuai dengan keterangan pada Gambar 5.4 terdapat aplikasi yang bersifat key-
operasional yaitu aplikasi yang sangat vital dimana apabila aplikasi tersebut
mengalami gangguan maka proses bisnis tidak dapat berjalan dan memberikan
kerugian yang besar bagi DJKN. Kedua aplikasi tersebut adalah Modul Kekayaan

53
Negara (Modul KN) dan Sistem Informasi Piutang dan Lelang (SIMPLE). Oleh
karena itu penelitian ini difokuskan pada aplikasi Modul KN dikarenakan
memiliki proses bisnis dan informasi utama dalam menunjang kinerja di
lingkungan DJKN.
Berdasarkan laporan manajemen risiko semester I tahun 2014 pada sub bab 4.6
dapat diketahui bahwa laporan tersebut menjelaskan tentang risiko bisnis yang
dapat terjadi berdasarkan sasaran strategis. Dalam hal ini tidak terdapat laporan
tentang risiko TI dan risiko keamanan informasi yang dapat menyebabkan risiko
bisnis dikarenakan belum adanya framework pengelolaan risiko yang
komprehensif.
Untuk itu dalam penelitian ini dilakukan analisis terhadap sasaran strategis yang
berhubungan antara risiko bisnis, risiko TI dan risiko keamanan informasi dimana
terdapat pada sasaran strategis pengelolaan dan pengembangan TIK yang optimal.
Adapun risiko yang dihadapi yaitu tidak terealisasinya pembangunan sistem
informasi yang mendukung proses bisnis dimana mempunyai nilai risiko sedang,
sedangkan nilai risiko residual yang diharapkan adalah bernilai rendah. Oleh
karena itu perlu dilakukan analisis manajemen risiko terhadap aplikasi Modul KN
sebagai sistem informasi utama khususnya dalam hal keamanan informasi
sehingga dapat mendukung proses bisnis di DJKN dengan baik.
Aplikasi Modul KN adalah aplikasi yang digunakan oleh DJKN yang

mendapatkan data dari aplikasi Sistem Informasi Manajemen dan Akutansi
Barang Milik Negara (SIMAK-BMN) Kementerian/Lembaga yang bertujuan
untuk melakukan rekonsiliasi pengelolaan BMN dalam rangka penyusunan
Laporan Keuangan Pemerintah Pusat (LKPP) yang dapat dilihat pada Gambar 5.5:

54
SATKER K/L KPKNL/KANWIL KANTOR PUSAT
Mengirim data dari Selesai

SIMAK BMN
Tidak
sesuai
Sesuai
Sesuai
Melakukan Pembuatan Melakukan
Mulai
DJPB rekonsiliasi Laporan rekapitulasi
Mengirim data dari Tidak

SAKPA sesuai
Gambar 5.5 Proses bisnis aplikasi Modul KN
Pada Gambar 5.5 dapat dijelaskan bahwa proses bisnis aplikasi Modul KN
dimulai setelah mendapatkan data SIMAK-BMN dari Kementerian/Lembaga dan
data Sistem Akuntansi Pengguna Anggaran (SAKPA) dari Ditjen Perbendaharaan
(DJPB). KPKNL/Kanwil melakukan rekonsiliasi pengelolaan BMN menggunakan
aplikasi Modul KN, apabila telah sesuai maka akan dilakukan pembuatan laporan
tapi apabila tidak sesuai makadikembalikan ke Kementerian/Lembaga untuk
dilakukan perbaikan. KPKNL/Kanwil mengirimkan laporan ke kantor pusat untuk
dilakukan rekapitulasi, apabila tidak sesuai maka akan dikembalikan ke
KPKNL/Kanwil untuk dilakukan perbaikan.
Adapun mengenai topologi jaringan yang digunakan oleh aplikasi Modul KN

dapat dilihat pada Gambar 5.6:
Access Switch
Core
Switch Access
Switch
Router
Firewall
PC
KANWIL
Database Server
DATA CENTER Storage Server
Access ISP
Switch Access
Switch
Router Distributor
Switch
PC
KPKNL Database Server KANTOR PUSAT
PC
Gambar 5.6 Arsitektur teknologi informasi aplikasi Modul KN


55
Pada Gambar 5.6 merupakan arsitektur teknologi informasi yang mendukung

aplikasi Modul KN yang terdiri dari perangkat keras (hardware), perangkat lunak
(software) maupun perangkat jaringan (network). Aplikasi modul KN merupakan
aplikasi berbasis desktop sehingga harus diinstal di tiap PC baik di KPKNL,
Kanwil maupun Kantor Pusat. Database aplikasi disimpan di masing-masing
server database KPKNL/Kanwil kemudian ditarik oleh kantor pusat dan disimpan
di server storage. Media jaringan menggunakan Virtual Private Network (VPN)
melalui Telkom dan melalui jaringan Pusintek.
5.1.3 Organisasi Manajemen Risiko Keamanan Informasi
Berdasarkan PMK No.191/PMK.09/2008 dijelaskan bahwa terdapat dua tingkatan

dalam pengorganisasian manajemen risiko yaitu:
a. Pengendalian tingkat kebijakan (tingkat kementerian) dimana membentuk
komite manajemen risiko yang terdiri dari pejabat eselon I dan dua orang
pejabat eselon II pada tiap eselon I sebagai anggota (salah satu pejabat eselon
II ditunjuk sebagai ketua manajemen risiko);
b. Pengendalian tingkat operasional (tingkat eselon I) yang terdiri dari satu
orang pejabat eselon II yang ditunjuk sebagai ketua manajemen risiko, unit
eselon II sebagai pemilik risiko, unit eselon III sebagai koordinator
manajemen risiko dan pejabat eselon IV yang ditunjuk sebagai administrator
manajemen risiko.
Menurut hasil wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi

Informasi Bpk. Agus Setyo Pambudi tanggal 27 Maret 2014 bahwa DJKN telah
menunjuk sekretaris DJKN sebagai ketua manajemen risiko dan Direktur PKNSI
sebagai anggota komite manajemen risiko.
Berdasarkan Surat Edaran No.6/KN/2012 tentang struktur tim keamanan

informasi bahwa DJKN telah menunjuk Direktur Pengelolaan Kekayaan Negara
dan Sistem Informasi (PKNSI) sebagai ketua tim keamanan informasi kantor
pusat (CISO DJKN) dan Kasubdit Pengolahan Data dan Layanan Operasional
(PDLO) sebagai koordinator keamanan informasi kantor pusat (IS Manager
DJKN).

56
Oleh karena itu dapat ditunjuk Direktur Pengelolaan Kekayaan Negara dan Sistem
Informasi (PKNSI) sebagai ketua manajemen risiko khususnya terkait keamanan
informasi dikarenakan telah menjadi CISO DJKN dan mengelola aplikasi Modul
Kekayaan Negara yang menampung informasi utama yang dibutuhkan oleh unit
eselon II lainnya dan kantor operasional sebagai pemilik risiko. Adapun posisi
ketua manajemen risiko keamanan informasi berada dibawah ketua manajeme
risiko yang mengelola semua risiko di DJKN. Struktur organisasi manajemen
risiko keamanan informasi dapat dilihat pada Gambar 5.7:
Gambar 5.7 Struktur organisasi manajemen risiko keamanan informasi di

DJKN
Pada Gambar 5.7 digambarkan struktur organisasi terkait dengan manajemen

risiko keamanan informasi di DJKN yang terdiri Ketua Manajemen Risiko di
DJKN adalah Sekretaris DJKN, Ketua Manajemen Risiko Keamanan Informasi
adalah Direktur PKNSI dan Unit Pemilik Resiko adalah seluruh unit eselon II dan
kantor operasional DJKN. Alur koordinasi antar tingkatan struktur ditunjukkan
oleh tanda panah kebawah dan alur pelaporan antar tingkatan struktur ditunjukkan

57
oleh tanda panah putus-putus keatas. Adapun peran dan tanggung jawab struktur
manajemen risiko keamanan informasi sebagai berikut:
 Ketua Manajemen Risiko berperan sebagai pimpinan tertinggi dalam
pengelolaan risiko di DJKN. Bertanggung jawab untuk menyusun arah
kebijakan, strategi penerapan, metodologi manajemen risiko dan
mengembangkan kerangka kerja manajemen risiko secara terpadu dan
menyeluruh.
 Ketua Manajemen Risiko Keamanan Informasi berperan sebagai pimpinan
tertinggi dalam pengelolaan risiko keamanan informasi di DJKN.
Bertanggung jawab untuk memelihara, mengendalikan, mengukur
efektivitas dan konsistensi penerapan kebijakan, standar dan risiko
keamanan informasi.
 Unit Pemilik Risiko berperan sebagai pihak yang memiliki risiko.

Bertanggung jawab untuk menetapkan dan menyusun laporan tentang
profil, penanganan dan monitoring risiko keamanan informasi.
5.2 Penilaian Risiko
Pada sub bab ini dilakukan dua tahap yaitu tahap identifikasi risiko dan estimasi
risiko. Identifikasi risiko dilakukan dengan mengidentifikasi aset, ancaman,
kontrol dan kerawanan sedangkan estimasi risiko adalah menentukan dampak dan
kecenderungan risiko yang diukur secara kualitatif maupun kuantitatif.
5.2.1 Identifikasi Risiko
Dalam hal ini dilakukan identifikasi terhadap aset utama dan aset pendukung
dalam aplikasi Modul KN kemudian langkah selanjutnya melakukan identifikasi
terhadap ancaman yang terjadi pada setiap aset, mengidentifikasi pengendalian
(control) yang sudah digunakan dalam melindungi aset serta mengidentifikasi
kerawanan yang diakibatkan oleh kontrol yang tidak berjalan dengan baik atau
belum terdapat kontrol dalam mencegah ancaman tersebut.
Aset utama berupa proses bisnis yang ada dalam aplikasi Modul KN (rekonsiliasi,
rekapitulasi, pembuatan laporan, backup data dan restore data) dan informasi

58
yang ada didalamnya (database kekayaan negara). Aset pendukung berupa

elemen atau perangkat yang menjadi wadah terhadap proses bisnis dan informasi
yang berjalan. Untuk lebih jelasnya dapat dilihat pada Tabel 5.6:
Tabel 5.6 Rincian aset pada Modul KN
No Jenis Aset Aset Nilai Aset Pemilik Aset Lokasi Aset
Aplikasi Modul Aset

Subdit Perancangan dan  KPKNL
KN Pendukung Pengembangan Aplikasi  Kanwil
1  Kantor Pusat
2 Database Aset utama Subdit Pengolahan Data  KPKNL
Kekayaan Negara dan Layanan Operasional  Kanwil
 Kantor Pusat
3 Database server Aset Subdit Pengolahan Data  KPKNL
Pendukung dan Layanan Operasional  Kanwil
4 Storage Server Aset Subdit Pengolahan Data Kantor Pusat

Pendukung dan Layanan Operasional
5 Core switch Aset Subdit Pengolahan Data Kantor Pusat

6 Distributor Switch Aset Subdit Pengolahan Data Kantor Pusat

7 Access Switch Aset Subdit Pengolahan Data  KPKNL

Teknologi  Kantor Pusat
8 Firewall Aset Subdit Pengolahan Data Kantor Pusat
9 Kabel Jaringan Aset  KPKNL  KPKNL

Pendukung  Kanwil  Kanwil
 Kantor Pusat  Kantor Pusat
10 PC Aset  KPKNL  KPKNL

11 Windows OS Aset  KPKNL  KPKNL
12 Oracle 10G Aset Subdit Pengolahan Data  KPKNL
 Kantor Pusat
13 Linux Redhat Aset Subdit Pengolahan Data  KPKNL
 Kantor Pusat
14 Antivirus Aset  KPKNL  KPKNL

59
Tabel 5.6 Rincian aset pada Modul KN (lanjutan)
No Jenis Aset Aset Nilai Aset Pemilik Aset Lokasi Aset
15 Operator KPKNL Aset KPKNL KPKNL

Pendukung
16 Operator Kanwil Aset Kanwil Kanwil

Pendukung
17 Sumber Operator Kantor Aset Kantor Pusat Kantor Pusat

Daya Pusat Pendukung
Manusia
18 (SDM) Programmer Aset Subdit Perancangan dan Kantor Pusat
Pendukung Pengembangan Aplikasi
19 Teknisi Jaringan Aset Subdit Pengolahan Data Kantor Pusat

20 Database Aset Subdit Pengolahan Data Kantor Pusat

Administrator Pendukung dan Layanan Operasional
21 Petugas Help Aset Subdit Pengolahan Data Kantor Pusat

Desk Pendukung dan Layanan Operasional
22 Proses Aset utama  KPKNL  KPKNL

Rekonsiliasi  Kanwil  Kanwil
23 Proses Aset utama  Kantor Pusat  Kantor Pusat

Rekapitulasi
Proses
24 Bisnis Proses Pembuatan Aset utama  KPKNL  KPKNL
Laporan  Kanwil  Kanwil
25 Proses backup Aset utama  KPKNL  KPKNL

data  Kanwil  Kanwil
26 Proses restore Aset utama  KPKNL  KPKNL
data  Kanwil  Kanwil
Setelah dilakukan identifikasi aset utama dan pendukung terhadap aplikasi Modul
KN selanjutnya dilakukan identifikasi ancaman pada setiap aset dan menentukan
sumber dari ancaman tersebut. Untuk lebih jelasnya dapat dilihat pada Tabel 5.7:

60
Tabel 5.7 Identifikasi ancaman tiap aset
No Aset Ancaman Sumber
1. Aplikasi Modul KN  Terjadi permasalahan saat  Vendor

mengoperasikan aplikasi  Programmer
 Proses troubleshooting  Vendor
aplikasi terhambat  Programmer
 Penyalahgunaan hak  Hacker
2 Database Kekayaan  Informasi rahasia mudah  Hacker

Negara dibaca  Orang yang tidak berhak
3 Database server  Penyalahgunaan hak  Hacker

 Orang yang tidak berhak
 Server tidak bisa diakses  Database Administrator

4 Storage Server  Penyalahgunaan hak  Hacker
 Server tidak bisa diakses  Database Administrator

5 Core switch  Penyalahgunaan hak  Hacker
 Koneksi terputus  Hacker

 Listrik
6 Distributor Switch  Penyalahgunaan hak  Hacker

 Listrik
7 Access Switch  Penyalahgunaan hak  Hacker

 Listrik
8 Router  Penyalahgunaan hak  Hacker

 Listrik
9 Kabel Jaringan  Koneksi ke perangkat  Teknisi Jaringan
mengalami gangguan  Pengguna
10 PC  Permasalahan penggunaan  Virus
 Data hilang/rusak  Virus
11 Windows OS  Permasalahan saat  Virus
penggunaan
12 Oracle 10G  Penyalahgunaan hak  Hacker
13 Linux Redhat  Penyalahgunaan hak  Hacker
14 Antivirus  Data hilang/rusak  Virus

