File PDF
File PDF
KARYA AKHIR
SIGIT PRASETYO
1206194902
KARYA AKHIR
Diajukan sebagai salah satu syarat untuk memperoleh
gelar Magister Teknologi Informasi
SIGIT PRASETYO
1206194902
HALAMAN JUDUL
ii
iii
Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa, karena atas berkat
dan rahmat-Nya, penulis dapat menyelesaikan Karya Akhir ini. Penulisan Karya
Akhir dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar
Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi,
Fakultas Ilmu Komputer – Universitas Indonesia. Penulis menyadari bahwa, tanpa
bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada
penyusunan karya akhir ini, sangatlah sulit bagi penulis untuk menyelesaikannya.
Oleh karena itu, penulis mengucapkan terimakasih kepada:
1. Bapak Yudho Giri Sucahyo M.Kom., Ph.D dan Muh. Kasfu Hammi S.Kom.,
MTI selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan
pikiran untuk mengarahkan dalam penyusunan Karya Akhir ini.
2. Dosen Penguji yang telah menguji dan memberikan saran dan perbaikan pada
Karya Akhir ini.
3. Direktorat Jenderal Kekayaan Negara (DJKN) yang telah memberikan
bantuan beasiswa.
4. Istri tercinta, Andry Muji Asbiyanti, yang telah memberikan pengertian,
perhatian, dukungan, dan semangat yang telah diberikan pada penulis.
5. Kedua orang tua tercinta, yang telah memberikan dukungan, doa, dan
perhatian yang telah diberikan kepada penulis.
6. Staf di Magister Teknologi Informasi, yang telah membantu kelancaran
perkuliahan dan Karya Akhir.
7. Teman – teman di MTI 2012SA, yang telah membantu melewati masa kuliah.
Akhir kata, semoga Allah SWT membalas semua kebaikan dan bantuan yang
telah diberikan dengan pahala yang berlipat ganda. Semoga Karya Akhir ini
memberikan manfaat bagi pengembangan ilmu pada umumnya dan bagi penulis
pada khususnya.
Jakarta, 16 Juni 2014
Penulis
iv
vi Universitas Indonesia
ix Universitas Indonesia
x Universitas Indonesia
BAB I
PENDAHULUAN
Pada bab ini menjelaskan mengenai latar belakang penulisan penelitian terhadap
kondisi terkini organisasi di Direktorat Jenderal Kekayaan Negara (DJKN),
melakukan analisis permasalahan yang dihadapi sehingga menghasilkan
perumusan masalah, menentukan ruang lingkup, tujuan, manfaat dan sistematika
penulisan.
Universitas Indonesia
Pada tahun 2008 telah disusun Blue Print (Cetak Biru) TIK DJKN yang bertujuan
sebagai rujukan dalam pengembangan dan implementasi TIK di DJKN selama 5
tahun yaitu tahun 2008 – 2012. Blue Print TIK DJKN tersebut mempunyai tujuan
yaitu pemanfaatan teknologi dan informasi (TIK) yang handal, terintegrasi dan
berkembang. Dalam analisis Strengths Weaknesses Opportunities and Threats
(SWOT) khususnya mengenai kelemahan TIK DJKN terdapat beberapa
permasalahan yaitu belum terdapatnya database yang lengkap, komprehensif dan
terintegrasi, kemudian belum terdapatnya sistem informasi yang memadai untuk
mendukung pelaksanaan proses-proses bisnis utama DJKN serta belum adanya
infrastruktur perangkat keras dan lunak pendukung yang memadai di DJKN.
Universitas Indonesia
Pengendalian Akses;
Pengendalian Keamanan Informasi dalam Pengadaan, Pengembangan dan
Pemeliharaan Sistem Informasi;
Pengendalian Pengelolaan Gangguan Keamanan Informasi;
Pengendalian Keamanan Informasi dalam Pengelolaan Kelangsungan
Kegiatan;
Pengendalian Kepatuhan.
Pada tahun 2010 telah disusun Keputusan Direktur Jenderal Kekayaan Negara
Nomor KEP-38/KN/2010 tentang Rencana Strategis Direktorat Jenderal
Kekayaan Negara Tahun 2010 – 2014 yang merupakan penjabaran lebih lanjut
dari Keputusan Menteri Keuangan Nomor 40/KMK.01/2010 tentang Rencana
Strategis Kementerian Keuangan tahun 2010-2014. Dalam Renstra tersebut
terdapat strategi organisasi di bidang Teknologi Informasi Keuangan (TIK) yaitu
melakukan pengembangan Sistem Informasi Manajemen (SIM) di lingkungan
Direktorat Jenderal Kekayaan Negara yang terdiri dari rencana aksi yaitu antara
lain dengan melakukan pengembangan aplikasi, pengelolaan database dan
pengembangan infrastruktur TIK. Renstra tersebut juga menjelaskan
permasalahan yaitu masih kurangnya kompetensi pegawai dalam pengoperasian
aplikasi terkait penatausahaan Barang Milik Negara (BMN).
availability dan integrity dari sistem dan data TIK serta tidak adanya
perawatan berkala terhadap infrastruktur TI;
Belum memilik standar baku manajemen perubahan;
Belum memiliki manajemen dan standar tingkat layanan;
Belum memiliki Business Continuity Plan (BCP) dan Disaster Recovery
Plan (DRP) untuk layanan berkelanjutan;
Tidak ada manajemen service desk terhadap permasalahan;
Belum memiliki standar baku konfigurasi aset TIK;
Tidak memilik tata kelola TIK. Blue Print yang ada belum ditetapkan
secara formal oleh pejabat yang berwenang;
Tidak ada dokumentasi hasil testing aplikasi Modul KN;
Pembentukan database server kurang akurat, tidak mendukung
pertukaran data tingkat eselon I;
Belum adanya monitoring dan evaluasi pembangunan TI;
Tidak ada regulasi dalam penggunaan Modul KN untuk rekonsiliasi
BMN dalam bentuk peraturan (Surat Edaran).
b. Pengendalian Aplikasi
Berisi tentang berbagai permasalahan yang ada dalam pengoperasian Modul
KN yaitu adanya menu yang masih kurang, proses operasi yang lama,
Standar Operating Procedure (SOP) yang kurang lengkap dan tidak ada
indikator dalam proses eksekusi aplikasi.
Universitas Indonesia
tahun 2013 terdapat permasalahan yang semakin bertambah setiap tahun terutama
dalam hal pengelolaan TI dan keamanan informasi. Dalam hal pengelolaan TI
yaitu bertambahnya permasalahan terkait infrastruktur TI. Sedangkan dalam hal
keamanan informasi yaitu banyaknya permasalahan database yang hilang atau
rusak, adanya orang yang tidak mempunyai otoritas menggunakan akun (user
account) orang lain sehingga dapat melihat maupun merubah data, banyaknya
software yang rusak dikarenakan faktor manusia maupun faktor lainnya misalnya
karena terkena virus sehingga data tidak dapat diakses. Hal ini menyebabkan
risiko keamanan informasi terjadi berulang dan tidak dikontrol dengan baik.
Adapun rangkuman permasalahan seperti dijelaskan pada Tabel 1.1:
Tabel 1.1 Rangkuman Permasalahan Layanan TIK DJKN
Pada Tabel 1.1 tersebut dapat dijelaskan bahwa terdapat permasalahan layanan
TIK dari tahun 2010 sampai dengan tahun 2013 dengan jumlah insiden sebanyak
715 insiden. Terkait permasalahan keamanan informasi terdapat 560 insiden yang
terdiri dari jenis layanan sebagai berikut:
Jaringan sebanyak 265 insiden yang menyebabkan permasalahan terkait
ketersediaan data (availability);
Aplikasi sebanyak 81 insiden yang menyebabkan permasalahan terkait
kerahasiaan dan ketersediaan data (confidentiality dan availability);
Universitas Indonesia
Universitas Indonesia
confidentiality, integrity dan availibility sehingga tidak kredibel dan tidak dapat
digunakan untuk proses pengambilan keputusan. Dalam hal ini terdapat
permasalahan yaitu risiko keamanan informasi database kekayaan negara yang
terdapat dalam Modul Kekayaan Negara tidak dikontrol dengan baik.
Berdasarkan analisis fishbone pada Gambar 1.3 diatas, secara garis besar terdapat
empat permasalahan mendasar yang menyebabkan risiko terkait keamanan
informasi tidak dikontrol dengan baik yaitu:
Sumber Daya Manusia (SDM): kompetensi dan jumlah SDM TI di DJKN
masih kurang menyebabkan rendahnya awareness keamanan informasi dan
penanganan risiko keamanan informasi tidak terselesaikan dengan baik;
Infrastruktur: tidak adanya perawatan berkala terhadap infrastruktur TI. Hal
ini dapat menyebabkan kerusakan perangkat dan informasi yang terkandung
Universitas Indonesia
Universitas Indonesia
Sistematika penulisan Karya Akhir ini dibagi menjadi 6 (enam) bab sebagai
berikut:
Bab 1. Pendahuluan, berisi latar belakang, perumusan masalah, pertanyaan
penelitian, tujuan dan manfaat penelitian dan batasan penelitian;
Bab 2. Landasan Teori, berisi berbagai teori, metode, teknik, proses, dan
prosedur yang terkait dengan topik penelitian;
Bab 3. Metodologi Penelitian, berisi langkah-langkah penelitian, metode yang
digunakan dan output yang diharapkan;
Bab 4. Profil Organisasi, berisi sejarah singkat, visi, misi, rencana strategis,
struktur organisasi dan tugas masing-masing unit di DJKN;
Bab 5. Analisis dan Pembahasan berisi penetapan konteks, penilaian risiko,
penanganan risiko dan penerimaan risiko;
Bab 6. Kesimpulan dan Saran berisi tentang intisari penelitian dan masukan
terhadap perencanaan manajemen risiko keamanan informasi di DJKN.
Universitas Indonesia
BAB II
LANDASAN TEORI
Pada bab ini berisi penjelasan mengenai landasan teori yang terkait dengan topik
penelitian yang berisi antara lain berbagai teori, metode dan analisis penelitian
sebelumnya yang berhubungan dengan perancangan manajemen keamanan
informasi sehingga menghasilkan kerangka pemikiran (theoritical framework).
Menurut Andress (2011) keamanan informasi mempunyai tiga konsep dasar yaitu
confidentiality, integrity dan availability (CIA). Confidentiality adalah
kemampuan untuk melindungi data dari seseorang yang tidak memiliki otoritas
untuk melihat data tersebut. Integrity adalah kemampuan melindungi data agar
tidak mengalami perubahan dari sesuatu yang tidak terotorisasi maupun yang
tidak diinginkan. Availability adalah kemampuan untuk mengakses data pada saat
data tersebut diperlukan.
Universitas Indonesia
Pada Gambar 2.1 dapat dijelaskan bahwa proses SMKI adalah proses yang
dilakukan secara terus menerus dan berkesinambungan yang dapat diterangkan
pada Tabel 2.1:
Universitas Indonesia
2.2 Risiko
Menurut Smith (2011) risiko adalah situasi potensial yang dapat melakukan
ancaman terhadap aset. Jika kita mempunyai deskripsi terhadap situasi maka
risiko mengidentifikasikan sesuatu yang buruk dapat terjadi menimpa aset kita.
Risiko adalah kemungkinan dimana sesuatu yang tidak diinginkan akan terjadi,
organisasi harus meminimalisasi risiko sesuai dengan tingkat risiko yang
diinginkan yaitu jumlah dan bentuk risiko yang akan mereka terima (Michael
Whiteman,2011).
Menurut ISACA (2013), dalam hal perencanaan dan sumber daya, manajemen
risiko mendefinisikan tanggung jawab, wewenang, hubungan antar personil yang
terlibat dan melakukan verifikasi pekerjaan yang terkait dengan manajemen risiko
dimana harus didefinisikan dan didokumentasikan. Organisasi harus
Universitas Indonesia
Dalam sub bab ini akan dibahas mengenai beberapa metode yang umum
digunakan dalam perencanaan manajemen keamanan informasi yaitu antara lain:
Merupakan standar yang dibuat oleh ISO (The International Organization for
Standardization) dan IEC (The International Electrotechnical Commission),
kedua badan tersebut sejak tahun 2005 mengembangkan sejumlah standardisasi
di seluruh dunia yang salah satunya mengembangkan sejumlah standar tentang
Information Security Management Systems (ISMS) atau Sistem Manajemen
Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan.
Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang
terdiri dari:
Universitas Indonesia
Universitas Indonesia
Manajer dan staf dididik tentang risiko dan tindakan yang diambil untuk
menanggulanginya.
Seperti yang digambarkan pada Gambar 2.2 bahwa proses manajemen risiko
keamanan informasi dapat berulang untuk penilaian risiko dan/atau kegiatan
penanganan risiko. Pendekatan iteratif untuk melakukan penilaian risiko dapat
meningkatkan kedalaman dan rincian dari penilaian pada setiap iterasi.
Pendekatan berulang itu memberikan keseimbangan yang baik antara
meminimalkan waktu dan usaha yang dihabiskan dalam mengidentifikasi kontrol.
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Pada Tabel 2.2 diatas menerangkan bahwa proses menetapkan konteks, penilaian
risiko, mengembangkan rencanan penanganan risiko dan penerimaan risiko di
Manajemen Risiko Keamanan Informasi selaras dengan proses perencanaan di
Sistem Manajemen Keamanan Informasi dikarenakan dalam keseluruhan proses
tersebut terdapat kebijakan dan prosedur yang digunakan untuk meningkatkan
keamanan informasi.