61
Tabel 5.7 Identifikasi ancaman tiap aset (lanjutan)
No Aset Ancaman Sumber

15 Operator KPKNL  Kerusakan perangkat  Operator KPKNL
 Adanya permasalahan  Operator KPKNL
dalam pengoperasian
16 Operator Kanwil  Kerusakan perangkat  Operator Kanwil
 Adanya permasalahan  Operator Kanwil

dalam pengoperasian
17 Operator Kantor Pusat  Kerusakan perangkat  Operator Kantor Pusat
18 Programmer  Update aplikasi kurang  Programmer

sempurna
 Kebocoran data  Hacker
19 Teknisi Jaringan  Kerusakan perangkat  Teknisi Jaringan
 Informasi hilang atau rusak  Teknisi Jaringan
20 Database  Kebocoran data  Database Administrator

Administrator
21 Petugas Help Desk  Proses kerja lebih lama  Petugas Helpdesk
22 Proses Rekonsiliasi  Adanya proses data yang  Operator KPKNL

ilegal
23 Proses Rekapitulasi  Adanya proses data yang  Operator Kantor Pusat

ilegal
24 Proses Pembuatan  Adanya proses data yang  Operator Kantor Pusat

Laporan ilegal
 Kesalahan pelaporan  Operator Kantor Pusat
25 Proses backup data  Database hilang/rusak  Operator KPKNL
 Operator Kanwil
 Operator Kantor Pusat
 Database Administrator
26 Proses restore data  Kesalahan data  Operator KPKNL
 Operator Kanwil
 Operator Kantor
Pusat
 Database Administrator
Untuk menekan ancaman yang dapat merugikan kinerja DJKN khususnya terkait
dengan aplikasi Modul KN maka telah dilakukan beberapa kontrol yaitu dapat
dilihat pada Tabel 5.8:

62
Tabel 5.8 Identifikasi kontrol yang sudah ada
No Aset Deskripsi kontrol yang sudah ada

1. Aplikasi Modul KN  Prosedur penggunaan dan pengoperasian aplikasi
 Role Authorization
 Koordinasi internal dengan instansi terkait
2 Database Kekayaan Negara  Ditampung dalam server database dan storage
3 Database server  Diletakkan pada ruang data center

 Terdapat access control yaitu finger print saat masuk
data center
 Adanya inventarisasi perangkat
 Terdapat UPS, baterai dan genset
 Adanya firewall dan antivirus
 Adanya prosedur backup dan restore database
4 Storage Server  Diletakkan pada ruang data center

data center
5 Core switch  Diletakkan pada ruang data center
data center
6 Distributor Switch  Diletakkan pada ruang data center

data center
7 Access Switch  Diletakkan pada ruang data center

8 Router  Diletakkan pada ruang data center

data center
9 Kabel Jaringan  Adanya prosedur instalasi jaringan

63
Tabel 5.8 Identifikasi kontrol yang sudah ada (lanjutan)
No Aset Deskripsi kontrol yang sudah ada

10 PC  Diletakkan di ruangan kantor yang terkunci
 Masuk dalam daftar inventarisasi aset
11 Windows OS  Adanya lisensi namun terbatas
 Adanya inventarisasi lisensi
12 Oracle 10G  Adanya lisensi namun terbatas
13 Linux Redhat  Adanya lisensi namun terbatas
14 Antivirus  Adanya lisensi namun terbatas
15 Operator KPKNL  Adanya role authorization

 Adanya prosedur pelaporan gangguan aplikasi
16 Operator Kanwil  Adanya role authorization
17 Operator Kantor Pusat  Adanya role authorization
18 Programmer  Adanya prosedur pengelolaan aplikasi
19 Teknisi Jaringan  Adanya prosedur penambahan instalasi jaringan
20 Database Administrator  Adanya prosedur pengelolaan database

21 Petugas Help Desk  Adanya prosedur penanganan gangguan
 Adanya web help desk untuk mengelola gangguan
 Adanya dokumentasi gangguan yang sudah terjadi
22 Proses Rekonsiliasi  Adanya prosedur dalam proses rekonsiliasi
23 Proses Rekapitulasi  Adanya prosedur dalam proses rekapitulasi
24 Proses Pembuatan Laporan  Adanya prosedur dalam proses pembuatan laporan
25 Proses backup data  Adanya prosedur umum dalam proses backup data
26 Proses restore data  Adanya prosedur umum dalam proses restore data
Setelah melakukan identifikasi ancaman dan kontrol yang ada pada setiap aset,
maka dilakukan identifikasi kerentanan (vulnerability) yang terjadi pada aset
tersebut. Kerentanan dapat terjadi dikarenakan belum adanya kontrol atau kontrol
yang sudah ada belum dapat mengelola atau mengurangi ancaman yang terjadi.
Tabel 5.9 menjelaskan mengenai identifikasi kerawanan pada tiap aset.

64
Tabel 5.9 Identifikasi kerawanan tiap aset
Deskripsi kontrol yang

No Aset Ancaman Kerawanan
sudah ada
1. Aplikasi  Terjadi permasalahan  Prosedur penggunaan

 Proses testing aplikasi
Modul KN saat mengoperasikan dan pengoperasian
tidak lengkap
aplikasi aplikasi
 Role Authorization
 Proses troubleshooting  Dokumentasi terhadap
aplikasi terhambat source code aplikasi tidak
lengkap
 Penyalahgunaan hak  Tidak ada logout otomatis

saat meninggalkan
workstation
2 Database  Informasi rahasia  Ditampung dalam server  Data tidak dienkripsi
Kekayaan mudah dibaca database dan storage
Negara
3 Database  Server tidak bisa  Diletakkan pada ruang  Tidak ada manajemen
server diakses data center kapasitas
 Terdapat access control
yaitu finger print saat
masuk data center
 Adanya inventarisasi
 Penyalahgunaan hak perangkat  Sharing password
 Terdapat UPS, baterai
dan genset
 Adanya firewall dan
antivirus
 Adanya prosedur backup
dan restore database
4 Storage  Penyalahgunaan hak  Diletakkan pada ruang  Sharing password

Server data center
 Server tidak bisa  Terdapat access control  Tidak ada manajemen
diakses yaitu finger print saat kapasitas
masuk data center
perangkat
dan genset
antivirus

65
Tabel 5.9 Identifikasi kerawanan tiap aset (lanjutan)

sudah ada
5 Core  Penyalahgunaan hak  Diletakkan pada ruang  Sharing password
switch data center
 Koneksi terputus  Terdapat access control  Adanya port yang dibuka
yaitu finger print saat untuk komunikasi data
masuk data center
perangkat
dan genset
antivirus
6 Distributor  Penyalahgunaan hak  Diletakkan pada ruang  Sharing password

Switch data center
masuk data center
perangkat
dan genset
antivirus
7 Access  Penyalahgunaan hak  Diletakkan pada ruang  Sharing password

Switch data center
masuk data center
perangkat
dan genset
antivirus
8 Router  Penyalahgunaan hak  Diletakkan pada ruang  Sharing password

data center
 Terdapat access control
yaitu finger print saat
masuk data center
perangkat
dan genset
antivirus

66

sudah ada
9 Kabel  Koneksi ke perangkat  Adanya prosedur  Instalasi kabel jaringan
Jaringan mengalami gangguan instalasi jaringan tidak rapi
10 PC  Permasalahan saat  Diletakkan di ruangan  OS bajakan

penggunaan kantor yang terkunci
 Data hilang/rusak  Tidak ada antivirus
11 Windows  Permasalahan saat  Adanya lisensi namun  OS bajakan

OS penggunaan terbatas
lisensi
12 Oracle  Penyalahgunaan hak  Adanya lisensi namun  Sharing password
10G terbatas
lisensi
13 Linux  Penyalahgunaan hak  Adanya lisensi namun  Sharing password
Redhat terbatas
lisensi
14 Antivirus  Data hilang/rusak  Adanya lisensi namun  Anti virus bajakan
terbatas
15 Operator  Kerusakan perangkat  Adanya role  Proses perekrutan kurang

KPKNL authorization memadai
 Adanya prosedur
 Adanya permasalahan pelaporan gangguan  Penggunaan software dan
dalam pengoperasian aplikasi hardware yang tidak
benar
16 Operator  Kerusakan perangkat  Adanya role  Proses perekrutan kurang
Kanwil authorization memadai
 Adanya prosedur
 Adanya permasalahan pelaporan gangguan  Penggunaan software dan
dalam pengoperasian aplikasi hardware yang tidak
benar
17 Operator  Kerusakan perangkat  Adanya role  Penggunaan software dan

Kantor authorization hardware yang tidak
Pusat  Adanya prosedur benar
pelaporan gangguan
aplikasi
18 Programmer  Update aplikasi kurang  Adanya prosedur  Perubahan proses bisnis

sempurna pengelolaan aplikasi yang cepat
 Kebocoran data  Tidak ada kebijakan clear

desk dan clear screen

67

sudah ada
19 Teknisi  Kerusakan perangkat  Adanya prosedur  Proses rekrutmen kurang
Jaringan penambahan instalasi memadai
jaringan
 Informasi hilang atau  Tidak ada kebijakan clear
rusak desk dan clear screen
20 Database  Kebocoran data  Adanya prosedur  Tidak ada kebijakan clear

Administra pengelolaan database desk dan clear screen
tor  Adanya prosedur backup
21 Petugas  Proses kerja lebih lama  Adanya prosedur  Proses rekrutmen kurang
Help Desk penanganan gangguan memadai
 Adanya web help desk
untuk mengelola
gangguan
 Adanya dokumentasi
gangguan yang sudah
terjadi
22 Proses  Adanya proses data  Adanya prosedur dalam  Adanya proses yang tidak
Rekonsilia yang ilegal proses rekonsiliasi sesuai prosedur
si
Rekapitulasi yang ilegal proses rekapitulasi sesuai prosedur
Pembuatan yang ilegal proses pembuatan sesuai prosedur
Laporan laporan
25 Proses  Database hilang/rusak  Adanya prosedur umum  Adanya proses yang tidak
backup dalam proses backup sesuai prosedur
data data
26 Proses  Kesalahan data  Adanya prosedur umum  Kesalahan pemilihan data

restore dalam proses restore yang direstore
data data
5.2.2 Estimasi Risiko
Tahap selanjutnya setelah dilakukan identifikasi risiko yaitu melakukan estimasi

risiko dengan menentukan tingkat dampak yang ditimbulkan apabila ancaman
pada setiap aset berhasil dieksploitasi dan menentukan tingkat kecenderungan
yang dinilai berdasarkan wawancara dengan narasumber terkait dan pengalaman

68
kejadian sebelumnya yang bersumber dari rekap helpdesk TIK DJKN dapat
dijabarkan pada Tabel 5.10:
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset
No Aset Ancaman Dampak Level Kecenderungan Level
Aplikasi Terjadi  Aplikasi tidak Tinggi Rata-rata terjadi 9 kali Sedang

Modul KN permasalahan bisa digunakan permasalahan dalam
1. (A1) saat  Seluruh kantor setahun dan kontrol
mengoperasikan operasional tidak sudah dapat
aplikasi dapat mengurangi kerawanan
(T1) menggunakan yang ada
aplikasi
Proses  Terdapat Tinggi Rata-rata terjadi 9 kali Sedang
troubleshooting beberapa atau permasalahan dalam
dan update semua menu setahun dan kontrol
aplikasi aplikasi sudah dapat
terhambat bermasalah mengurangi kerawanan
(T2)  Berdampak pada yang ada
seluruh kantor
operasional
Penyalahgunaan  Informasi rahasia Tinggi Rata-rata terjadi 9 kali Sedang
hak (T3) tersebar ke orang permasalahan dalam
yang tidak berhak setahun dan kontrol
sudah dapat
mengurangi kerawanan
yang ada
2 Database Informasi rahasia  Informasi rahasia Tinggi Rata-rata terjadi 6 kali Sedang
Kekayaan mudah dibaca tersebar ke orang permasalahan dalam
Negara (A2) (T4) yang tidak berhak setahun dan kontrol
 Berdampak pada sudah dapat
seluruh kantor mengurangi kerawanan
operasional yang ada
3 Database Penyalahgunaan  Data hilang/rusak Tinggi Rata-rata terjadi 6 kali Sedang

server hak (T3)  Berdampak pada permasalahan dalam
(A3) seluruh kantor setahun dan kontrol
operasional sudah dapat
yang ada
Server tidak bisa  Proses bisnis Sedang Rata-rata terjadi 6 kali Sedang
diakses terhenti antara 3- permasalahan dalam
(T5) 12 jam setahun dan kontrol
 Berdampak pada sudah dapat
beberapa kantor mengurangi kerawanan

69
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan)
4 Storage Penyalahgunaan  Data hilang/rusak Sedang Permasalahan kurang Rendah

Server hak (T3) (ada backup) dari 5 kali dalam
 Berdampak pada setahun dan kontrol
(A4) kantor pusat sudah dapat
yang ada
Server tidak bisa  Proses bisnis Sedang Permasalahan kurang Rendah
diakses terhenti antara 3- dari 5 kali dalam
12 jam setahun dan kontrol
(T5)  Berdampak pada sudah dapat
kantor pusat mengurangi kerawanan
yang ada
5 Core switch Penyalahgunaan  Koneksi jaringan Sedang Permasalahan kurang Rendah
(A5) hak di kantor pusat dari 5 kali dalam
(T3) terhenti 3-12 jam setahun dan kontrol
sudah dapat
yang ada
Koneksi lambat  Koneksi jaringan Sedang Permasalahan kurang Rendah
(T6) di kantor pusat dari 5 kali dalam
lambat 3-12 jam setahun dan kontrol
sudah dapat
yang ada
6 Distributor Penyalahgunaan  Koneksi jaringan Sedang Permasalahan kurang Rendah
Switch hak (T3) di kantor pusat dari 5 kali dalam
(A6) terhenti kurang setahun dan kontrol
dari 3 jam sudah dapat
yang ada
Koneksi lambat Koneksi jaringan Sedang Permasalahan kurang Sedang
(T6) di kantor pusat dari 5 kali dalam
lambat kurang setahun dan kontrol
dari 3 jam sudah dapat
7 Access Penyalahgunaan  Koneksi jaringan Sedang Rata-rata terjadi 16 Sedang
Switch hak (T3) di beberapa kali permasalahan
(A7) kantor dalam setahun di
operasional KPKNL dan Kanwil
terhenti 3-12 jam dan kontrol sudah
dapat mengurangi
kerawanan yang ada
Koneksi lambat  Koneksi jaringan Sedang Rata-rata terjadi 16 Sedang
(T6) di beberapa kali permasalahan
kantor dalam setahun di
operational KPKNL dan Kanwil
lambat 3-12 jam dan kontrol sudah
dapat mengurangi
kerawanan yang ada

70
No Aset Dampak Konsekuensi Level Kecenderungan Level
8 Router Penyalahgunaan  Koneksi jaringan Sedang Rata-rata terjadi 16 Sedang

(A8) hak (T3) di beberapa kali permasalahan
kantor dalam setahun di
operasional KPKNL dan Kanwil
terhenti 3-12 jam dan kontrol sudah
dapat mengurangi
kerawanan yang ada
9 Kabel Koneksi ke  Koneksi jaringan Rendah Rata-rata terjadi 16 Sedang
Jaringan perangkat kurang dari 20 kali permasalahan
(A9) mengalami kantor dalam setahun di
gangguan operasional KPKNL dan Kanwil
(T7) terhenti kurang dan kontrol sudah
dari jam dapat mengurangi
kerawanan yang ada
10 PC Permasalahan  Aplikasi tidak Sedang Rata-rata terjadi 11 Sedang
saat penggunaan bisa dijalankan di kali permasalahan
(A10) (T1) beberapa kantor dalam setahun dan
operasional kontrol sudah dapat
yang
ada
Data hilang/rusak  Data hilang/rusak Sedang Rata-rata terjadi 11 Sedang
(T8) di beberapa kali permasalahan
kantor dalam setahun dan
yang
ada
11 Windows Permasalahan  Aplikasi tidak Sedang Rata-rata terjadi 6 kali Sedang
OS saat penggunaan bisa dijalankan di permasalahan dalam
(A11) (T1) beberapa kantor setahun dan kontrol
yang ada
12 Oracle 10G Penyalahgunaan  Data hilang/rusak Sedang Rata-rata terjadi 6 kali Sedang
(A12) hak (T3) pada beberapa permasalahan dalam
kantor setahun dan kontrol
yang ada
13 Linux Penyalahgunaan  Data hilang/rusak Sedang Rata-rata terjadi 6 kali Sedang
Redhat hak (T3) pada beberapa permasalahan dalam
(A13) kantor setahun dan kontrol
14 Antivirus Data hilang/rusak  Data hilang/rusak Sedang Rata-rata terjadi 16 Sedang
(A14) (T8) pada beberapa kali permasalahan
kantor dalam setahun dan

71
15 Operator Kurang  Proses bisnis Tinggi Permasalahan kurang Rendah

KPKNL menguasai terhenti lebih dari dari 5 kali dalam
(A15) penggunaan 12 jam setahun dan kontrol
aplikasi (T9)  Berdampak lebih sudah dapat
dari 20 kantor mengurangi kerawanan
Adanya  Kerusakan Tinggi Permasalahan kurang Rendah

permasalahan perangkat dari 5 kali dalam
dalam sehingga layanan setahun dan kontrol
pengoperasian terhenti lebih dari sudah dapat
perangkat 12 jam mengurangi kerawanan
(T1) yang ada
16 Operator Kurang  Proses bisnis Tinggi Permasalahan kurang Rendah

Kanwil menguasai terhenti lebih dari dari 5 kali dalam
(A16) penggunaan 12 jam setahun dan kontrol
aplikasi (T9)  Berdampak lebih sudah dapat
dari 20 kantor mengurangi kerawanan
Adanya Kerusakan Tinggi Permasalahan kurang Rendah

permasalahan perangkat dari 5 kali dalam
dalam sehingga layanan setahun dan kontrol
pengoperasian terhenti lebih dari sudah dapat
perangkat 12 jam mengurangi kerawanan
(T1) yang ada
17 Operator Adanya Kerusakan Sedang Permasalahan kurang Rendah

Kantor Pusat permasalahan perangkat dari 5 kali dalam
(A17) dalam sehingga layanan setahun dan kontrol
pengoperasian terhenti 3 - 12 sudah dapat
perangkat jam mengurangi kerawanan
(T1) yang ada
18 Programmer Update aplikasi  Aplikasi Tinggi Permasalahan kurang Rendah

(A18) kurang sempurna mengelami dari 5 kali dalam
(T10) masalah di semua setahun dan kontrol
kantor sudah dapat
operasional mengurangi kerawanan
yang ada
Kebocoran data  Informasi rahasia Tinggi Permasalahan kurang Rendah

(T11) tersebar dari 5 kali dalam
setahun dan kontrol
sudah dapat

72
19 Teknisi Kurangnya  Kerusakan Sedang Permasalahan kurang Rendah

Jaringan pemeliharaan perangkat yang dari 5 kali dalam
(A19) (T12) berdampak pada setahun dan kontrol
beberapa kantor sudah dapat
yang ada
Akses ilegal  Layanan Sedang Permasalahan kurang Rendah

(T13) lambat/terhenti 3- dari 5 kali dalam
12 jam di setahun dan kontrol
yang ada
20 Database Kebocoran data  Informasi rahasia Tinggi Permasalahan kurang Rendah

Admin (T11) tersebar dari 5 kali dalam
(A20) setahun dan kontrol
sudah dapat
yang ada
21 Petugas Proses kerja lebih  Pelayanan Sedang Permasalahan kurang Rendah

Help Desk lama (T12) lambat/terhenti di dari 5 kali dalam
(A21) beberapa kantor setahun dan kontrol
yang ada
22 Proses Adanya proses  Adanya Tinggi Permasalahan kurang Rendah

Rekonsiliasi data yang ilegal kerusakan data di dari 5 kali dalam
(A22) (T13) hampir semua setahun dan kontrol
kantor sudah dapat
yang ada
23 Proses Adanya proses  Adanya Sedang Permasalahan kurang Rendah

Rekapitulasi data yang ilegal kerusakan data di dari 5 kali dalam
(A23) (T13) kantor pusat setahun dan kontrol
sudah dapat
yang ada

Pembuatan data yang ilegal kerusakan data di dari 5 kali dalam
Laporan (T13) kantor pusat setahun dan kontrol
sudah dapat
(A24)
yang ada

73
19 Teknisi Kurangnya  Kerusakan Sedang Permasalahan kurang Rendah

Jaringan pemeliharaan perangkat yang dari 5 kali dalam
(A19) (T12) berdampak pada setahun dan kontrol
yang ada
Akses ilegal  Layanan Sedang Permasalahan kurang Rendah

(T13) lambat/terhenti 3- dari 5 kali dalam
12 jam di setahun dan kontrol
yang ada
20 Database Kebocoran data  Informasi rahasia Tinggi Permasalahan kurang Rendah

Admin (T11) tersebar dari 5 kali dalam
(A20) setahun dan kontrol
sudah dapat
yang ada
21 Petugas Proses kerja lebih  Pelayanan Sedang Permasalahan kurang Rendah

Help Desk lama (T12) lambat/terhenti di dari 5 kali dalam
(A21) beberapa kantor setahun dan kontrol
yang ada
22 Proses Adanya proses  Adanya Tinggi Permasalahan kurang Rendah

Rekonsiliasi data yang ilegal kerusakan data di dari 5 kali dalam
(A22) (T13) hampir semua setahun dan kontrol
kantor sudah dapat
yang ada

Rekapitulasi data yang ilegal kerusakan data di dari 5 kali dalam
(A23) (T13) kantor pusat setahun dan kontrol
sudah dapat
yang ada

Pembuatan data yang ilegal kerusakan data di dari 5 kali dalam
Laporan (T13) kantor pusat setahun dan kontrol
sudah dapat
(A24)
yang ada

74
No Aset Ancaman Dampak Level Kecenderungan
25 Proses backup Database  Data hilang/rusak di Sedang Permasalahan kurang dari

data (A25) hilang/rusak (T8) beberapa kantor 5 kali dalam setahun dan
yang ada
26 Proses restore Kesalahan data  Layanan terhenti di Rendah Permasalahan kurang dari
data (A26) (T14) sebagian kecil 5 kali dalam setahun dan
kantor operasional kontrol sudah dapat
yang ada
5.3 Evaluasi Risiko
Pada tahap ini dilakukan evaluasi risiko berdasarkan dampak yang dapat terjadi
oleh tiap ancaman pada masing-masing aset terhadap kecenderungan atau
peluang terjadinya dampak tersebut. Berdasarkan ISO 27005 terdapat lima
tingkatan dampak dan kecenderungan, dikarenakan tingkatan dampak dan
kecenderungan yang dianalisis memiliki tiga tingkatan oleh karena itu proses
evaluasi risiko menggunakan framework dari NIST 800-30. Adapun evaluasi
risiko berdasarkan matriks pada Tabel 5.11:
Tabel 5.11 Matriks penentuan tingkatan evaluasi risiko
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Tabel 5.11 menjelaskan terdapat tiga tingkatan evaluasi risiko yang merupakan
hasil matrik dari tingkat dampak terhadap kecenderungan pada masing-masing
aset dan ancaman yang menyertai. Cara mengetahui tingkatan risiko yaitu:

75
 Rendah (1 sampai 10);

 Sedang (>10 sampai 50);
 Tinggi (>50 sampai 100).
Berikut adalah rangkuman keseluruhan nilai evaluasi risiko pada tiap skenario
risiko yang ditunjukkan pada Tabel 5.12:
Tabel 5.12 Matrik nilai evaluasi risiko
Berdasarkan hasil penghitungan nilai risiko pada Tabel 5.12 maka dapat
dilakukan prioritas penanganan risiko dari nilai risiko tertinggi sampai dengan
nilai risiko terendah pada Tabel 5.13:

76
Tabel 5.13 Prioritas risiko berdasarkan nilai risiko
Prioritas Skenario Nilai Risiko
1 A1 dan T1 Sedang(50)
16 A15 dan T1 Rendah(10)
38 A26 dan T14 Rendah (1)

77
5.4 Penanganan Risiko
Menurut ISO 27005 terdapat empat macam penanganan risiko yaitu kontrol untuk
mengurangi (reduction), mempertahankan (retention), menghindari (avoidance)
atau mentransfer (transfer). Kontrol harus dipilih dan kemudian mempersiapkan
rencana penanganan risiko tersebut. Pemilihan kontrol harus disesuaikan dengan
risiko residual yang diharapkan. Apabila sudah sesuai dengan risiko residual yang
diharapkan maka sebaiknya tidak perlu dilakukan kontrol tambahan, apabila nilai
risiko lebih tinggi dari risiko residual yang diharapkan maka harus dilakukan
kontrol tambahan.
Berdasarkan hasil wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi

Informasi terkait Laporan Manajemen Risiko semester I tahun 2014 bahwa risiko
residual yang diharapkan adalah risiko yang mempunyai:
 Maksimal mempunyai nilai dampak dengan tingkat sedang dan mempunyai
nilai kecenderungan dengan tingkat rendah;
 Maksimal mempunyai nilai risiko dengan tingkat rendah atau bernilai 5.
Adapun penjelasan mengenai pelaksanaan penanganan risiko di DJKN antara lain:
5.4.1 Mengurangi risiko
Merupakan tindakan yang dilakukan untuk mengurangi risiko melalui pemilihan

kontrol sehingga risiko risidual dapat dinilai sebagai risiko yang dapat diterima.
Secara umum kontrol dapat memberikan satu atau lebih dari jenis perlindungan
misalnya berupa koreksi, eliminasi, pencegahan, minimalisasi dampak, penolakan,
deteksi, pemulihan, pengawasan dan kesadaran. Adapun kondisi risiko yang dapat
dikurangi dalam penelitian ini antara lain:
 DJKN memiliki sumber daya yang memadai untuk membiayai
pelaksanaan kontrol yang digunakan;
 Pemilihan kontrol dilakukan dengan efektif, efisien dan tidak
mengganggu proses bisnis yang berjalan;
 Manfaat yang diperoleh dari pemilihan kontrol harus lebih besar terhadap
biaya yang akan dikeluarkan.

78
5.4.2 Mempertahankan risiko
Menurut ISO 27005 bahwa mempertahankan risiko adalah tanpa melakukan

tindakan lebih lanjut asalkan memenuhi kriteria penerimaan risiko. Seperti yang
telah dijelaskan sebelumnya pada sub bab 5.1 tentang penetapan konteks
penerimaan risiko, maka keadaan yang harus dipenuhi antara lain:
 Selera risiko maksimal memiliki tingkat risiko residual rendah yang terdiri
dari tingkat konsekuensi sedang dan tingkat kecenderungan rendah;
 Terdapat perlindungan hukum yang memadai mencakup regulasi dan atau
perjanjian/kontrak;
 Unit pengambil risiko dan pemilik risiko terkait dapat memastikan dengan
tingkat keyakinan diatas 85 % bahwa tidak akan terjadi kegagalan pada
orang, proses dan sistem yang ada.
5.4.3 Menghindari risiko
Merupakan kegiatan menghindari risiko sepenuhnya dikarenakan risiko yang

teridentifikasi dianggap terlalu tinggi atau biaya pelaksanaan pilihan penanganan
risiko melebihi manfaatnya. Hal ini dapat dilakukan dengan membatalkan suatu
kegiatan yang direncanakan atau yang sudah ada. Risiko yang disebabkan oleh
alam, alternatif yang paling efektif adalah untuk memindahkan fasilitas
pengolahan informasi secara fisik ke tempat dimana tidak ada risiko yang dapat
menyebakan kerugian bagi DJKN.
5.4.4 Mentransfer risiko
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak
eksternal yang mampu dan bertanggung jawab terhadap pengelolaan risiko.
Adapun kriteria risiko yang harus ditransfer dalam penelitian ini antara lain:
 Risiko residual dengan tingkat konsekuensi pada level yang tidak dapat
diterima sesuai dengan selera risiko;
 DJKN tidak memiliki sumber daya yang memadai untuk melakukan
pengurangan risiko tersebut.