Universitas Indonesia
Risk
Assesment
Risk Risk
Evaluation Mitigation
Pada Gambar 2.4 dapat dijelaskan bahwa terdapat tiga proses dalam melakukan
manajemen risiko keamanan informasi yaitu:
a. Risk Assesment
Adalah proses pertama dalam metodologi manajemen risiko. Organisasi
menggunakan penilaian risiko untuk menentukan sejauh mana potensi
ancaman dan risiko yang terkait dengan sistem TI. Hasil dari proses ini
membantu untuk mengidentifikasi pengendalian yang tepat untuk mengurangi
atau menghilangkan risiko selama proses mitigasi risiko. Dalam proses ini
terdapat sembilan langkah penilaian risiko antara lain:
Mengetahui karakteristik dari sistem TI : Hardware, software, sistem
antarmuka (koneksi internal atau eksternal), data dan informasi, orang
yang mendukung atau menggunakan sistem, tujuan dari sistem, data
kritis dan sensitifitas data;
Melakukan identifikasi terhadap ancaman yang dapat menyerang
kelemahan sistem TI. Proses ini terdiri dari identifikasi sumber ancaman
dan identifikasi motifikasi serta aksi ancaman;
Identifikasi kerawanan (vulnerability). Tujuan dari proses ini adalah
mengembangkan daftar kerawanan dari sistem yang dapat dieksploitasi
sumber ancaman;
Universitas Indonesia
2.5.3 OCTAVE
Universitas Indonesia
Universitas Indonesia
Adapun kerangka pemikiran dari penelitian ini dapat dilihat pada Gambar 2.6:
Universitas Indonesia
Kondisi Organisasi
saat ini
Penerimaan Risiko
Rancangan Pengendalian
Keamanan Informasi
Rekomendasi Kontrol
Pada Gambar 2.6 dapat dijelaskan bahwa proses perencanaan manajemen risiko
keamanan informasi di Direktorat Jenderal Kekayaan Negara Kementerian
Keuangan dipengaruhi oleh:
a. Kondisi organisasi saat ini yang diperoleh dari pengumpulan data baik data
primer maupun data sekunder;
b. Adanya PMK No. 191/PMK.09/2008 tentang Penerapan Manajemen Risiko
di Kementerian Keuangan yang mengamanatkan agar tiap eselon I
menerapkan dan mengembangkan Manajemen Risiko di lingkungan masing-
masing. KMK No. 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem
Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan
yang mengamanatkan agar tiap eselon I melakukan pengendalian terhadap
keamanan informasi dan menerapkan serta mengembangkan manajemen
risiko keamanan informasi;
c. Metode manajemen risiko keamanan informasi ISO 27005 dikarenakan
memberikan panduan perencanaan manajemen risiko yang secara khusus dan
lebih komprehensif dalam melakukan assesment terkait keamanan informasi
serta memiliki alur kerangka kerja (framework) yang sama dengan
manajemen risiko yang tertuang dalam PMK No. 191/PMK.09/2008;
Universitas Indonesia
Universitas Indonesia
BAB III
METODOLOGI PENELITIAN
Pada bab ini membahas mengenai tahapan penelitian yang harus dilakukan untuk
melakukan perencanaan manajemen risiko keamanan informasi.
Merupakan urutan proses penelitian yang harus dilakukan dari awal sampai akhir
yang dapat dilihat pada Gambar 3.1:
Universitas Indonesia
Pada Gambar 3.1 diatas dapat dijelaskan mengenai alur penelitian yang terdiri dari
beberapa tahap antara lain:
Pada penelitian ini menggunakan data primer dan sekunder yang mempunyai
pengertian sebagai berikut:
a. Data primer: merupakan data yang diperoleh dari sumber asli dengan
menggunakan teknik tertentu, dengan cara melakukan wawancara dengan
pihak yang terkait dengan penelitian, baik pimpinan unit TI di DJKN maupun
pihak yang melakukan implementasi dan pengembangan TIK di DJKN.
Observasi ke lapangan untuk melakukan pengamatan kondisi bisnis dan SI/TI
yang terjadi dalam organisasi;
Universitas Indonesia
b. Data sekunder: merupakan data yang secara tidak langsung diperoleh melalui
sumber asli. Data ini diperoleh dari dokumen yang berkaitan dengan
penelitian.
Setelah mendapatkan data yang dibutuhkan maka dilakukan analisis data yaitu
antara lain:
Universitas Indonesia
BAB IV
PROFIL ORGANISASI
Pada bab ini menjelaskan tentang sejarah singkat berdirinya DJKN sebagai unit
eselon I Kementerian Keuangan, menjabarkan tentang visi, misi dan tugas pokok
yang dimiliki DJKN, sasaran strategis yang dilakukan dalam mencapai tujuan
yang diharapkan serta struktur organisasi yang ada dalam mendukung kinerja
organisasi.
Direktorat Jenderal Kekayaan Negara (DJKN) merupakan salah satu unit Eselon I
pada Kementerian Keuangan. Direktorat Jenderal Kekayaan Negara dibentuk
ketika terjadi penataan organisasi di lingkungan Departemen Keuangan pada
tahun 2006 dimana fungsi Pengurusan Piutang Negara dan Pelayanan Lelang di
Direktorat Jenderal Piutang dan Lelang Negara (DJPLN) digabung dengan fungsi
Pengelolaan Kekayaan Negara Direktorat Pengelolaan Barang Milik/Kekayaan
Negara (PBM/KN) di Direktorat Jenderal Perbendaharaan (DJPB), sehingga
Direktorat Jenderal Piutang dan Lelang Negara (DJPLN) berubah menjadi
Direktorat Jenderal Kekayaan Negara (DJKN) berdasarkan Peraturan Presiden
Nomor 66 Tahun 2006 tentang Perubahan Keempat atas Peraturan Presiden
Nomor 10 Tahun 2005 tentang Unit Organisasi dan Tugas Eselon I Kementerian
Republik Indonesia. Hal ini merupakan salah satu hasil Reformasi Birokasi yaitu
dalam hal penyatuan fungsi-fungsi yang sejenis ke dalam satu unit Eselon I.
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Struktur organisasi di DJKN terdiri dari Kantor Pusat, Kantor Wilayah dan Kantor
Pelayanan Kekayaan Negara dan Lelang (KPKNL) yang dapat dilihat pada
Gambar 4.1:
a. Kantor Pusat
Pada Gambar 4.1 dapat dilihat struktur organisasi yang dimiliki oleh DJKN
yang dipimpin oleh Direktur Jenderal. Unit kerja Kantor Pusat DJKN terdiri
dari 8 unit eselon II. Selain unit Kantor Pusat, DJKN juga mempunyai unit
kerja vertikal yang tersebar di seluruh Indonesia, yang terdiri dari 17 Kantor
Wilayah dan 70 KPKNL.
b. Kantor Wilayah
Pada Gambar 4.2 dapat dilihat struktur organisasi pada kantor wilayah
dipimpin oleh Kepala Kanwil. Unit kerja kantor wilayah terdiri dari 6 unit
eselon III, yaitu: Bagian Umum, Bidang Pengelolaan Kekayaan Negara,
Universitas Indonesia
Bidang Penilaian, Bidang Piutang Negara, Bidang Lelang dan Bidang Hukum
dan Informasi.
c. Kantor Pelayanan Kekayaan Negara dan Lelang (KPKNL)
Pada Gambar 4.3 dapat dilihat struktur organisasi pada KPKNL yang
dipimpin oleh Kepala Kantor. Unit kerja KPKNL terdiri dari 7 unit eselon IV,
yaitu: Sub bagian Umum, Seksi Pengelolaan Kekayaan Negara, Seksi
Pelayanan Penilaian, Seksi Piutang Negara, Seksi Pelayanan Lelang, Seksi
Hukum dan Informasi serta Seksi Kepatuhan Internal.
Universitas Indonesia
Universitas Indonesia
(1) (2) (3) (4) (5) (6) (7) (8) (9) (10)
1 Utilisasi kekayaan negara Risiko Tidak tercapainya target BMN pada K/L belum seluruhnya tidak tercapainya Dokumen Tinggi Tinggi Tinggi
yang optimal Strategik utilisasi kekayaan negara diusulkan permohonan realisasi utilisasi Utilisasi
pengelolaan BMN kekayaan negara
2 Penerimaan pembiayaan Risiko Tidak tercapainya target Adanya perubahan target HPA Tidak optimalnya Peraturan, Tinggi Sedang Tinggi
dari aset recovery Strategik jumlah penerimaan kembali dalam APBN-P pengurusan aset kredit SOP
yang berasal dari dan aset properti
pengeluaran APBN
3 Penyelesaian BMN Risiko Rendahnya persentase tidak terselesaikannya Tingkat kepercayaan Peraturan, Sedang Sedang Sedang
Kemenkeu yang Strategik penyelesaian BMN penyelesaian BMN Kemenkeu menurun SOP
bermasalah Kemenkeu yang bermasalah yang bermasalah
4 Pelaksanaan Pelayanan Risiko Rendahnya persentase Peraturan pengelolaan kekayaan Tingkat kepercayaan Peraturan, Sedang Sedang Sedang
pengelolaan kekayaan operasional ppermohonan pengelolaan negara belum memadai menurun SOP
negara yang efektif dan kekayaan negara tepat
efisien waktu
5 Pengelolaan dan Risiko tidak terealisasinya Peraturan/kebutuhan pengguna Tidak tercapainya Sedang Sedang Sedang
pengembangan TIK yang Operasional pembangunan sistem belum terdefinisi dengan baik, dukungan sistem
optimal informasi yang mendukung perancangan sistem informasi informasi terhadap
proses bisnis belum siap, atau pengadaan proses bisnis
sistem informasi terkendala.