79
Berdasarkan penjelasan diatas maka dapat dilakukan analisis penanganan risiko

terhadap tiap skenario yang telah diprioritaskan menurut nilai risiko yaitu dapat
dijelaskan pada Tabel 5.14:

80
Tabel 5.14 Analisis Penanganan Risiko
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
1 Aplikasi Terjadi Proses testing  Vendor  Aplikasi tidak Sedang  Prosedur penggunaan  Prosedur  Nilai risiko
Modul permasalahan tidak lengkap  Programmer bisa (50) dan pengoperasian pengetesan aplikasi melebihi nilai
KN saat digunakan aplikasi  Evaluasi risiko residual
(A1) mengoperasikan  Seluruh kantor  Role Authorization pembuatan aplikasi yang diharapkan
aplikasi operasional  Harus dilakukan
(T1) tidak dapat kontrol tambahan
menggunakan
aplikasi
2 Aplikasi Proses Dokumentasi  Vendor  Terdapat Sedang  Prosedur penggunaan  Prosedur serah  Nilai risiko
Modul troubleshooting terhadap  Programmer beberapa atau (50) dan pengoperasian terima aplikasi melebihi nilai
KN dan update source code semua menu aplikasi risiko residual
(A1) aplikasi aplikasi tidak aplikasi  Role Authorization yang diharapkan
terhambat lengkap bermasalah  Harus dilakukan
(T2)  Berdampak kontrol tambahan
pada seluruh
kantor
operasional
3 Aplikasi Penyalah- Tidak ada  Vendor  Informasi Sedang  Prosedur penggunaan  Pembuatan logout  Nilai risiko
Modul gunaan hak logout  Programmer rahasia (50) dan pengoperasian otomatis aplikasi melebihi nilai
KN (T3) otomatis saat  Operator tersebar ke aplikasi risiko residual
(A1) meninggalkan KPKNL orang yang  Role Authorization yang diharapkan
workstation  Operator tidak berhak  Harus dilakukan
Kanwil kontrol tambahan

81
Tabel 5.14 Analisis Penanganan Risiko (lanjutan)
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi control Keterangan
Risiko
4 Database Informasi Data rahasia  Database  Informasi Sedang Ditampung dalam  Melakukan  Nilai risiko
Kekayaan rahasia mudah tidak Admin rahasia (50) server database dan enkripsi terhadap melebihi nilai
Negara dibaca dienkripsi tersebar ke storage elemen data yang risiko residual
(T4) orang yang bersifat rahasia yang diharapkan
(A2)
tidak berhak  Harus dilakukan
 Berdampak kontrol tambahan
pada seluruh
kantor
operasional
5 Database Penyalah- Sharing  Database  Data Sedang  Diletakkan pada  Pembuatan role  Nilai risiko
server gunaan hak password Admin hilang/rusak (50) ruang data center authorization melebihi nilai
(A3) (T3)  Operator  Berdampak  Terdapat access risiko residual
KPKNL pada seluruh control yaitu finger yang diharapkan
 Operator kantor print dan CCTV saat  Harus dilakukan
Kanwil operasional masuk data center kontrol tambahan
 Operator  Adanya inventarisasi
Kantor Pusat perangkat
 Terdapat UPS,
baterai dan genset
antivirus
 Adanya prosedur
backup dan restore
database

82
Risiko
6 Linux Penyalah- Sharing  Hacker  Data Sedang  Adanya lisensi  Pembuatan role  Nilai risiko
Redhat gunaan hak Password hilang/rusak (50) namun terbatas authorization melebihi nilai
(A13) (T3) pada beberapa  Adanya inventarisasi risiko residual
kantor lisensi yang diharapkan
operasional  Harus dilakukan
kontrol tambahan
7 Antivirus Data Anti virus  Virus  Data Sedang  Adanya lisensi  Pengadaan  Nilai risiko
(A14) hilang/rusak bajakan hilang/rusak (50) namun terbatas software antivirus melebihi nilai
(T8) pada beberapa risiko residual
kantor yang diharapkan
kontrol tambahan
8 Database Server tidak Tidak ada  Database  Proses bisnis Sedang  Diletakkan pada  Pembuatan  Nilai risiko
server bisa diakses manajemen Admin terhenti antara (25) ruang data center manajemen melebihi nilai
(A3) (T5) kapasitas 3-12 jam  Adanya inventarisasi kapasitas risiko residual
 Berdampak perangkat menggunakan yang diharapkan
pada beberapa  Terdapat UPS, software  Harus dilakukan
kantor baterai dan genset monitoring kontrol tambahan
operasional  Adanya firewall dan
antivirus
Adanya prosedur
backup dan restore
database

83
Risiko
9 Access Penyalah- Sharing  Hacker  Koneksi Sedang  Diletakkan pada  Pembuatan role  Nilai risiko
Switch gunaan hak password jaringan di (25) ruang data center authorization melebihi nilai
(A7) (T3) beberapa  Terdapat access risiko residual
kantor control yaitu finger yang diharapkan
operasional print saat masuk data  Harus dilakukan
terhenti 3-12 center kontrol tambahan
jam  Terdapat UPS,
baterai dan genset
antivirus
10 Access Koneksi lambat Adanya port  Hacker  Koneksi Sedang  Diletakkan pada  Manajemen port  Nilai risiko
Switch (T6) yang dibuka jaringan di (25) ruang data center  Pengadaan CCTV melebihi nilai
(A7) untuk beberapa  Terdapat access risiko residual
komunikasi kantor control yaitu finger yang diharapkan
data operational print saat masuk data  Harus dilakukan
lambat 3-12 center kontrol tambahan
jam  Adanya inventarisasi
perangkat
 Terdapat UPS,
baterai dan genset
antivirus

84
Risiko
11 Router Penyalah- Sharing  Hacker  Koneksi Sedang  Diletakkan pada  Pembuatan role  Nilai risiko
(A8) gunaan hak password jaringan di (25) ruang data center authorization melebihi nilai
(T3) beberapa  Adanya inventarisasi risiko residual
kantor perangkat yang diharapkan
operasional  Terdapat UPS,  Harus dilakukan
terhenti 3-12 baterai dan genset kontrol tambahan
jam
12 PC (A10) Permasalahan OS bajakan  Virus  Aplikasi tidak Sedang  Masuk dalam daftar  Pengadaan OS asli  Nilai risiko
saat bisa (25) inventarisasi aset melebihi nilai
penggunaan dijalankan di  Diletakkan di risiko residual
(T1) beberapa ruangan kantor yang yang diharapkan
kantor terkunci  Harus dilakukan
operasional kontrol tambahan
13 PC (A10) Data Tidak ada  Virus  Data Sedang  Masuk dalam daftar  Pengadaan  Nilai risiko
hilang/rusak antivirus hilang/rusak (25) inventarisasi aset antivirus asli melebihi nilai
(T8) di beberapa  Diletakkan di risiko residual
kantor ruangan kantor yang yang diharapkan
operasional terkunci  Harus dilakukan
kontrol tambahan
14 OS Permasalahan OS bajakan  Virus  Aplikasi tidak Sedang  Adanya lisensi  Pengadaan OS asli  Nilai risiko
Windows saat bisa (25) namun terbatas melebihi nilai
(A11) penggunaan dijalankan di  Adanya inventarisasi risiko residual
(T1) beberapa lisensi yang diharapkan
kantor  Harus dilakukan
operasional kontrol tambahan

85
Risiko
15 Oracle Penyalah- Sharing  Hacker  Data Sedang  Adanya lisensi  Pembuatan role  Nilai risiko
10G gunaan hak password hilang/rusak (25) namun terbatas authorization melebihi nilai
(A12) (T3) pada beberapa  Adanya inventarisasi risiko residual
kantor lisensi yang diharapkan
kontrol tambahan
16 Operator Kurang Proses  Operator  Proses bisnis Rendah  Adanya role  Peningkatan  Nilai risiko
KPKNL menguasai perekrutan KPKNL terhenti lebih (10) authorization kompetensi melebihi nilai
(A15) penggunaan kurang dari 12 jam  Adanya prosedur pegawai risiko residual
aplikasi (T21) memadai  Berdampak pelaporan gangguan yang diharapkan
lebih dari 20 aplikasi  Harus dilakukan
kantor kontrol tambahan
operasional
17 Operator Adanya Penggunaan  Operator  Kerusakan Rendah  Adanya role  Peningkatan  Nilai risiko
KPKNL permasalahan software dan KPKNL perangkat (10) authorization kompetensi melebihi nilai
(A15) dalam hardware sehingga  Adanya prosedur pegawai risiko residual
pengoperasian yang tidak layanan pelaporan gangguan yang diharapkan
perangkat benar terhenti lebih aplikasi  Harus dilakukan
(T9) dari 12 jam kontrol tambahan

86
Risiko
18 Operator Kurang Proses  Operator  Proses bisnis Rendah  Adanya role  Peningkatan  Nilai risiko
Kanwil menguasai perekrutan Kanwil terhenti lebih (10) authorization kompetensi melebihi nilai
(A16) penggunaan kurang dari 12 jam  Adanya prosedur pegawai risiko residual
aplikasi (T1) memadai  Berdampak pelaporan gangguan yang diharapkan
lebih dari 20 aplikasi  Harus dilakukan
kantor kontrol tambahan
operasional
19 Operator Adanya Penggunaan Operator  Kerusakan Rendah  Adanya role  Peningkatan  Nilai risiko
Kanwil permasalahan software dan Kanwil perangkat (10) authorization kompetensi melebihi nilai
(A16) dalam hardware yang sehingga  Adanya prosedur pegawai risiko residual
pengoperasian tidak benar pelaporan gangguan yang diharapkan
layanan
perangkat aplikasi  Harus dilakukan
(T9) terhenti lebih
kontrol tambahan
dari 12 jam
20 Program Update aplikasi Perubahan Programmer  Aplikasi Rendah  Adanya prosedur  Evaluasi dan  Nilai risiko
mer kurang proses bisnis mengelami (10) pengelolaan aplikasi monitoring melebihi nilai
(A18) sempurna yang cepat masalah di pembuatan aplikasi risiko residual
(T10) semua kantor yang diharapkan
kontrol tambahan

87
Risiko
21 Program Kecoran data Tidak ada Programmer  Informasi Rendah  Adanya prosedur  Awareness  Nilai risiko
mer (T11) kebijakan rahasia (10) pengelolaan aplikasi keamanan melebihi nilai
(A18) clear desk dan tersebar informasi risiko residual
clear screen yang diharapkan
 Harus dilakukan
kontrol tambahan
22 Database Kebocoran data Tidak ada  Database  Informasi Rendah  Adanya prosedur  Awareness  Nilai risiko
Admin (T11) kebijakan Admin rahasia (10) pengelolaan keamanan melebihi nilai
(A20) clear desk dan tersebar database informasi risiko residual
clear screen  Adanya prosedur yang diharapkan
backup dan restore  Harus dilakukan
database kontrol tambahan
23 Proses Adanya proses Adanya proses  Operator  Adanya Rendah  Adanya prosedur  Menetapkan aturan  Nilai risiko
Rekon data yang ilegal yang tidak KPKNL kerusakan data (10) dalam proses dan sanksi terhadap melebihi nilai
siliasi (T13) sesuai  Operator di hampir rekonsiliasi proses ilegal risiko residual
prosedur Kanwil semua kantor yang diharapkan
(A22)
kontrol tambahan

88
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol
Risiko
24 Storage Penyalah-gunaan Sharing  Hacker  Data hilang/rusak Rendah  Diletakkan pada ruang  Pembuatan role
server (A4) hak (T3) password (ada backup) (5) data center authorization
 Berdampak pada  Terdapat access control
kantor pusat yaitu finger print dan
CCTV saat masuk data
center
perangkat
dan genset
antivirus

89
Risiko
25 Storage Server tidak Tidak ada  Database  Proses bisnis Rendah  Diletakkan pada  Pembuatan  Nilai risiko sama
server bisa diakses manajemen Admin terhenti antara (5) ruang data center manajemen dengan nilai
(A4) (T5) kapasitas 3-12 jam  Terdapat access kapasitas risiko residual
 Berdampak control yaitu finger menggunakan yang diharapkan
pada kantor print dan CCTV saat software  Tidak perlu
pusat masuk data center monitoring dilakukan kontrol
 Adanya inventarisasi tambahan
perangkat
 Terdapat UPS,
baterai dan genset
antivirus
 Adanya prosedur
backup dan restore
database
26 Core Penyalah- Sharing  Hacker Koneksi jaringan Rendah  Diletakkan pada  Pembuatan role  Nilai risiko sama
Switch gunaan hak password di kantor pusat (5) ruang data center authorization dengan nilai
(A5) (T3) terhenti 3-12 jam  Terdapat access risiko residual
control yaitu finger yang diharapkan
print dan CCTV saat  Tidak perlu
masuk data center dilakukan kontrol
perangkat
 Terdapat UPS,
baterai dan genset

90
Risiko
27 Core Koneksi lambat Adanya port  Hacker Koneksi jaringan Rendah  Diletakkan pada  Adanya  Nilai risiko sama
Switch (T6) yang dibuka di kantor pusat (5) ruang data center manajemen dan dengan nilai
(A5) untuk lambat 3-12 jam  Terdapat access monitoring port risiko residual
komunikasi control yaitu finger  Pelabelan port yang diharapkan
data print dan CCTV saat  Tidak perlu
masuk data center dilakukan kontrol
perangkat
 Terdapat UPS,
baterai dan genset
antivirus
28 Distributor Penyalahgunaan Sharing  Hacker  Koneksi Rendah  Diletakkan pada  Pembuatan role  Nilai risiko sama
Switch (A6) hak password jaringan di (5) ruang data center authorization dengan nilai
(T3) kantor pusat  Terdapat access risiko residual
terhenti control yaitu finger yang diharapkan
kurang dari 3 print saat masuk data  Tidak perlu
jam center dilakukan kontrol
perangkat
 Terdapat UPS,
baterai dan genset
antivirus

91
Risiko
29 Distributor Koneksi lambat Adanya port  Hacker Koneksi Rendah  Diletakkan pada  Adanya  Nilai risiko sama
Switch (A6) (T6) yang dibuka jaringan di (5) ruang data center manajemen dan dengan nilai
untuk kantor pusat  Terdapat access monitoring port risiko residual
komunikasi lambat kurang control yaitu finger  Pelabelan port yang diharapkan
data dari 3 jam print saat masuk data  Tidak perlu
center dilakukan kontrol
perangkat
 Terdapat UPS,
baterai dan genset
30 Kabel Koneksi ke Instalasi kabel  Teknisi Koneksi Rendah  Adanya prosedur  Adanya monitoring  Nilai risiko sama
Jaringan perangkat jaringan tidak Jaringan jaringan kurang (5) instalasi jaringan dan audit instalasi dengan nilai
(A9) mengalami rapi  Pegawai dari 20 kantor jaringan risiko residual
gangguan yang diharapkan
operasional
(T7)  Tidak perlu
terhenti kurang
dilakukan kontrol
dari jam tambahan
31 Operator Adanya Penggunaan  Operator Kerusakan Rendah  Adanya role  Peningkatan  Nilai risiko sama
Kantor permasalahan software dan kantor pusat perangkat (5) authorization kompetensi dengan nilai
Pusat dalam hardware sehingga  Adanya prosedur pegawai risiko residual
(A17) pengoperasian yang tidak
layanan terhenti pelaporan gangguan  Awareness yang diharapkan
perangkat benar aplikasi keamanan  Tidak perlu
(T1) 3 - 12 jam
informasi dilakukan kontrol
tambahan

92
Risiko
32 Teknisi Kurangnya Kurangnya  Teknisi  Kerusakan Rendah Adanya prosedur  Peningkatan  Nilai risiko sama
jaringan pemeliharaan personil Jaringan perangkat (5) penambahan instalasi kompetensi PIC dengan nilai
(A19) (T12) yang jaringan TIK di KPKNL risiko residual
berdampak dan Kanwil yang diharapkan
pada beberapa  Tidak perlu
kantor dilakukan kontrol
operasional tambahan
33 Teknisi Akses ilegal Tidakada  Teknisi  Layanan Rendah Adanya prosedur  Awareness  Nilai risiko sama
jaringan (T13) kebijakan Jaringan lambat/terhenti (5) penambahan instalasi keamanan dengan nilai
(A19) clear desk dan  Hacker 3-12 jam di jaringan informasi risiko residual
clear screen beberapa kantor yang diharapkan
operasional  Tidak perlu
dilakukan kontrol
tambahan
34 Petugas Proses kerja Proses  Petugas  Pelayanan Rendah  Adanya prosedur  Meningkatkan  Nilai risiko sama
Help Desk lebih lama rekrutmen Helpdesk lambat/terhenti (5) penanganan kompetensi dengan nilai
(A21) (T12) kurang di beberapa gangguan pegawai risiko residual
memadai kantor  Adanya web help  Meningkatkan yang diharapkan
operasional desk untuk layanan prima  Tidak perlu
mengelola gangguan dilakukan kontrol
 Adanya dokumentasi tambahan
gangguan yang sudah
terjadi