6 Kepuasan Pengguna Risiko Rendahnya indeks kepuasan Banyaknya keluhan (komplain) Tingkat kepercayaan Kuesioner Sedang Sedang Sedang
Layanan yang tinggi Operasional pengguna layanan dari stakeholder internal dan stake holder menurun
eksternal
7 Pelaksanaan anggaran Risiko Tidak tercapainya implementasi kegiatan Tingkat kepercayaan Peraturan, Sedang Sedang Sedang
yang optimal Operasional penyerapan DIPA secara mengalami perubahan stake holder menurun SOP
optimal
8 Penataan organisasi yang Risiko Tidak tercapainya penerapan Penerapan manajemen risiko Tingkat kepercayaan Peraturan, Sedang Rendah Rendah
adaptif Operasional manajemen risiko belum optimal stake holder menurun SOP
Universitas Indonesia
3 Rendahnya persentase Mengurangi koordinasi dengan Setjen Kemenkeu dan pelaksanaan revisi KMK Tahun 2014 Dirjen KN Sedang Rendah Rendah
penyelesaian BMN risiko 31/KM.06/2010 tentang pendelegasian wewenang atau
Kemenkeu yang bermasalah rekonsiliasi data dengan Kanwil/KPKNL
4 Rendahnya persentase Mengurangi melakukan evaluasi dan monitoring penyelesaian permohonan Tahun 2014 Dirjen KN Sedang Rendah Rendah
ppermohonan pengelolaan risiko pengelolaan kekayaan negara serta pelaksanaan revisi KMK
kekayaan negara tepat waktu 31/KM.06/2010 tentang pendelegasian wewenang
5 tidak terealisasinya Menghindari mendefinisikan peraturan/kebutuhan pengguna dengan baik. Tahun 2014 Dirjen KN Sedang Rendah Rendah
pembangunan sistem risiko Dalam hal peraturan/kebutuhan sistem informasi yang
informasi yang mendukung memerlukan pengetahuan teknis yang tidak sederhana,
proses bisnis pembangunan sistem informasi diserahkan kepada unit teknis
terkait untuk menghindari kesalahan interpretasi.
6 Rendahnya indeks kepuasan Menghindari Penyelesaian permohonan pengelolaan kekayaan negara secara Tahun 2014 Dirjen KN Sedang Rendah Rendah
pengguna layanan risiko tepat waktu
7 Tidak tercapainya Menghindari rapat koordinasi internal Direktorat terkait evaluasi penyerapan Tahun 2014 Dirjen KN Sedang Rendah rendah
penyerapan DIPA secara risiko DIPA atau penyusunan disbursement plan
optimal
8 Tidak tercapainya penerapan Menghindari rapat koordinasi internal Direktorat dan permintaan masukan Tahun 2014 Dirjen KN Sedang Rendah Rendah
manajemen risiko risiko atas MR yang telah dibuat
Universitas Indonesia
Pada Tabel 4.2 diatas merupakan laporan profil risiko di DJKN pada awal semeter
tahun 2014. Laporan tersebut disusun berdasarkan sasaran strategis yang harus
dicapai oleh DJKN dimana dibagi menjadi dua jenis risiko yaitu risiko stategis
dan risiko operasional. Selanjutnya dilakukan identifikasi risiko yang mungkin
terjadi terhadap pencapaian sasaran strategis dengan mengetahui deskripsi,
penyebab dan konsekuensi risiko. Melakukan identifikasi terhadap penanganan
yang sudah ada dan melakukan analisis risiko sehingga menghasilkan tingkat
konsekuensi, tingkat kemungkinan dan level risiko.
Pada Tabel 4.3 menjelaskan mengenai rencana dan diskripsi penanganan terhadap
risiko yang timbul, menentukan jadwal implementasi, menentukan penanggung
jawab penanganan risiko dan menentukan risiko residual yang diharapkan. Dalam
hal ini DJKN hanya melaporkan profil risiko dan penanganan risiko dikarenakan
DJKN baru menyusun laporan tersebut pada awal semester tahun 2014 sehingga
belum terdapat laporan monitoring risiko.
Universitas Indonesia
BAB V
Universitas Indonesia
Sebelum melakukan proses analisis risiko maka harus menentukan dahulu kriteria
dasar terkait dengan pengelolaan risiko, ruang lingkup proses perencanaan
manajemen risiko keamanan informasi dan organisasi yang layak dalam
menjalankan manajemen risiko keamanan informasi di DJKN.
Dalam hal ini terdapat kriteria dalam pengelolaan risiko yang terdiri dari kriteria
evaluasi risiko, kriteria dampak dan kriteria penerimaan risiko. Adapun penjelasan
setiap kriteria sebagai berikut:
a. Kriteria Evaluasi Risiko
Berdasarkan ISO 27005 bahwa terdapat beberapa macam kriteria evaluasi
risiko yang dapat ditentukan dari beberapa faktor antara lain:
Nilai strategis dari proses informasi bisnis;
Kebutuhan untuk regulasi dan hukum;
Tingkat aset informasi yang terlibat;
Kepentingan operasional bisnis terkait confidentiality, integrity dan
availability;
Pengaruh terhadap kepentingan stakeholder;
Konsekuensi terhadap reputasi organisasi.
Dalam penelitian ini menggunakan faktor kriteria evaluasi risiko yaitu
kepentingan operasional bisnis terkait confidentiality, integrity dan
availability dan faktor pengaruh terhadap kepentingan stakeholder yang dapat
mempengaruhi proses kinerja DJKN, hal ini sesuai dengan tingkat evaluasi
risiko yang terdapat di PMK No.191/PMK.09/2008.
b. Kriteria Dampak
Dalam penelitian ini menggunakan kriteria dampak dan kriteria
kecenderungan risiko berdasarkan PMK No.191/PMK.09/2008 tentang
Universitas Indonesia
Tinggi Pengaruh terhadap strategi dan Proses bisnis terhenti dalam jangka
aktivitas operasi tinggi waktu lebih dari 12 jam.
Pengaruh terhadap kepentingan Adanya informasi rahasia yang
para stakeholder tinggi tersebar ke pihak yang tidak
berwenang
Adanya data yang rusak/hilang dan
tidak terdapat backup
Berdampak lebih dari 20 % jumlah
kantor operasional (diatas 20 kantor
operasional)
Sedang Pengaruh terhadap strategi dan Proses bisnis terhenti dalam jangka
aktivitas operasi sedang waktu 3 – 12 jam.
Pengaruh terhadap kepentingan Adanya data yang rusak/hilang
para stakeholder sedang namun terdapat backup
Berdampak antara 5% - 20% jumlah
kantor operasional (beberapa /
antara 5-20 kantor operasional)
Rendah Pengaruh terhadap strategi dan Proses bisnis terhenti kurang dari 3
aktivitas operasi rendah jam.