93
Risiko
35 Proses Adanya proses Adanya proses  Operator  Adanya Rendah  Adanya prosedur  Menetapkan aturan  Nilai risiko sama
Rekapitula data yang ilegal yang tidak KantorPusat kerusakan data (5) dalam proses dan sanksi terhadap dengan nilai
si (T13) sesuai di kantor pusat rekapitulasi proses ilegal risiko residual
prosedur yang diharapkan
(A23)
 Tidak perlu
dilakukan kontrol
tambahan
36 Proses Adanya proses Adanya proses  Operator  Adanya Rendah  Adanya prosedur  Menetapkan aturan  Nilai risiko sama
Pembuatan data yang ilegal yang tidak Kantor Pusat kerusakan data (5) dalam proses dan sanksi terhadap dengan nilai
Laporan (T13) sesuai di kantor pusat rekapitulasi proses ilegal risiko residual
prosedur yang diharapkan
(A24)
 Tidak perlu
dilakukan kontrol
tambahan
37 Proses Database Adanya proses  Operator  Layanan Rendah  Adanya prosedur  Awareness  Nilai risiko sama
backup hilang/rusak yang tidak KPKNL terhenti di (5) dalam proses restore keamanan dengan nilai
data (T8) sesuai  Operator sebagian kecil data informasi risiko residual
(A25)
prosedur Kanwil kantor  Penambahan yang diharapkan
operasional prosedur backup  Tidak perlu
dan restore data dilakukan kontrol
tambahan

94
Risiko
38 Proses Kesalahan data Kesalahan  Operator  Layanan Rendah  Adanya prosedur  Penambahan  Nilai risiko sama
restore (T14) pemilihan data KPKNL terhenti di (1) umum dalam proses prosedur backup dengan nilai
data yang direstore  Operator sebagian kecil restore data dan restore data risiko residual
(A26) Kanwil kantor yang diharapkan
operasional  Tidak perlu
dilakukan kontrol
tambahan

95
Setelah dilakukan analisis penanganan risiko maka harus dilakukan pemilihan

risiko mana saja yang harus dilakukan pengurangan risiko. Untuk risiko yang
mempunyai nilai sama atau dibawah nilai risiko residual yang diharapkan maka
risiko tersebut dipertahankan sedangkan untuk risiko yang mempunyai nilai diatas
nilai risiko residual yang diharapkan maka harus dilakukan pengurangan risiko
dengan menggunakan analisis biaya dan manfaat (cost benefit analisys) terhadap
setiap kontrol yang akan ditambahkan.
Hasil dari analisis tersebut dapat mengetahui seberapa besar biaya yang akan
dikeluarkan terhadap manfaat yang akan didapatkan baik secara tangible maupun
intangible. Selanjutnya ditunjuk pihak yang bertugas untuk melaksanakan
tambahan kontrol tersebut berdasarkan tugas dan wewenang masing-masing.
Berdasarkan analisis biaya dan manfaat tersebut dapat menentukan apakah
rekomendasi kontrol tersebut dapat dijalankan atau tidak. Adapun kondisi yang
ditentukan antara lain:
 Apabila biaya pengurangan risiko lebih kecil dari manfaat yang diperoleh
dan terdapat sumber daya yang memadai untuk membiayai pelaksanaan
kontrol maka harus dilakukan implementasi kontrol tambahan;
 Apabila biaya pengurangan risiko lebih besar dari manfaat yang diperoleh
dan tidak terdapat sumber daya yang memadai untuk membiayai
pelaksanaan kontrol maka risiko tersebut harus dihindari (avoidance) atau
ditransfer.
Berikut adalah analisis biaya dan manfaat (cost benefit analisys) terhadap
rekomendasi kontrol yang digunakan yang dapat dijelaskan pada Tabel
5.15:

96
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol
No Rekomendasi Kontrol Kontrol Skenario Biaya/Kegiatan Manfaat Stretegi PIC

ISO 27002 Penanganan
1 Melakukan enkripsi Kriptograpi A2-T4  Honor tim untuk mengelola,  Menghindari tersebarnya  Reduction  Subdit Pengolahan
terhadap elemen data (Information melakukan monitor dan informasi rahasia Data dan Layanan
yang bersifat rahasia system perawatan elemen data pada  Penghematan: Biaya iklan di Operasional
acquisition, aplikasi Modul Kekayaan koran nasional untuk
development Negara. klarifikas terkait informasi
and  Biaya: (10 orang x 12 bulan rahasia yang tersebar (10
maintenance) x Rp 300.000,- sebesar Rp koran nasional x 5 kali tayang
36.000.000 pertahun) x Rp 5.000.000,- sebesar Rp
250.000.000,-)
2 Menetapkan Identifikasi A22-T13  Honor tim untuk  Terhindar dari data yang tidak  Reduction  Direktorat Hukum
peraturan dan sanksi peraturan yang menetapkan peraturan dan akurat dan Humas
terhadap proses berlaku sanksi terkait pelanggaran  Penghematan: Biaya transport
ilegal (Compliance) prosedur aplikasi Modul dan konsumsi terkait
Kekayaan Negara. pemutakhiran data (100 satker
 Biaya: (10 orang x 12 bulan x 3 hari x Rp 500.000,-
x Rp 300.000,- sebesar Rp sebesar Rp 150.000.000,-)
36.000.000 pertahun)

97
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan)

3 Prosedur pengetesan Persyaratan A1-T1  Honor tim untuk mengelola  Aplikasi Modul Kekayaan  Reduction  Subdit Perancangan
aplikasi dan Evaluasi keamanan sistem A18-T10 prosedur evaluasi dan serah Negara dapat dioperasikan dan Pengembangan
pembuatan aplikasi informasi terima aplikasi Modul dengan baik dan jarang terjadi Sistem Aplikasi
(Information Kekayaan Negara. permasalahan
system  Biaya: (10 orang x 12 bulan  Penghematan: Biaya perbaikan
acquisition, x Rp 300.000,- sebesar Rp aplikasi oleh vendor di luar
development and 36.000.000 pertahun) kontrak sebesar Rp
maintenance) 300.000.000,-
4 Prosedur serah terima Akses kontrol ke A1-T2  Memudahkan dalam proses  Reduction  Subdit Perancangan
aplikasi dalam source troubleshooting dan update dan Pengembangan
code program aplikasi Modul Kekayaan Sistem Aplikasi
(Information Negara
system  Penghematan: Biaya perbaikan
acquisition, aplikasi oleh vendor di luar
development and kontrak sebesar Rp
maintenance) 300.000.000,-

98

5 Pembuatan logout Sesi time-out A1-T3  Honor tim untuk mengelola  Menghindari penyalahgunaan  Reduction  Subdit Peancangan
otomatis aplikasi (Access Control) fitur logout otomatis hak oleh orang yang tidak dan Pengembangan
aplikasi Modul Kekayaan berwenang Sistem Aplikasi
Negara.  Penghematan: Biaya transport
 Biaya: (10 orang x 12 bulan dan konsumsi terkait
x Rp 300.000,- sebesar Rp pemutakhiran data (100 satker
36.000.000 pertahun) x 3 hari x Rp 500.000,-
sebesar Rp 150.000.000,-)
6 Pembuatan role Pengelolaan A3-T5  Honor tim untuk mengelola  Menghindari penyalahgunaan  Reduction  Subdit Pengolahan
authorization privilege A13-T3 fitur role authorization hak akibat sharing password Data dan Layanan
(Access Control) A7-T3 aplikasi Modul Kekayaan yang dapat mengakibatkan Operasional
A8-T3 Negara. kerusakan data
A12-T3  Biaya: (10 orang x 12 bulan  Penghematan: Biaya transport
x Rp 300.000,- sebesar Rp dan konsumsi terkait
36.000.000 pertahun) pemutakhiran data (100 satker
x 3 hari x Rp 500.000,-
sebesar Rp 150.000.000,-)

99

7 Pengadaan software Kontrol terhadap A14-T8  Pengadaan antivirus untuk  Menghindari kerusakan atau  Reduction  KPKNL
antivirus malicious code A10-T8 PC kehilangan data  Kanwil
(Communication  Biaya: Tiap kantor membeli  Penghematan: Biaya transport
and Information 5 antivirus x Rp200.000 = dan konsumsi terkait
Management) Rp1.000.000 pemutakhiran data (100 satker
x 3 hari x Rp 500.000,-
sebesar Rp 150.000.000,-)
8 Pembuatan Monitoring A3-T5  Honor tim untuk mengelola  Mencegah terhentinya  Reduction  Subdit Pengolahan
manajemen kapasitas penggunaan A4-T5 kapasitas dan port perangkat layanan terkait permasalahan Data dan Layanan
menggunakan sistem TI. kapasitas server database Operasional
software monitoring (Communication  Biaya: (10 orang x 12 bulan (permasalahan hard disk)
and Information x Rp 300.000,- sebesar Rp  Penghematan: Biaya
Management) 36.000.000 pertahun) perjalanan dinas untuk
perbaikan hard disk (rata-rata
10 kantor x 2 orang x Rp
10.000.000,- sebesar Rp
200.000.000,-
9 Manajemen dan Kontrol Jaringan A7-T6  Menghindari penyalahgunaan  Reduction  Subdit Pengolahan
pelabelan port (Communication oleh orang yang tidak berhak Data dan Layanan
and Information  Penghematan: Biaya Operasional
Management) perjalanan dinas untuk  KPKNL
perbaikan perangkat jaringan  Kanwil
(rata-rata 10 kantor x 2 orang
x Rp 10.000.000,- sebesar Rp
200.000.000,-

100

10 Pengadaan CCTV Monitoring A7-T3  Pembelian perangkat CCTV  Menghindari gangguan dari  Reduction  KPKNL
penggunaan  Biaya: Tiap kantor membeli orang yang tidak berhak  Kanwil
sistem 1 paket CCTV seharga Rp  Penghematan: Biaya
(Communication 10.000.000 perbaikan kerusakan
and Information perangkat yang sudah habis
Management) masa garansi (rata-rata 20
perangkat x Rp 30.000.000,-
sebesar Rp 600.000.000,-
11 Pengadaan OS Kontrol terhadap A10-T1  Pembelian OS Windows asli  Menghindari kerusakan atau  Reduction  KPKNL
Windows asli malicious code A11-T1  Biaya: Tiap kantor membeli kehilangan data  Kanwil
(Communication 5 OS x Rp1.000.000 =  Penghematan: Biaya transport
and Information Rp5.000.000 dan konsumsi terkait
Management) pemutakhiran data (100 satker
x 3 hari x Rp 500.000,-
sebesar Rp 150.000.000,-)

101

12 Meningkatkan Pelatihan, A15-T9  Kegiatan pelatihan  Operator KPKNL, Kanwil  Reduction  PKNSI
kompetensi pegawai pendidikan dan A16-T9 peningkatan kompetensi dan Kantor Pusat dapat  KPKNL
kesadaran A16-T1 pegawai dalam penggunaan menguasai penggunaan  Kanwil
terhadap perangkat SI/TI aplikasi aplikasi, perangkat keras dan
keamanan Modul Kekayaan Negara. lunak
informasi  Tiap kantor terdapat 3 orang  Terhindar dari kerusakan data
(Human operator dan perangkat TI
Resources  Biaya dinas rata-rata Rp5  Penghematan: Biaya transport
Security) juta tiap orang dan konsumsi terkait
 Biaya hotel Rp300.000 tiap pemutakhiran data (100 satker
orang x 3 hari x Rp 500.000,-
 Jumlah = Rp250.000.000 sebesar Rp 150.000.000,-)
 Penghematan: Biaya
perbaikan kerusakan
perangkat yang sudah habis
masa garansi (rata-rata 20
sebesar Rp 600.000.000,-

102

13 Awareness Pelatihan, A18-T11  Kegiatan sosialisasi dan  Operator KPKNL, Kanwil  Reduction  PKNSI
keamanan informasi pendidikan dan A20-T11 pelatihan terkait awareness dan Kantor Pusat dapat  KPKNL
kesadaran keamanan informasi dalam mengetahui dan memiliki  Kanwil
terhadap penggunaan perangkat SI/TI awareness keamanan
keamanan dan pengamanan informasi informasi
informasi pada aplikasi Modul  Terhindar dari kerusakan data
(Human Kekayaan Negara. dan perangkat TI
Resources  Tiap kantor terdapat 3 orang  Penghematan: Biaya transport
Security) operator dan konsumsi terkait
 Biaya dinas rata-rata Rp5 pemutakhiran data (100 satker
juta tiap orang x 3 hari x Rp 500.000,-
 Biaya hotel Rp300.000 tiap sebesar Rp 150.000.000,-)
orang  Penghematan: Biaya
 Jumlah = Rp250.000.000 perbaikan kerusakan
perangkat yang sudah habis
masa garansi (rata-rata 20
sebesar Rp 600.000.000,-

103
Berdasarkan hasil analisis biaya dan manfaat pada Tbel 5.15 dapat diketahui
bahwa seluruh rekomendasi kontrol yang harus dilakukan mempunyai biaya
pengurangan risiko lebih kecil dari manfaat yang diperoleh dan terdapat sumber
daya yang memadai untuk membiayai pelaksanaan kontrol maka harus dilakukan
implementasi kontrol tambahan. Dengan demikian tidak ada risiko yang akan
ditransfer atau dihindari.
5.5 Penerimaan Risiko

Berdasarkan ISO 27005, penerimaan risiko adalah keputusan untuk menerima
risiko dan bertanggung jawab terhadap keputusan yang diambil dalam mengelola
risiko tersebut. Dalam hal ini keputusan harus secara resmi dicatat dan dipatuhi
oleh semua pihak. Oleh karena itu dalam penelitian ini disusun daftar risiko
beserta keputusan dan pihak yang bertanggung jawab dalam penanganan risiko
sehingga dapat memenuhi kriteria penerimaan risiko keamanan informasi yang
dapat dilihat pada Tabel 5.16:

104
Tabel 5.16 Analisis Penerimaan Risiko
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Penanganan Rekomendasi kontrol Penanggung Rencana Kerja
Risiko Risiko Jawab
1 Aplikasi Terjadi Proses testing  Vendor  Aplikasi tidak Sedang Reduction  Prosedur pengetesan  Subdit  Juli-Desember
Modul permasalahan tidak lengkap  Programmer bisa (50) aplikasi Perencanaan 2014
KN saat digunakan  Evaluasi pembuatan dan
(A1) mengoperasikan  Seluruh kantor aplikasi Pengembangan
aplikasi operasional Aplikasi
(T1) tidak dapat
menggunakan
aplikasi
2 Aplikasi Proses Dokumentasi  Vendor  Terdapat Sedang Reduction  Prosedur serah  Subdit  Juli-Desember
Modul troubleshooting terhadap  Programmer beberapa atau (50) terima aplikasi Perencanaan 2014
KN dan update source code semua menu dan
(A1) aplikasi aplikasi tidak aplikasi Pengembangan
terhambat lengkap bermasalah Aplikasi
(T2)  Berdampak
pada seluruh
kantor
operasional
3 Aplikasi Penyalah- Tidak ada  Vendor  Informasi Sedang Reduction  Pembuatan logout  Subdit  Juli-Desember
Modul gunaan hak logout  Programmer rahasia (50) otomatis aplikasi Perencanaan 2014
KN (T3) otomatis saat  Operator tersebar ke dan
(A1) meninggalkan KPKNL orang yang Pengembangan
workstation  Operator tidak berhak Aplikasi
Kanwil
 Operator
Kantor Pusat