Pengaruh terhadap kepentingan Berdampak kurang dari 5 % jumlah
para stakeholder rendah kantor operasional
(sebagian kecil / dibawah 5 kantor
operasional)
Universitas Indonesia
Pada Tabel 5.1 dijelaskan mengenai tingkat dampak yang dapat berpengaruh
terdapat strategi dan aktivitas operasi maupun terhadap kepentingan para
stakeholder dan Tabel 5.2 menerangkan tingkat kecenderungan terjadinya
risiko berdasarkan PMK No.191/PMK.09/2008. Namun keterangan tersebut
masih bersifat umum sehingga dalam penelitian ini perlu disusun kriteria
yang lebih spesifik dan terukur sehingga memudahkan dalam proses penilaian
risiko. Tingkat dampak penelitian bersumber pada hasil wawancara dengan
berbagai narasumber yang terkait sedangkan tingkat kecenderungan
penelitian bersumber pada Rekap helpdesk TIK dan NIST SP 800-30.
c. Kriteria Penerimaan Risiko
Dalam penelitian ini menggunakan kriteria penerimaan risiko dan kriteria
risiko yang harus ditransfer berdasarkan PMK No.191/PMK.09/2008 tentang
Penerapan Manajemen Risiko di Lingkungan Kementerian Keuangan dapat
dilihat pada Tabel 5.3 dan Tabel 5.4:
Tabel 5.3 Kriteria penerimaan risiko
Universitas Indonesia
Adapun penentuan selera risiko pada penelitian ini bersumber pada laporan
manajemen risiko DJKN semester I tahun 2014 yang dapat dilihat pada Tabel 5.5:
Tabel 5.5 Matriks selera risiko
Kecenderungan
Tinggi (1.0) Mitigate Mitigate Mitigate
Sedang (0.5) Accept Mitigate Mitigate
Rendah (0.1) Accept Accept Mitigate
Berdasarkan ISO 27005 bahwa organisasi harus menentukan ruang lingkup dan
batasan manajemen risiko keamanan informasi. Ruang lingkup dari proses
manajemen risiko keamanan informasi perlu ditetapkan untuk memastikan bahwa
semua aset yang relevan diperhitungkan dalam penilaian risiko.
Berdasarkan PMK No.120/PMK.06/2007 tentang Penatausahaan BMN dan PMK
No.96/PMK.06/2007 tentang Tata Cara Pelaksanaan Penggunaan, Pemanfaatan,
Penghapusan dan Pemindahtanganan BMN dapat diketahui bahwa proses bisnis
utama di DJKN adalah melakukan pengelolaan barang milik negara yang secara
Universitas Indonesia
umum dibagi menjadi 3 tahapan yaitu tahap awalan, tahap utama, dan tahap
ikutan dapat dilihat pada Gambar 5.2:
Pada Gambar 5.2 dapat dijelaskan bahwa siklus awalan adalah proses pertama
dalam pengelolaan barang milik negara meliputi perecanaan, penganggaran dan
pengadaan dimana sampai saat ini masih dikelola oleh Kementerian/Lembaga.
Siklus reguler dalam tahap utama memiliki pengertian bahwa setiap barang milik
negara yang telah diadakan pasti akan melalui siklus ini artinya setiap barang pasti
akan digunakan, diawasi, ditatausahakan, dan sampai dengan tahap dihapuskan.
Sebaliknya siklus insidentil ini memiliki makna bahwa hanya barang – barang
tertentu atau dalam hal – hal tertentu saja barang milik negara tersebut akan
dimanfaatkan, dipindahtangankan, dinilai, atau bahkan dimusnahkan. Sedangkan
yang dimaksud dengan siklus ikutan ini adalah suatu tahapan dimana diadakan
pelaksanaan lelang atau timbulnya piutang merupakan akibat dari pelaksanaan
sebagian siklus utama tersebut. Siklus utama dan ikutan saat ini sudah dikelola
oleh Direktorat Jenderal Kekayaan Negara (DJKN).
Apabila ditarik dari segi aplikasi, maka pada proses utama menggunakan aplikasi
Modul KN sedangkan proses ikutan menggunakan aplikasi Simple. Berdasarkan
Blue Print (Cetak Biru) TIK DJKN, bahwa terdapat beberapa sistem aplikasi yang
ada di DJKN dalam menunjang kinerja organisasi yaitu dapat dilihat pada Gambar
5.3:
Universitas Indonesia
Pada Gambar 5.3 tersebut dapat diketahui bahwa terdapat beberapa aplikasi yang
dipetakan sesuai dengan ApplicationsPortofolio (Ward & Peppard, 2002) yang
dapat dijelaskan pada Gambar 5.4:
Sesuai dengan keterangan pada Gambar 5.4 terdapat aplikasi yang bersifat key-
operasional yaitu aplikasi yang sangat vital dimana apabila aplikasi tersebut
mengalami gangguan maka proses bisnis tidak dapat berjalan dan memberikan
kerugian yang besar bagi DJKN. Kedua aplikasi tersebut adalah Modul Kekayaan
Universitas Indonesia
Negara (Modul KN) dan Sistem Informasi Piutang dan Lelang (SIMPLE). Oleh
karena itu penelitian ini difokuskan pada aplikasi Modul KN dikarenakan
memiliki proses bisnis dan informasi utama dalam menunjang kinerja di
lingkungan DJKN.
Berdasarkan laporan manajemen risiko semester I tahun 2014 pada sub bab 4.6
dapat diketahui bahwa laporan tersebut menjelaskan tentang risiko bisnis yang
dapat terjadi berdasarkan sasaran strategis. Dalam hal ini tidak terdapat laporan
tentang risiko TI dan risiko keamanan informasi yang dapat menyebabkan risiko
bisnis dikarenakan belum adanya framework pengelolaan risiko yang
komprehensif.
Untuk itu dalam penelitian ini dilakukan analisis terhadap sasaran strategis yang
berhubungan antara risiko bisnis, risiko TI dan risiko keamanan informasi dimana
terdapat pada sasaran strategis pengelolaan dan pengembangan TIK yang optimal.
Adapun risiko yang dihadapi yaitu tidak terealisasinya pembangunan sistem
informasi yang mendukung proses bisnis dimana mempunyai nilai risiko sedang,
sedangkan nilai risiko residual yang diharapkan adalah bernilai rendah. Oleh
karena itu perlu dilakukan analisis manajemen risiko terhadap aplikasi Modul KN
sebagai sistem informasi utama khususnya dalam hal keamanan informasi
sehingga dapat mendukung proses bisnis di DJKN dengan baik.
Universitas Indonesia
Pada Gambar 5.5 dapat dijelaskan bahwa proses bisnis aplikasi Modul KN
dimulai setelah mendapatkan data SIMAK-BMN dari Kementerian/Lembaga dan
data Sistem Akuntansi Pengguna Anggaran (SAKPA) dari Ditjen Perbendaharaan
(DJPB). KPKNL/Kanwil melakukan rekonsiliasi pengelolaan BMN menggunakan
aplikasi Modul KN, apabila telah sesuai maka akan dilakukan pembuatan laporan
tapi apabila tidak sesuai makadikembalikan ke Kementerian/Lembaga untuk
dilakukan perbaikan. KPKNL/Kanwil mengirimkan laporan ke kantor pusat untuk
dilakukan rekapitulasi, apabila tidak sesuai maka akan dikembalikan ke
KPKNL/Kanwil untuk dilakukan perbaikan.