105
Tabel 5.16 Analisis Penerimaan Risiko (lanjutan)
Risiko Risiko Jawab
4 Database Informasi Data rahasia  Database  Informasi Sedang Reduction  Melakukan enkripsi  Subdit  Juli-Desember
Kekayaan rahasia mudah tidak Admin rahasia (50) terhadap elemen data Pengolahan 2014
Negara dibaca dienkripsi tersebar ke yang bersifat rahasia Data dan
(T4) orang yang Layanan
(A2)
tidak berhak Operasional
 Berdampak
pada seluruh
kantor
operasional
5 Database Penyalah- Sharing  Database  Data Sedang Reduction  Pembuatan role  Subdit  Juli-Desember
server gunaan hak password Admin hilang/rusak (50) authorization Pengolahan 2014
(A3) (T3)  Operator  Berdampak Data dan
KPKNL pada seluruh Layanan
 Operator kantor Operasional
Kanwil operasional
 Operator
Kantor Pusat
6 Linux Penyalah- Sharing  Hacker  Data Sedang Reduction  Pembuatan role  Subdit  Juli-Desember
Redhat gunaan hak Password hilang/rusak (50) authorization Pengolahan 2014
(A13) (T3) pada beberapa Data dan
kantor Layanan
operasional Operasional

106
Risiko Risiko Jawab
7 Antivirus Data Anti virus  Virus  Data Sedang Reduction  Pengadaan software  KPKNL  Juli-Desember
(A14) hilang/rusak bajakan hilang/rusak (50) antivirus  Kanwil 2014
(T8) pada beberapa
kantor
operasional
8 Database Server tidak Tidak ada  Database  Proses bisnis Sedang Reduction  Pembuatan  Subdit  Juli-Desember
server bisa diakses manajemen Admin terhenti antara (25) manajemen kapasitas Pengolahan 2014
(A3) (T5) kapasitas 3-12 jam menggunakan Data dan
 Berdampak software monitoring Layanan
pada beberapa Operasional
kantor
operasional
9 Access Penyalah- Sharing  Hacker  Koneksi Sedang Reduction  Pembuatan role  Subdit  Juli-Desember
Switch gunaan hak password jaringan di (25) authorization Pengolahan 2014
(A7) (T3) beberapa Data dan
kantor Layanan
operasional Operaional
terhenti 3-12
jam
10 Access Koneksi lambat Adanya port  Hacker  Koneksi Sedang Reduction  Manajemen port  Subdit  Juli-Desember
Switch (T6) yang dibuka jaringan di (25) Pengolahan 2014
(A7) untuk beberapa Data dan
komunikasi kantor Layanan
data operational Operaional
lambat 3-12
jam

107
Risiko Risiko Jawab
11 Router Penyalah- Sharing  Hacker  Koneksi Sedang Reduction  Pembuatan role  Subdit  Juli-Desember
(A8) gunaan hak password jaringan di (25) authorization Pengolahan 2014
(T3) beberapa Data dan
kantor Layanan
operasional Operaional
terhenti 3-12
jam
12 PC (A10) Permasalahan OS bajakan  Virus  Aplikasi tidak Sedang Reduction  Pengadaan OS asli  KPKNL  Juli-Desember
saat bisa (25)  Kanwil 2014
penggunaan dijalankan di
(T1) beberapa
kantor
operasional
13 PC (A10) Data Tidak ada  Virus  Data Sedang Reduction  Pengadaan antivirus  KPKNL  Juli-Desember
hilang/rusak antivirus hilang/rusak (25) asli  Kanwil 2014
(T8) di beberapa
kantor
operasional
14 OS Permasalahan OS bajakan  Virus  Aplikasi tidak Sedang Reduction  Pengadaan OS asli  KPKNL  Juli-Desember
Windows saat bisa (25)  Kanwil 2014
(A11) penggunaan dijalankan di
(T1) beberapa
kantor
operasional

108
Risiko Risiko Jawab
15 Oracle Penyalah- Sharing  Hacker  Data Sedang Reduction  Pembuatan role  Subdit  Juli-Desember
10G gunaan hak password hilang/rusak (25) authorization Pengolahan 2014
(A12) (T3) pada beberapa Data dan
kantor Layanan
Operasional
16 Operator Kurang Proses  Operator  Proses bisnis Rendah Reduction  Peningkatan  PKNSI  Juli-Desember
KPKNL menguasai perekrutan KPKNL terhenti lebih (10) kompetensi pegawai  KPKNL 2014
(A15) penggunaan kurang dari 12 jam  Kanwil
aplikasi (T21) memadai  Berdampak
lebih dari 20
kantor
operasional
17 Operator Adanya Penggunaan  Operator  Kerusakan Rendah Reduction  Peningkatan  PKNSI  Juli-Desember
KPKNL permasalahan software dan KPKNL perangkat (10) kompetensi pegawai  KPKNL 2014
(A15) dalam hardware yang sehingga  Kanwil
pengoperasian tidak benar layanan
perangkat terhenti lebih
(T9) dari 12 jam
18 Operator Kurang Proses  Operator  Proses bisnis Rendah Reduction  Peningkatan  PKNSI  Juli-Desember
Kanwil menguasai perekrutan Kanwil terhenti lebih (10) kompetensi pegawai  KPKNL 2014
(A16) penggunaan kurang dari 12 jam  Kanwil
aplikasi (T1) memadai  Berdampak
lebih dari 20
kantor
operasional

109
Risiko Risiko Jawab
19 Operator Adanya Penggunaan Operator  Kerusakan Rendah Reduction  Peningkatan  PKNSI  Juli-Desember
Kanwil permasalahan software dan Kanwil perangkat (10) kompetensi pegawai  KPKNL 2014
(A16) dalam hardware sehingga  Kanwil
pengoperasian yang tidak
layanan
perangkat benar
(T9) terhenti lebih
dari 12 jam
20 Program Update aplikasi Perubahan Program mer  Aplikasi Rendah Reduction  Evaluasi dan  Subdit  Juli-Desember
mer kurang proses bisnis mengelami (10) monitoring Perencanaan 2014
(A18) sempurna yang cepat masalah di pembuatan aplikasi dan
(T10) semua kantor Pengembangan
operasional Aplikasi
21 Program Kecoran data Tidak ada Program mer  Informasi Rendah Reduction  Awareness keamanan  Subdit  Juli-Desember
mer (T11) kebijakan rahasia (10) informasi Perencanaan 2014
(A18) clear desk dan tersebar dan
clear screen Pengembangan
Aplikasi
22 Database Kebocoran data Tidak ada  Database  Informasi Rendah Reduction  Awareness keamanan  Subdit  Juli-Desember
Admin (T11) kebijakan Admin rahasia (10) informasi Pengolahan 2014
(A20) clear desk dan tersebar Data dan
clear screen Layanan
Operaional

110
Risiko Risiko Jawab
23 Proses Adanya proses Adanya proses  Operator  Kerusakan Rendah Reduction  Menetapkan aturan  Direktorat  Juli-Desember
Rekon data yang ilegal yang tidak KPKNL data di semua (10) dan sanksi terhadap Hukumdan 2014
siliasi (T13) sesuai  Operator kantor proses ilegal Humas
prosedur Kanwil operasional
(A22)
24 Storage Penyalah- Sharing  Hacker  Data Rendah Accept - - -

server gunaan hak password hilang/rusak (5)
(A4) (T3) (ada backup)
25 Storage Server tidak Tidak ada  Database  Proses bisnis Rendah Accept - - -
server bisa diakses manajemen Admin terhenti antara (5)
(A4) (T5) kapasitas 3-12 jam
26 Core Penyalah- Sharing  Hacker  Jaringan di Rendah Accept - - -

Switch gunaan hak password kantor pusat (5)
(A5) (T3) terhenti 3-12
jam
27 Core Koneksi lambat Adanya port  Hacker  Jaringan di Rendah Accept - - -

Switch (T6) yang dibuka kantor pusat (5)
(A5) untuk lambat 3-12
komunikasi
jam
data

111
Risiko Risiko Jawab
28 Distributor Penyalahgunaan Sharing  Hacker  Jaringan di Rendah Accept - - -

Switch hak password kantor pusat (5)
(A6) (T3) terhenti
kurang dari 3
jam
29 Distributor Koneksi lambat Adanya port  Hacker  Jaringan di Rendah Accept - - -
Switch (T6) yang dibuka kantor pusat (5)
(A6) untuk lambat kurang
komunikasi dari 3 jam
data
30 Kabel Koneksi ke Instalasi kabel  Teknisi  Jaringan Rendah Accept - - -
Jaringan perangkat jaringan tidak Jaringan kurang dari (5)
(A9) mengalami rapi  Pegawai 20 kantor
gangguan
operasional
(T7)
terhenti
kurang dari 3
jam
31 Operator Adanya Penggunaan  Operator  Kerusakan Rendah Accept - - -

Kantor permasalahan software dan kantor pusat perangkat (5)
Pusat dalam hardware layanan
(A17) pengoperasian yang tidak
terhenti 3 - 12
perangkat benar
(T1) jam

112
Risiko Risiko Jawab
32 Teknisi Kurangnya Kurangnya  Teknisi  Kerusakan Rendah Accept - - -

jaringan pemeliharaan personil Jaringan perangkat (5)
(A19) (T12) yang
berdampak
pada beberapa
kantor
operasional
33 Teknisi Akses ilegal Tidakada  Teknisi  Layanan Rendah Accept - - -

jaringan (T13) kebijakan Jaringan lambat/terhenti (5)
(A19) clear desk dan  Hacker 3-12 jam di
clear screen beberapa kantor
operasional
34 Petugas Proses kerja Proses  Petugas  Pelayanan Rendah Accept - - -
Help Desk lebih lama rekrutmen Helpdesk lambat/terhenti (5)
(A21) (T12) kurang di beberapa
memadai kantor
operasional
35 Proses Adanya proses Adanya proses  Operator  Adanya Rendah Accept - - -

Rekapitula data yang ilegal yang tidak KantorPusat kerusakan data (5)
si (A23) (T13) sesuai di kantor pusat
prosedur

113
Risiko Risiko Jawab
36 Proses Adanya proses Adanya proses  Operator  Adanya Rendah Accept - - -

Pembuatan data yang ilegal yang tidak Kantor Pusat kerusakan data (5)
Laporan (T13) sesuai di kantor pusat
prosedur
(A24)
37 Proses Database Adanya proses  Operator  Layanan Rendah Accept - - -

backup hilang/rusak yang tidak KPKNL terhenti di (5)
data (T8) sesuai  Operator sebagian kecil
prosedur Kanwil kantor
(A25)
operasional
38 Proses Kesalahan data Kesalahan  Operator  Layanan Rendah Accept - - -

restore (T14) pemilihan data KPKNL terhenti di (1)
data yang direstore  Operator sebagian kecil
(A26) Kanwil kantor
operasional

114
Pada Tabel 5.16 diatas dapat dijelaskan bahwa pada setiap skenario risiko disusun
keputusan penanganan risiko, penanggung jawab risiko dan rencana kerja untuk
melakukan rekomendasi kontrol yang telah ditetapkan. Dalam hal ini terdapat 23
skenario risiko yang dilakukan pengurangan risiko (reduction) dan 15 skenario
risiko yang dilakukan penerimaan risiko (accept). Penanggung jawab merupakan
pihak yang mempunyai kewajiban untuk melakukan penanganan risiko tersebut.
Rencana kerja ditetapkan pada bulan Juli – Desember 2014.
Direktorat Jenderal Kekayaan Negara (DJKN) harus melakukan evaluasi,

monitoring dan koordinasi yang baik terhadap proses penanganan risiko yang
telah ditetapkan terutama dalam implementasi penyusunan rekomendasi kontrol
yang bertujuan untuk mengurangi risiko keamanan informasi, dalam hal ini harus
dicatat dalam laporan monitoring risiko dan melakukan tindakan korektif apabila
terdapat penanganan risiko yang tidak sesuai dengan yang diharapkan.

115
BAB VI
PENUTUP
Bab ini berisi kesimpulan dan saran dari hasil penelitian yang telah dilakukan.
Kesimpulan merupakan rangkuman dari penelitian perencanaan manajemen risiko
keamanan informasi di DJKN khususnya tentang aplikasi Modul KN. Saran
merupakan masukan terhadap proses analisis dan penanganan risiko yang
dilakukan oleh DJKN dalam menjalankan proses bisnis untuk mencapai tujuan
organisasi.
6.1 Kesimpulan
Berdasarkan penelitian yang telah dilakukan, maka perencanaan manajemen risiko

keamanan informasi yang tepat bagi DJKN khususnya terhadap aplikasi yang
mendukung proses bisnis utama (Modul Kekayaan Negara) adalah mencakup
beberapa hal antara lain:
a. Penetapan konteks bersumber dari PMKNo.191/PMK.09/2008 tentang
Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan yaitu
terkait kriteria evaluasi risiko, kriteria dampak, kriteria penerimaan risiko dan
organisasi manajemen risiko keamanan informasi;
b. Identifikasi risiko dilakukan dengan melakukan identifikasi aset yang
mendukung sistem informasi utama (Modul KN), identifikasi ancaman yang
dapat merugikan, identifikasi pengendalian yang ada dan identifikasi
kerawanan yang dapat menimbulkan kerugian bagi DJKN;
c. Estimasi risiko dengan cara melakukan identifikasi tingkat konsekuensi dan
identifikasi tingkat kecenderungan terjadinya risiko. Dalam hal ini dibagi
menjadi tiga tingkatan yaitu rendah, sedang dan tinggi;
d. Evalusi risiko dengan cara menghitung nilai risiko sesuai matriks evaluasi
risiko dan melakukan prioritas penanganan risiko berdasarkan nilai risiko dari
yang tertinggi sampai terendah;

116
e. Penanganan risiko berisi tentang rencana penanganan risiko yang terdiri dari
empat opsi yaitu accept, reduction, avoid dan transfer. Untuk mengurangi
risiko dengan cara menyusun rekomendasi kontrol sesuai dengan pedoman
ISO 27002. Dalam hal ini terdapat 23 skenario risiko yang dilakukan
pengurangan risiko (reduction) dan 15 skenario risiko yang dilakukan
penerimaan risiko (accept).
f. Penerimaan risiko berisi tentang keputusan penanganan risiko, penanggung
jawab penanganan risiko dan jadwal implementasi rekomendasi kontrol.
6.2 Saran
Adapun saran yang dapat dikemukakan sebagai berikut:
a. Direktorat Jenderal Kekayaan Negara (DJKN) harus melakukan evaluasi,

monitoring dan koordinasi terhadap proses penanganan risiko yang telah
ditetapkan, dalam hal ini harus dicatat dalam laporan monitoring risiko dan
melakukan tindakan korektif apabila terdapat penanganan risiko yang tidak
sesuai dengan yang diharapkan;
b. Prosedur dan kebijakan yang disusun oleh DJKN dalam upaya untuk
mengurangi risiko keamanan informasi harus disusun sesuai dengan hasil
analisis risiko keamanan informasi dan rekomendasi kontrol yang telah
ditetapkan sehingga dapat meminimalisir risiko bisnis;
c. Direktur Pengelolaan Kekayaan Negara dan Sistem Informasi (PKNSI)
sebagai ketua tim keamanan informasi unit eselon I (CISO eselon I) harus
berkoordinasi dan melakukan kesepakatan (Memorandum of
Understanding/MOU) dengan ketua tim keamanan informasi kementerian
keuangan (CISO Kementerian Keuangan) dalam pengembangan dan
penerapan manajemen risiko keamanan informasi.
d. DJKN perlu menyusun framework risiko yang lebih komprehensif dengan
mengumpulkan dan menganalisis berbagai macam risiko yang dapat terjadi
pada unit eselon dibawahnya (pemilik risiko) sehingga dapat mengetahui
profil risiko secara lengkap.