Access Switch
Core
Switch Access
Switch
Router
Firewall
PC
KANWIL
Database Server
Access ISP
Switch Access
Switch
Router Distributor
Switch
PC
KPKNL Database Server KANTOR PUSAT
PC
Oleh karena itu dapat ditunjuk Direktur Pengelolaan Kekayaan Negara dan Sistem
Informasi (PKNSI) sebagai ketua manajemen risiko khususnya terkait keamanan
informasi dikarenakan telah menjadi CISO DJKN dan mengelola aplikasi Modul
Kekayaan Negara yang menampung informasi utama yang dibutuhkan oleh unit
eselon II lainnya dan kantor operasional sebagai pemilik risiko. Adapun posisi
ketua manajemen risiko keamanan informasi berada dibawah ketua manajeme
risiko yang mengelola semua risiko di DJKN. Struktur organisasi manajemen
risiko keamanan informasi dapat dilihat pada Gambar 5.7:
Universitas Indonesia
oleh tanda panah putus-putus keatas. Adapun peran dan tanggung jawab struktur
manajemen risiko keamanan informasi sebagai berikut:
Ketua Manajemen Risiko berperan sebagai pimpinan tertinggi dalam
pengelolaan risiko di DJKN. Bertanggung jawab untuk menyusun arah
kebijakan, strategi penerapan, metodologi manajemen risiko dan
mengembangkan kerangka kerja manajemen risiko secara terpadu dan
menyeluruh.
Ketua Manajemen Risiko Keamanan Informasi berperan sebagai pimpinan
tertinggi dalam pengelolaan risiko keamanan informasi di DJKN.
Bertanggung jawab untuk memelihara, mengendalikan, mengukur
efektivitas dan konsistensi penerapan kebijakan, standar dan risiko
keamanan informasi.
Pada sub bab ini dilakukan dua tahap yaitu tahap identifikasi risiko dan estimasi
risiko. Identifikasi risiko dilakukan dengan mengidentifikasi aset, ancaman,
kontrol dan kerawanan sedangkan estimasi risiko adalah menentukan dampak dan
kecenderungan risiko yang diukur secara kualitatif maupun kuantitatif.
Dalam hal ini dilakukan identifikasi terhadap aset utama dan aset pendukung
dalam aplikasi Modul KN kemudian langkah selanjutnya melakukan identifikasi
terhadap ancaman yang terjadi pada setiap aset, mengidentifikasi pengendalian
(control) yang sudah digunakan dalam melindungi aset serta mengidentifikasi
kerawanan yang diakibatkan oleh kontrol yang tidak berjalan dengan baik atau
belum terdapat kontrol dalam mencegah ancaman tersebut.
Aset utama berupa proses bisnis yang ada dalam aplikasi Modul KN (rekonsiliasi,
rekapitulasi, pembuatan laporan, backup data dan restore data) dan informasi
Universitas Indonesia
Setelah dilakukan identifikasi aset utama dan pendukung terhadap aplikasi Modul
KN selanjutnya dilakukan identifikasi ancaman pada setiap aset dan menentukan
sumber dari ancaman tersebut. Untuk lebih jelasnya dapat dilihat pada Tabel 5.7:
Universitas Indonesia
Universitas Indonesia
Untuk menekan ancaman yang dapat merugikan kinerja DJKN khususnya terkait
dengan aplikasi Modul KN maka telah dilakukan beberapa kontrol yaitu dapat
dilihat pada Tabel 5.8:
Universitas Indonesia
Universitas Indonesia
25 Proses backup data Adanya prosedur umum dalam proses backup data
26 Proses restore data Adanya prosedur umum dalam proses restore data
Setelah melakukan identifikasi ancaman dan kontrol yang ada pada setiap aset,
maka dilakukan identifikasi kerentanan (vulnerability) yang terjadi pada aset
tersebut. Kerentanan dapat terjadi dikarenakan belum adanya kontrol atau kontrol
yang sudah ada belum dapat mengelola atau mengurangi ancaman yang terjadi.
Tabel 5.9 menjelaskan mengenai identifikasi kerawanan pada tiap aset.
Universitas Indonesia
3 Database Server tidak bisa Diletakkan pada ruang Tidak ada manajemen
server diakses data center kapasitas
Terdapat access control
yaitu finger print saat
masuk data center
Adanya inventarisasi
Penyalahgunaan hak perangkat Sharing password
Terdapat UPS, baterai
dan genset
Adanya firewall dan
antivirus
Adanya prosedur backup
dan restore database
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
23 Proses Adanya proses data Adanya prosedur dalam Adanya proses yang tidak
Rekapitulasi yang ilegal proses rekapitulasi sesuai prosedur
24 Proses Adanya proses data Adanya prosedur dalam Adanya proses yang tidak
Pembuatan yang ilegal proses pembuatan sesuai prosedur
Laporan laporan
25 Proses Database hilang/rusak Adanya prosedur umum Adanya proses yang tidak
backup dalam proses backup sesuai prosedur
data data
kejadian sebelumnya yang bersumber dari rekap helpdesk TIK DJKN dapat
dijabarkan pada Tabel 5.10:
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset
Universitas Indonesia
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan)
Universitas Indonesia
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan)
Universitas Indonesia
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan)
Universitas Indonesia
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan)
Universitas Indonesia
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan)
Universitas Indonesia
Tabel 5.10 Identifikasi tingkat dampak dan kecenderungan tiap aset (lanjutan)
26 Proses restore Kesalahan data Layanan terhenti di Rendah Permasalahan kurang dari
data (A26) (T14) sebagian kecil 5 kali dalam setahun dan
kantor operasional kontrol sudah dapat
mengurangi kerawanan
yang ada
Pada tahap ini dilakukan evaluasi risiko berdasarkan dampak yang dapat terjadi
oleh tiap ancaman pada masing-masing aset terhadap kecenderungan atau
peluang terjadinya dampak tersebut. Berdasarkan ISO 27005 terdapat lima
tingkatan dampak dan kecenderungan, dikarenakan tingkatan dampak dan
kecenderungan yang dianalisis memiliki tiga tingkatan oleh karena itu proses
evaluasi risiko menggunakan framework dari NIST 800-30. Adapun evaluasi
risiko berdasarkan matriks pada Tabel 5.11:
Tabel 5.11 Matriks penentuan tingkatan evaluasi risiko
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Tabel 5.11 menjelaskan terdapat tiga tingkatan evaluasi risiko yang merupakan
hasil matrik dari tingkat dampak terhadap kecenderungan pada masing-masing
aset dan ancaman yang menyertai. Cara mengetahui tingkatan risiko yaitu:
Universitas Indonesia
Berikut adalah rangkuman keseluruhan nilai evaluasi risiko pada tiap skenario
risiko yang ditunjukkan pada Tabel 5.12:
Berdasarkan hasil penghitungan nilai risiko pada Tabel 5.12 maka dapat
dilakukan prioritas penanganan risiko dari nilai risiko tertinggi sampai dengan
nilai risiko terendah pada Tabel 5.13:
Universitas Indonesia
1 A1 dan T1 Sedang(50)
2 A1 dan T2 Sedang(50)
3 A1 dan T3 Sedang(50)
4 A2 dan T4 Sedang(50)
5 A3 dan T3 Sedang(50)
6 A13 dan T3 Sedang(50)
7 A14 dan T8 Sedang(50)
8 A3 dan T5 Sedang(25)
9 A7 dan T3 Sedang(25)
10 A7 dan T6 Sedang(25)
11 A8 dan T3 Sedang(25)
12 A10 dan T1 Sedang(25)
13 A10 dan T8 Sedang(25)
14 A11 dan T1 Sedang(25)
15 A12 dan T3 Sedang(25)
16 A15 dan T1 Rendah(10)
17 A15 dan T9 Rendah(10)
18 A16 dan T1 Rendah(10)
19 A16 dan T9 Rendah(10)
20 A18 dan T10 Rendah(10)
21 A18 dan T11 Rendah(10)
22 A20 dan T11 Rendah(10)
23 A22 dan T13 Rendah(10)
24 A4 dan T3 Rendah(5)
25 A4 dan T5 Rendah(5)
26 A5 dan T3 Rendah(5)
27 A5 dan T6 Rendah(5)
28 A6 dan T3 Rendah(5)
29 A6 dan T6 Rendah(5)
30 A9 dan T7 Rendah(5)
31 A17 dan T1 Rendah(5)
32 A19 dan T12 Rendah(5)
33 A19 dan T13 Rendah(5)
34 A21 dan T12 Rendah(5)
35 A23 dan T13 Rendah(5)
36 A24 dan T13 Rendah(5)
37 A25 dan T8 Rendah(5)
38 A26 dan T14 Rendah (1)
Universitas Indonesia
Menurut ISO 27005 terdapat empat macam penanganan risiko yaitu kontrol untuk
mengurangi (reduction), mempertahankan (retention), menghindari (avoidance)
atau mentransfer (transfer). Kontrol harus dipilih dan kemudian mempersiapkan
rencana penanganan risiko tersebut. Pemilihan kontrol harus disesuaikan dengan
risiko residual yang diharapkan. Apabila sudah sesuai dengan risiko residual yang
diharapkan maka sebaiknya tidak perlu dilakukan kontrol tambahan, apabila nilai
risiko lebih tinggi dari risiko residual yang diharapkan maka harus dilakukan
kontrol tambahan.