117
DAFTAR PUSTAKA
Andress, J. (2011). The Basic of Information Security : Understanding the

Fundamental of Infosec in Theory and Practice. Syngress: USA.
Committee for Oversight and Assesment (COA) (2005). The Owner’s Role in
Project Risk Management. The National Academies Press: USA.
Direktorat Jenderal Kekayaan Negara (2010). KEP-38/KN/2010 tentang Rencana

Strategis Direktorat Jenderal Kekayaan Negara Tahun 2010 – 2014. Jakarta,
Indonesia: DJKN.
Direktorat Jenderal Kekayaan Negara (2008). Blue Print TIK DJKN. Jakarta,
Indonesia: DJKN.
Direktorat Pengelolaan Kekayaan Negara dan Sistem Informasi (2012). Matriks

Tindak lanjut Temuan Pemeriksaan Inspektorat Jenderal atas Kegiatan
Pengelolaan BMN Tahun 2011 dan 2012. Jakarta, Indonesia : DJKN.
Hintzbergen, K. & Smulders, A. (2010). Foundations of Information Security:

Based on ISO27001 and ISO27002. Van Haren Publishing: USA.
Inspektorat Jenderal (2011). Laporan Hasil Audit Pembangunan Modul Kekayaan

Negara pada Direktorat Pengelolaan Kekayaan Negara dan Sistem Informasi
(PKNSI). Jakarta, Indonesia: Inspektorat Jenderal.
International Standard Organization (2008). ISO/IEC 27005:2008 - Information

Technology – Security Techniques – Information Security Risk
Management. Switzerland.
International Standard Organization (2005). lSO/IEC 27002:2005 (Information

Technology-Security Techniques-Code of Practice for Information Security
Management). Switzerland.
International Standard Organization (2005). lSO/IEC 27002:2005 (Information

Technology-Information Security Management System- Requirement).
Switzerland.
International Standard Organization (2009). lSO/IEC 31000:2009 (Risk

Management-Guidelines on Principles and Implementation of Risk Management).
Switzerland.
Information System Audit and Control Association (ISACA) (2013). CISM:

Review Manual 2013. Rolling Meadows: USA.

118
Kementerian Keuangan (2008). PMK No.191/PMK.09/2008 tentang Penerapan

Manajemen Risiko di Lingkungan Kementerian Keuangan. Jakarta, Indonesia.
Kementerian Keuangan (2007). PMK No.120/PMK.06/2007 tentang

Penatausahaan Barang Milik Negara. Jakarta, Indonesia: Kementerian Keuangan.
Kementerian Keuangan (2007). PMK No.96/PMK.06/2007 tentang Tata Cara

Pelaksanaan Penggunaan, Pemanfaatan, Penghapusan dan Pemindahtanganan
Barang Milik Negara. Jakarta, Indonesia: Kementerian Keuangan.
Kementerian Keuangan (2010). PMK No.184/PMK.01/2010 tentang Organisasi

dan Tata Kerja Kementerian Keuangan. Jakarta, Indonesia: Kementerian
Keuangan.
Kementerian Keuangan (2012). PMK No.170/PMK.01/2012 tentang Organisasi

dan Tata Kerja Instansi Vertikal di Direktorat Jenderal Kekayaan Negara.
Jakarta, Indonesia: Kementerian Keuangan.
Kementerian Keuangan (2010). KMK No.479/KMK.01/2010 tentang Kebijakan

dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian
Keuangan. Jakarta, Indonesia.
Kementerian Keuangan (2010). KMK-40/KMK.01/2010 tentang Rencana

Strategis Kementerian Keuangan tahun 2010-2014. Jakarta, Indonesia:
Kementerian Keuangan.
Kementerian Komunikasi dan Informatika (2007). Permenkominfo Nomor

41/PERMEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi
Informasi dan Komunikasi Nasional.Jakarta: Indonesia.
Lestari, E. (2011). Karya Akhir. Evaluasi Manajemen Risiko Keamanan Informasi

Sistem Provisionong Gateway Telkom Flexy. Jakarta: Universitas Indonesia.
McIlwraith, A. (2012). Information Security and Employee Behaviour : How to

Reduce Risk Through Employee Education, Training and Awareness. Gower
Publishing Limited:USA.
Natonal Institute of Standard and Technology (NIST) (2002). Risk Management

Guide for Information Technology System.USA.
Pemerintah Republik Indonesia. (2008). Undang-undang Nomor 60 tahun 2008

tentang Sistem Pengendalian Internal Pemerintah.Jakarta: Indonesia
Oktrada, A.L.A. (2012). Karya Akhir. Perancangan Manajemen Resiko Sistem

Informasi di Instansi Pemerintah: Studi Kasus Direktorat Jenderal
Perkeretaapian. Jakarta : Universitas Indonesia.

119
Prasastie, F. (2013). Karya Akhir. Manajemen Resiko Sistem Informasi : Studi

Kasus Pusat Komunikasi Kementerian Luar Negeri. Jakarta: Universitas
Indonesia.
Smith, R.E. (2011). Elementary Information Security. Jones & Bartlett

Learning.USA
Software Engineering Instistute (2011). Operationally Critical Threat, Asset, and

Vulnerability Evaluation (OCTAVE) Catalog of Practise. USA.
The European Union Agency for Network and Informastion Security (ENISA).
http://rm-inv.enisa.europa.eu/comparison.html. Diakses pada tanggal 4 Maret
2014.
Ward, J, & Peppard, J. (2002). Strategic Planning for Information Systems Third
Edition. England: John Wiley & Sons, LTD.
Whitman, M. & Mattord H. (2013). Principles of Information Security Fourth

Edition. Cangage Learning: USA

120
LAMPIRAN
A.TRANSKRIP WAWANCARA
Transkrip Wawancara dengan Kasubdit Pengelolaan Data dan Layanan

Operasional DJKN
Narasumber : I Ketut Puja
Unit Kerja : Subdit Pengelolaan Data dan Layanan Operasional DJKN
Jabatan : Kasubdit
Tanggal/Jam : 4 Februari 2014
SP : Sigit Prasetyo
IK : I Ketut Puja
SP : Selamat Pagi Pak, apa kabar? Mohon waktu sebentar pak untuk
wawancara terkait penyusunan tesis.
IK : Kabar baik mas sigit. Rencana mau ngambil topik apa?
SP : Rencananya mengambil topik manajemen risiko TI pak
IK : Wah bagus itu. Kira-kira bentuknya seperti apa?
SP : Begini pak, pertama melakukan analisis risiko berdasarkan aset informasi
terhadap proses bisnis utama di DJKN kemudian melakukan
penanganan risikonya.
IK : Kalau mau yang dianalisis proses bisnis utama aja yaitu pengelolaan
barang milik negara. Itu juga udah banyak prosesnya. Dari poses
pengadaan sampai penghapusan BMN
SP : Permasalahan yang dihadapi apa saja pak?
IK : Diantaranya kurangnya SDM TI dan kompetensinya.
SP : Apakah sudah ada perancangan manajemen risiko TI di DJKN?
IK : Sepertinya belum ada. Coba cek di Blue Print TIK DJKN sepertinya ada
penjelasan mengenai risiko.

121
SP : Oh gitu pak. Baik nanti saya cek di Blueprint. Baik Pak, saya rasa sudah
cukup. Nanti kalau saya membutuhkan informasi bisa bertanya bapak
lagi. Terima kasih Pak.
IK : Sama-sama.

122
Transkrip Wawancara dengan Kasi Pengolahan Data dan Layanan Informasi

Narasumber : Salman Paris Muda
Unit Kerja : Subdit Pengelolaan Data dan Layanan Operasional DJKN
Jabatan : Kasi
Tanggal/Jam : 4 dan 27 Maret 2014
SP : Sigit Prasetyo
SM : Salman Paris Muda
SP : Selamat pagi pak, saya ingin berdiskusi tentang pengelolaan data dan
informasi di DJKN terkait dengan tesis yang saat ini saya kerjakan.
Bagaimana keadaan saat ini?
SM : Untuk saat ini pengelolaan data di DJKN masih terpisah-pisah dikarenakan
aplikasi yang ada saat ini seperti seperti Sistem Informasi Manajemen
Kepegawaian (SIMPEG), Sistem Informasi Piutang Lelang (SIMPLe),
Modul Kekayaan Negara (Modul KN), aplikasi tata persuratan, modul
rekonsiliasi BMN dan yang lain belum terintegrasi.
SP : Apakah ada permasalahan terkait hal tersebut?
SM : Seringkali pertukaran data antar aplikasi dilakukan dengan melakukan
input ulang sehingga menyebabkan tingkat efektifitasnya menjadi rendah.
Dengan data dan informasi yang terpisah-pisah tersebut menjadikan proses
pembuatan laporan juga menjadi sulit dan harus dilakukan secara terpisah.
SP : Penyebabnya apa saja pak?
SM : DJKN melakukan pembelian perangkat keras dan pengembangan
perangkat lunak pada waktu yang berbeda dan dari vendor yang berbeda.
Perbedaan pengembang dan tahun pembuatan jelas berdampak pada
kepemilikan sejumlah sistem dengan platform yang berbeda-beda, mulai
dari perbedaan teknologi perangkat keras, bahasa pemrograman, sistem
pengelola basis data, sistem operasi sampai dengan sistem aplikasi
penunjang lainnya. DJKN sebagai satu kesatuan memerlukan integritas

123
data dan informasi dari seluruh fungsi baik fungsi utama maupun fungsi-
fungsi pendukung. Namun integritas data dan informasi ini tidak dapat
diperoleh melalui sistem yang dimiliki DJKN saat ini karena adanya
perbedaan platform. Perbedaan platform menyebabkan terjadinya “pulau-
pulau” informasi karena setiap sistem tidak dapat berkomunikasi untuk
saling berbagi pakai data dan informasi.
SP : Terkait dengan aplikasi kira-kita aplikasi mana yang paling penting di
DJKN?
SM : Saya kira aplikasi Modul Kekaan Negara yang paling penting karena berisi
tentang pengelolaan BMN yang ada di seluruh Kementerian/Lembaga dan
menjadi proses bisnis utama di DJKN
SP : Mengenai database Modul KN seperti apa dan bagaimana
permasalahannya?
SM : Modul KN adalah aplikasi berbasis desktop jadi database tersimpan di
laptop tapi kita usahakan agar database tersebut kita arahkan ke server
database di masing-masing kantor agar aman dan tidak hilang.
Permasalahannya adalah operator KPKNL/Kanwil biasanya masih
menggunakan sharing password di servernya padahal sudah kita buatkan
user admin dan lainnya. Dampaknya database menjadi terhapus/rusak.
SP : Apakah sudah ada kontrol terkait hal tersebut?
SM : Sepertinya belum ada, saat ini masih berupa himbauan dan teguran.
SP : Baik pak. Sepertinya sudah cukup. Terima kasih.
SM : Sama-sama.
---------------------------------------------------------------------------------------------------
SP : Siang Pak. Maaf mengganggu. Saya mau wawancara lagi terkait dengan
tingkat dampak terkait manajemen risiko keamanan informasi. Apakah
sudah ada standar tentang tingkatan dampak apabila database mengalami
permasalahan?
SM : Sampai saat ini belum ada.
SP : Kira-kira yang mempunyai dampak paling tinggi terhadap data itu seperti
apa? Apakah tingkat ketersediaan data, keutuhan data atau kerahasiaan
data?

124
SM : Kalau untuk ketersediaan data kan kita bicara tentang jaringan yang
menghubungkan antara data dan pengguna, biasanya kita golongkan
rendah karena tidak merusak data, untuk yang sedang itu apabila ada
kerusakan/kehilangan data tapi kita masih menyimpan backupnya.
Sedangkan yang tinggi itu apabila tidak ada backupnya dan data rahasia
tersebar.
SP : Apakah saat ini pernah terjadi untuk dampak tinggi tersebut?
SM : Pernah, data rusak tapi tidak ada backupnya, padahal kita sudah backup
otomatis tiap hari nya tapi hasil backupnya error.
SP : Untuk data rahasia tersebar bagaimana?
SM : Belum pernah ada laporan seperti itu. Ya semoga jangan.
SP : Baik Pak. Terima kasih.

125
Transkrip Wawancara dengan Administrator Modul KN

Narasumber : Aris Suhada Mian
Unit Kerja : Subdit Perancangan dan Pengembangan Aplikasi
Jabatan : Pelaksana
Tanggal/Jam : 4 Maret 2014
SP : Sigit Prasetyo
AM : Aris Suhada Mian
SP : Selamat pagi mas, saya mau bertanya tentang aplikasi Modul KN.
Sebenarnya Modul KN itu aplikasi apa dan apa yang menjadi latar
belakangnya?
AM : Latar belakang pembuatan Modul KN terkait dengan PMK 120
/PMK.06/2007 tentang Penatausahaan BMN dan PMK 102/PMK.05/2009
tentang Tatacara Rekonsiliasi BMN dalam rangka penyusunan LKPP.
Modul KN merupakan aplikasi yang digunakan untuk rekonsiliasi data
pengelolaan BMN di SIMAK-BMN dengan data penggunaan anggaran di
SAKPA sehingga menghasilkan neraca yang seimbang.
SP : Apa saja permasalahan yang dihadapi?
AM : Update aplikasi Modul KN sering dilakukan dikarenakan tiap tahun selalu
ada perubahan proses bisnis misalnya tahun kemarin adanya pergantian
kode barang terkait dengan Perubahan PMK Nomor: 97/PMK.06/1997
menjadi PMK Nomor: 29/PMK.06/2010 tentang Penggolongan dan
Kodefikasi BMN
SP : Dampaknya apa mas?
AM : Kita harus cepat membuat update aplikasi Modul KN, namun karena
terbatasnya waktu dan sumberdaya masih terdapat error di aplikasi
tersebut sehingga menyulitkan operator di KPKNL/Kanwil.
SP : Permasalahan apalagi yang ditemui?

126
AM : Kebetulan saya punya lembar hasil audit terkait pembangunan Modul KN

yang dilakukan oleh Inspektorat Jenderal, disitu banyak sekali
permasalahan Modul KN.
SP : Baik pak nanti saya minta salinannya, terkait dengan penggunaan Modul
KN di KPKNL/Kanwil apakah ada permasalahan?
AM : Ada yang mengoperasikan Modul KN tidak sesuai prosedur misalnya
menggunakan user orang lain sehingga menyebabkan data menjadi tidak
sesuai
SP : Apakah sudah ada kontrol?
AM : Kita berikan sanksi nantinya sesuai di Perdirjen 07 tapi saat ini masih
belum ditetapkan.
SP : Dampaknya seperti apa?
AM : Keterlambatan pelaporan sehingga menyebabkan satker harus bolak balik
ke kantor terkait dengan data dan sehingga memperlambat pelayanan dan
proses kerja lebih lama.
SP : Apakah dampak secara finansial?
AM : Sampai saat ini belum ada.
SP : Apakah sudah ada prosedur pengoperasian Modul KN?
AM : Sudah ada. Kita berikan manual instalasi dan cara pengoperasian Modul
KN. Bahkan kita sering memberikan pelatihan pengoperasian Modul KN
ke tiap daerah.
SP : Apakah ada keluhan dari user terkait aplikasi Modul KN?
AM : Terkait dengan aplikasi yang masih berbabasis desktop sehingga harus
instalasi sistemnya di laptop/PC. Kadang ada yang berhasil ada yang tidak.
Sehingga menyulitkan kinerja mereka.
SP : Baik mas. Itu saja barangkali yang saya tanyakan. Terima kasih
AM : Sama-sama.

127
Transkrip Wawancara dengan Pranata Komputer DJKN

Narasumber : Arizal Fauzi
Unit Kerja : Subdit Pengolahan Data dan Layanan Operasional
Jabatan : Pelaksana
Tanggal/Jam : 4 Maret 2014
SP : Sigit Prasetyo
AF : Arizal Fauzi
SP : Siang mas. Saya ingin menanyakan tentang infrastruktur terkait dengan

aplikasi Modul KN. Bagaimana tentang kondisi jaringannya?
AF : Sekarang ini untuk jaringan menggunakan VPN Pusintek Sekjen melalui
operator Telkom.
SP : Apakah ada permasalahan?
AF : Biasanya respon time yang tinggi dikarenakan banyaknya bandwith yang
digunakan dan adanya kondisi daerah yang jauh terutama di daerah timur
dikarenakan masih menggunakan satelit.
SP : Dampaknya seperti apa?
AF : Proses pengiriman data menjadi lambat dan kadang gagal. Makanya kita
berikan server database di tiap kantor untuk menyimpan data dan dari
kantor pusat dapat mengambil data tersebut sewaktu-waktu apabila
dibutuhkan.
SP : Terkait dengan database di server apakah ada permasalahan?
AF : Kalau database di server pusat jarang sekali terjadi permasalahan
sedangkan di kantor daerah sering terjadi, misalnya database yang tiba-tiba
drop sehingga menyebabkan data hilang/rusak.
SP : Penyebabnya apa?
AF : Kadang user menggunakan password root sehingga dapat merubah data
padahal sudah kita anjurkan untuk menggunakan user masing-masing.
SP : Dari sisi hardware bagaimana?

128
AF : User tidak memantau kapasitas hard disk di server sehingga kaspasitas

penuh dan tidak bisa diakses. Untuk daerah timur biasanya ada masalah
listrik sehingga dapat merusak server.
SP : Apakah sering terjadi?
AF : Sering terjadi, makanya kita akan gunakan monitoring jaringan dan
kapasitas server untuk memantau keadaan di daerah. Kalau mau lebih
jelasnya bisa di cek di web layanan helpdesk tik djkn. Disana banyak
mencatat permasalahan baik aplikasi, jaringan, hardware maupun software
yang berkaitan dengan Modul KN.
SP : Baik mas. Nanti saya coba untuk meminta datanya. Terima kasih.
AF : Sama-sama.

129
Transkrip Wawancara dengan Kasi Pengkajian dan Standarisasi Teknologi

Informasi
Narasumber : Agus Setyo Pambudi
Unit Kerja : Subdit Pengolahan Data dan Layanan Operasional
Jabatan : Kasi
Tanggal/Jam : 27 Maret dan 16 April 2014
SP : Sigit Prasetyo
AP : Agus Setyo Pambudi
SP : Selamat siang Pak. Mohon kesediaan waktunya untuk wawancara terkait

manajemen risiko di DJKN. Setelah saya membaca PMK 191 tahun 2008,
siapa yang ditunjuk sebagai ketua manajemen risiko?
AP : DJKN telah menunjuk sekretaris DJKN sebagai ketua manajemen risiko
dan Direktur PKNSI sebagai anggota komite manajemen risiko.
SP : Menurut PMK 191 tahun 2008 bahwa setiap unit eselon I wajib
membuat laporan manajemen risiko setiap 6 bulan. Apakah DJKN sudah
melakukan hal itu?
AP : DJKN pada semester I tahun ini sudah membuat laporan manajemen risiko
yang dibuat di tiap unit eselon II. Isinya berupa analis risiko berdasarkan
sasaran kerja tiap unit, kemudian ditentukan risiko apa yang sudah atau
mungkin terjadi selanjutnya menentukan penyebab timbulnya risiko
tersebut.
SP : Proses terakhir sampai tahap apa pak?
AP : Sebenarnya sampai tahap monitoring dan koreksi namun karena kita baru
membuat pada semester ini jadi hanya sampai tahap penanganan risiko.
SP : Apakah ada analisi tentang penanganan risiko?
AP : Nah sebelum proses itu harus ditentukan dulu seberapa besar dampak
yang terjadi dan sejauh mana kecenderungannya. Kalau mau lihat saya ada
contoh laporannya.

130
SP : Prosesnya mirip dengan analisis yang saya kerjakan di penelitian saya pak.
Bagaimana menentukan tingkat dampak dan kecenderungannya?
AP : Kita melakukan rapat di lingkungan unit eselon II untuk menentukan
tingkat dampak tersebut.
SP : Di PMK sebenarnya ada definisi tingkat dampak dan kecenderungan pak
tapi saya rasa terlalu umum masih kurang jelas.
AP : Makanya kita tentukan tingkat tersebut dengan melalui rapat tadi dengan
diskusi penentuan tingkatannya.
SP : Begini pak, saya sebenernya juga ingin membuat tingkat dampak dan
kecenderungan tapi belum punya gambaran terkait tesis saya tentang
manajemen risiko keamanan informasi di Modul KN. Kira-kira tingkat
dampak untuk Modul KN itu seperti apa? Kita kan punya sekitar 95 kantor
operasional apakah bisa ditentukan?
AP : Sebenarnya bisa kita tentukan sendiri berdasarkan pengalaman kejadian
masa lalu, terkait aplikasi Modul KN kalau ada permasalahan kurang dari
5 kantor operasional biasanya masih rendah, bila sampai sekitar 20-25
kantor kita golongkan sedang tapi kalo lebih dari itu tinggi.
SP : Apakah sudah ada standar semacam itu pak?
AP : Untuk saat ini belum ada.
SP : Kalau terkait dengan availability seperti apa pak? Misalnya tingkat
availability dari layanan pendukung aplikasi Modul KN?
AP : Itu juga belum ada standarnya. Biasanya kalau rendah itu misalnya
gangguan di pagi hari maksimal siang sebelum istirahat sudah selesai,
kalau sedang itu selesai satu hari kerja, tinggi biasanya lebih dari 1 hari
jam.
SP : Untuk saat ini standar apa saja yang sudah ditetapkan?
AP : Standar pemasangan jaringan, penamaan komputer, pembangunan data
center di kantor operasional. Istilahnya masih banyak di bidang hardware.
SP : Terkait dengan pengurangan risiko dimana harus terdapat kontrol
tambahan, kira-kira seperti apa kriteria kontrol tersebut?
AP : Harus terdapat dukungan dana dan unit yang bertanggung jawab, efektif
dan efisien, tidak mengganggu proses bisnis dan terdapat manfaat.

131
SP : Oh iya pak. terkait dengan implementasi kontrol tambahan, apakah di kantor

pusat dan kantor operasional terdapat dana untuk membiayai hal tersebut?
AP : Pasti ada. Kalau tidak salah saya dapat informasi di pusat itu di PKNSI
anggaran untuk perawatan TI sekitar Rp 15 milyar untuk tahun ini. Untuk
sosialisasi kurang lebih Rp 500 juta. Untuk di kantor operasional kira-kira
Rp 100 juta untuk perawatan TI.
---------------------------------------------------------------------------------------------------
SP : Begini Pak, terkait dengan laporan manajemen risiko semester I DJKN
tahun 2014 apakah ada sasaran strategis yang menyinggung tentang
keamanan informasi?
AP : Sasaran strategis itu mempunyai risiko yang bersifat strategis maupun
operasional. Kalau risiko strategis biasanya berhubungan dengan
stakeholder di Kementerian/Lembaga. Sedangkan risiko operasional
biasanya berhubungan dengan proses bisnis yang ada di DJKN.
SP : Kalau saya lihat ada di sasaran strategis yaitu pengelolaan dan
pengembangan TIK yang optimal pak.
AP : Nah itu bisa terjadi keterkaitan.
SP : Tapi di kriteria evaluasi risiko yang digunakan itu bersifat kuantitatif pak
yaitu jumlah pembangunan sistem informasi yang tidak terlaksana. Saya
rasa kriterianya kurang pas pak. Memangnya kalau sudah membangun
sistem informasi secara otomatis mendukung proses bisnis pak?
AP : Memang kurang pas sih. Harusnya ada kriteria secara kualitatif mas.
Bukannya mas sudah membuat kriteria evaluasi risiko tentang Modul KN?
SP : Sudah Pak.
AP : Itu saja dipakai dulu. Nanti semester depan kan kita buat laporan
manajemen risiko lagi dan sebaiknya ditambahkan di kriteria secara
kualitatif.
SP : Terkait dengan risiko residual yang diharapkan seperti apa pak? Saya lihat
di laporan nilai risikonya rendah yang terdiri dari nilai dampak sedang dan
nilai kecenderungan rendah.

132
AP : Hasil keputusan nilai residual yang diharapkan rendah kan hasil dari
Forum Group Discussion (FGD) dari perwakilan unit eselon II di DJKN
mas. Saya kira pakai patokan itu saja.
SP : Baik pak. Saya rasa sudah cukup. Terima Kasih pak.

133
B. REKAP HELPDESK TIK DJKN

 Rekap Helpdesk tahun 2010

134

135

136

137
C. MATRIKS EVALUASI RISIKO

Tabel C.1 Matriks evaluasi risiko untuk A1 dan T1
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

138
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

139
Tabel C.9 Matriks evaluasi risiko A5 dan T3

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

140
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

141
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

142

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

143
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

144

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

145
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

146
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10

147
Tabel C.39 Nilai risiko dari tiap skenario
No Skenario Dampak Kecenderungan Nilai Risiko
1 A1 dan T1 Tinggi(100) Sedang(0.5) Sedang(50)

6 A3 dan T6 Sedang(50) Sedang(0.5) Sedang(25)
7 A4 dan T7 Sedang(50) Rendah(0.1) Rendah(5)
16 A9 dan T16 Rendah(10) Sedang(0.5) Rendah(5)
21 A13 dan T21 Sedang(50) Tinggi(1.0) Sedang(50)
22 A14 dan T22 Sedang(50) Tinggi(1.0) Sedang(50)
23 A15 dan T23 Tinggi(100) Rendah(0.1) Rendah(10)
37 A25dan T37 Sedang(50) Rendah(0.1) Rendah(5)
38 A26 dan T38 Rendah (10) Rendah(0.1) Rendah(1)

148

File PDF

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

File PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

UNIVERSITAS INDONESIA

PERENCANAAN MANAJEMEN RISIKO KEAMANAN

FAKULTAS ILMU KOMPUTER

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

PERENCANAAN MANAJEMEN RISIKO KEAMANAN

FAKULTAS ILMU KOMPUTER

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Nama : Sigit Prasetyo

Kementerian Keuangan khususnya Direktorat Jenderal Kekayaan Negara

Kata Kunci : Manajemen Risiko, Keamanan Informasi, ISO 27005, ISO

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Name : Sigit Prasetyo

Ministry of Finance in particular the Directorate General of State Asset

Key Words : Risk Management, Information Security, ISO 27005, ISO

vii Universitas Indonesia

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

HALAMAN JUDUL .............................................................................................. i

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Gambar 1.1 Pie Chart Permasalahan layanan TIK DJKN ...................................... 8

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Tabel 1.1 Rangkuman Permasalahan Layanan TIK DJKN .................................... 7

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

xii Universitas Indonesia

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

1.1 Latar Belakang

Direktorat Jenderal Kekayaan Negara merupakan unit eselon 1 di lingkungan

Profesional adalah bahwa tugas-tugas pengelolaan kekayaan negara, penilaian,

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Untuk merealisasikan visi yang telah ditetapkan, maka Direktorat Jenderal

Berdasarkan Peraturan Menteri Keuangan Nomor 191/PMK.09/2008 tentang

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

menghalangi, menurunkan atau menunda tercapainya sasaran kerja unit eselon I.

Sesuai dengan Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang

Kebijakan dan standar SMKI di lingkungan Kementerian Keuangan tersebut

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Untuk menindaklanjuti keputusan tersebut DJKN telah membuat Surat Edaran

Menurut Keputusan Menteri Keuangan Nomor 40/KMK.01/2010 tentang Rencana

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

negara yang kredibel dengan cara mendapatkan, mengumpulkan dan mengolah

Berdasarkan laporan hasil audit Inspektorat Jenderal Nomor 83 tahun 2011

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Untuk menindaklanjuti hasil audit tersebut maka Direktorat PKNSI membuat

Berdasarkan laporan jumlah permasalahan terkait dengan layanan TI yang didapat

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Tahun Tahun Tahun Tahun

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

 Hardware sebanyak 82 insiden yang menyebabkan permasalahan terkait

Berdasarkan data tersebut maka dapat digambarkan porsi permasalahan keamanan

Gambar 1.1 Pie Chart Permasalahan layanan TIK DJKN

Pada Gambar 1.1 dapat diketahui bahwa permasalahan terkait keamanan

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

Berdasarkan hasil wawancara dengan Kasubdit Pengolahan Data dan Layanan

Sesuai dengan paparan diatas, maka dapat ditarik permasalahan dengan

Gambar 1.2 Gap Analysis TIK DJKN

Pada Gambar 1.2 menjelaskan bahwa ekspektasi dari Kementerian Keuangan

Perencanaan manajemen..., Sigit Prasetyo, Fasilkom UI, 2014

1.2 Perumusan Masalah

Berdasarkan permasalahan dan kondisi yang sudah dijelaskan diatas dapat