Universitas Indonesia
Selera risiko maksimal memiliki tingkat risiko residual rendah yang terdiri
dari tingkat konsekuensi sedang dan tingkat kecenderungan rendah;
Terdapat perlindungan hukum yang memadai mencakup regulasi dan atau
perjanjian/kontrak;
Unit pengambil risiko dan pemilik risiko terkait dapat memastikan dengan
tingkat keyakinan diatas 85 % bahwa tidak akan terjadi kegagalan pada
orang, proses dan sistem yang ada.
Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak
eksternal yang mampu dan bertanggung jawab terhadap pengelolaan risiko.
Adapun kriteria risiko yang harus ditransfer dalam penelitian ini antara lain:
Risiko residual dengan tingkat konsekuensi pada level yang tidak dapat
diterima sesuai dengan selera risiko;
DJKN tidak memiliki sumber daya yang memadai untuk melakukan
pengurangan risiko tersebut.
Universitas Indonesia
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
1 Aplikasi Terjadi Proses testing Vendor Aplikasi tidak Sedang Prosedur penggunaan Prosedur Nilai risiko
Modul permasalahan tidak lengkap Programmer bisa (50) dan pengoperasian pengetesan aplikasi melebihi nilai
KN saat digunakan aplikasi Evaluasi risiko residual
(A1) mengoperasikan Seluruh kantor Role Authorization pembuatan aplikasi yang diharapkan
aplikasi operasional Harus dilakukan
(T1) tidak dapat kontrol tambahan
menggunakan
aplikasi
2 Aplikasi Proses Dokumentasi Vendor Terdapat Sedang Prosedur penggunaan Prosedur serah Nilai risiko
Modul troubleshooting terhadap Programmer beberapa atau (50) dan pengoperasian terima aplikasi melebihi nilai
KN dan update source code semua menu aplikasi risiko residual
(A1) aplikasi aplikasi tidak aplikasi Role Authorization yang diharapkan
terhambat lengkap bermasalah Harus dilakukan
(T2) Berdampak kontrol tambahan
pada seluruh
kantor
operasional
3 Aplikasi Penyalah- Tidak ada Vendor Informasi Sedang Prosedur penggunaan Pembuatan logout Nilai risiko
Modul gunaan hak logout Programmer rahasia (50) dan pengoperasian otomatis aplikasi melebihi nilai
KN (T3) otomatis saat Operator tersebar ke aplikasi risiko residual
(A1) meninggalkan KPKNL orang yang Role Authorization yang diharapkan
workstation Operator tidak berhak Harus dilakukan
Kanwil kontrol tambahan
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi control Keterangan
Risiko
4 Database Informasi Data rahasia Database Informasi Sedang Ditampung dalam Melakukan Nilai risiko
Kekayaan rahasia mudah tidak Admin rahasia (50) server database dan enkripsi terhadap melebihi nilai
Negara dibaca dienkripsi tersebar ke storage elemen data yang risiko residual
(T4) orang yang bersifat rahasia yang diharapkan
(A2)
tidak berhak Harus dilakukan
Berdampak kontrol tambahan
pada seluruh
kantor
operasional
5 Database Penyalah- Sharing Database Data Sedang Diletakkan pada Pembuatan role Nilai risiko
server gunaan hak password Admin hilang/rusak (50) ruang data center authorization melebihi nilai
(A3) (T3) Operator Berdampak Terdapat access risiko residual
KPKNL pada seluruh control yaitu finger yang diharapkan
Operator kantor print dan CCTV saat Harus dilakukan
Kanwil operasional masuk data center kontrol tambahan
Operator Adanya inventarisasi
Kantor Pusat perangkat
Terdapat UPS,
baterai dan genset
Adanya firewall dan
antivirus
Adanya prosedur
backup dan restore
database
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
6 Linux Penyalah- Sharing Hacker Data Sedang Adanya lisensi Pembuatan role Nilai risiko
Redhat gunaan hak Password hilang/rusak (50) namun terbatas authorization melebihi nilai
(A13) (T3) pada beberapa Adanya inventarisasi risiko residual
kantor lisensi yang diharapkan
operasional Harus dilakukan
kontrol tambahan
7 Antivirus Data Anti virus Virus Data Sedang Adanya lisensi Pengadaan Nilai risiko
(A14) hilang/rusak bajakan hilang/rusak (50) namun terbatas software antivirus melebihi nilai
(T8) pada beberapa risiko residual
kantor yang diharapkan
operasional Harus dilakukan
kontrol tambahan
8 Database Server tidak Tidak ada Database Proses bisnis Sedang Diletakkan pada Pembuatan Nilai risiko
server bisa diakses manajemen Admin terhenti antara (25) ruang data center manajemen melebihi nilai
(A3) (T5) kapasitas 3-12 jam Adanya inventarisasi kapasitas risiko residual
Berdampak perangkat menggunakan yang diharapkan
pada beberapa Terdapat UPS, software Harus dilakukan
kantor baterai dan genset monitoring kontrol tambahan
operasional Adanya firewall dan
antivirus
Adanya prosedur
backup dan restore
database
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
9 Access Penyalah- Sharing Hacker Koneksi Sedang Diletakkan pada Pembuatan role Nilai risiko
Switch gunaan hak password jaringan di (25) ruang data center authorization melebihi nilai
(A7) (T3) beberapa Terdapat access risiko residual
kantor control yaitu finger yang diharapkan
operasional print saat masuk data Harus dilakukan
terhenti 3-12 center kontrol tambahan
jam Terdapat UPS,
baterai dan genset
Adanya firewall dan
antivirus
10 Access Koneksi lambat Adanya port Hacker Koneksi Sedang Diletakkan pada Manajemen port Nilai risiko
Switch (T6) yang dibuka jaringan di (25) ruang data center Pengadaan CCTV melebihi nilai
(A7) untuk beberapa Terdapat access risiko residual
komunikasi kantor control yaitu finger yang diharapkan
data operational print saat masuk data Harus dilakukan
lambat 3-12 center kontrol tambahan
jam Adanya inventarisasi
perangkat
Terdapat UPS,
baterai dan genset
Adanya firewall dan
antivirus
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
11 Router Penyalah- Sharing Hacker Koneksi Sedang Diletakkan pada Pembuatan role Nilai risiko
(A8) gunaan hak password jaringan di (25) ruang data center authorization melebihi nilai
(T3) beberapa Adanya inventarisasi risiko residual
kantor perangkat yang diharapkan
operasional Terdapat UPS, Harus dilakukan
terhenti 3-12 baterai dan genset kontrol tambahan
jam
12 PC (A10) Permasalahan OS bajakan Virus Aplikasi tidak Sedang Masuk dalam daftar Pengadaan OS asli Nilai risiko
saat bisa (25) inventarisasi aset melebihi nilai
penggunaan dijalankan di Diletakkan di risiko residual
(T1) beberapa ruangan kantor yang yang diharapkan
kantor terkunci Harus dilakukan
operasional kontrol tambahan
13 PC (A10) Data Tidak ada Virus Data Sedang Masuk dalam daftar Pengadaan Nilai risiko
hilang/rusak antivirus hilang/rusak (25) inventarisasi aset antivirus asli melebihi nilai
(T8) di beberapa Diletakkan di risiko residual
kantor ruangan kantor yang yang diharapkan
operasional terkunci Harus dilakukan
kontrol tambahan
14 OS Permasalahan OS bajakan Virus Aplikasi tidak Sedang Adanya lisensi Pengadaan OS asli Nilai risiko
Windows saat bisa (25) namun terbatas melebihi nilai
(A11) penggunaan dijalankan di Adanya inventarisasi risiko residual
(T1) beberapa lisensi yang diharapkan
kantor Harus dilakukan
operasional kontrol tambahan
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
15 Oracle Penyalah- Sharing Hacker Data Sedang Adanya lisensi Pembuatan role Nilai risiko
10G gunaan hak password hilang/rusak (25) namun terbatas authorization melebihi nilai
(A12) (T3) pada beberapa Adanya inventarisasi risiko residual
kantor lisensi yang diharapkan
operasional Harus dilakukan
kontrol tambahan
16 Operator Kurang Proses Operator Proses bisnis Rendah Adanya role Peningkatan Nilai risiko
KPKNL menguasai perekrutan KPKNL terhenti lebih (10) authorization kompetensi melebihi nilai
(A15) penggunaan kurang dari 12 jam Adanya prosedur pegawai risiko residual
aplikasi (T21) memadai Berdampak pelaporan gangguan yang diharapkan
lebih dari 20 aplikasi Harus dilakukan
kantor kontrol tambahan
operasional
17 Operator Adanya Penggunaan Operator Kerusakan Rendah Adanya role Peningkatan Nilai risiko
KPKNL permasalahan software dan KPKNL perangkat (10) authorization kompetensi melebihi nilai
(A15) dalam hardware sehingga Adanya prosedur pegawai risiko residual
pengoperasian yang tidak layanan pelaporan gangguan yang diharapkan
perangkat benar terhenti lebih aplikasi Harus dilakukan
(T9) dari 12 jam kontrol tambahan
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
18 Operator Kurang Proses Operator Proses bisnis Rendah Adanya role Peningkatan Nilai risiko
Kanwil menguasai perekrutan Kanwil terhenti lebih (10) authorization kompetensi melebihi nilai
(A16) penggunaan kurang dari 12 jam Adanya prosedur pegawai risiko residual
aplikasi (T1) memadai Berdampak pelaporan gangguan yang diharapkan
lebih dari 20 aplikasi Harus dilakukan
kantor kontrol tambahan
operasional
19 Operator Adanya Penggunaan Operator Kerusakan Rendah Adanya role Peningkatan Nilai risiko
Kanwil permasalahan software dan Kanwil perangkat (10) authorization kompetensi melebihi nilai
(A16) dalam hardware yang sehingga Adanya prosedur pegawai risiko residual
pengoperasian tidak benar pelaporan gangguan yang diharapkan
layanan
perangkat aplikasi Harus dilakukan
(T9) terhenti lebih
kontrol tambahan
dari 12 jam
20 Program Update aplikasi Perubahan Programmer Aplikasi Rendah Adanya prosedur Evaluasi dan Nilai risiko
mer kurang proses bisnis mengelami (10) pengelolaan aplikasi monitoring melebihi nilai
(A18) sempurna yang cepat masalah di pembuatan aplikasi risiko residual
(T10) semua kantor yang diharapkan
operasional Harus dilakukan
kontrol tambahan
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
21 Program Kecoran data Tidak ada Programmer Informasi Rendah Adanya prosedur Awareness Nilai risiko
mer (T11) kebijakan rahasia (10) pengelolaan aplikasi keamanan melebihi nilai
(A18) clear desk dan tersebar informasi risiko residual
clear screen yang diharapkan
Harus dilakukan
kontrol tambahan
22 Database Kebocoran data Tidak ada Database Informasi Rendah Adanya prosedur Awareness Nilai risiko
Admin (T11) kebijakan Admin rahasia (10) pengelolaan keamanan melebihi nilai
(A20) clear desk dan tersebar database informasi risiko residual
clear screen Adanya prosedur yang diharapkan
backup dan restore Harus dilakukan
database kontrol tambahan
23 Proses Adanya proses Adanya proses Operator Adanya Rendah Adanya prosedur Menetapkan aturan Nilai risiko
Rekon data yang ilegal yang tidak KPKNL kerusakan data (10) dalam proses dan sanksi terhadap melebihi nilai
siliasi (T13) sesuai Operator di hampir rekonsiliasi proses ilegal risiko residual
prosedur Kanwil semua kantor yang diharapkan
(A22)
operasional Harus dilakukan
kontrol tambahan
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol
Risiko
24 Storage Penyalah-gunaan Sharing Hacker Data hilang/rusak Rendah Diletakkan pada ruang Pembuatan role
server (A4) hak (T3) password (ada backup) (5) data center authorization
Berdampak pada Terdapat access control
kantor pusat yaitu finger print dan
CCTV saat masuk data
center
Adanya inventarisasi
perangkat
Terdapat UPS, baterai
dan genset
Adanya firewall dan
antivirus
Adanya prosedur backup
dan restore database
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
25 Storage Server tidak Tidak ada Database Proses bisnis Rendah Diletakkan pada Pembuatan Nilai risiko sama
server bisa diakses manajemen Admin terhenti antara (5) ruang data center manajemen dengan nilai
(A4) (T5) kapasitas 3-12 jam Terdapat access kapasitas risiko residual
Berdampak control yaitu finger menggunakan yang diharapkan
pada kantor print dan CCTV saat software Tidak perlu
pusat masuk data center monitoring dilakukan kontrol
Adanya inventarisasi tambahan
perangkat
Terdapat UPS,
baterai dan genset
Adanya firewall dan
antivirus
Adanya prosedur
backup dan restore
database
26 Core Penyalah- Sharing Hacker Koneksi jaringan Rendah Diletakkan pada Pembuatan role Nilai risiko sama
Switch gunaan hak password di kantor pusat (5) ruang data center authorization dengan nilai
(A5) (T3) terhenti 3-12 jam Terdapat access risiko residual
control yaitu finger yang diharapkan
print dan CCTV saat Tidak perlu
masuk data center dilakukan kontrol
Adanya inventarisasi tambahan
perangkat
Terdapat UPS,
baterai dan genset
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
27 Core Koneksi lambat Adanya port Hacker Koneksi jaringan Rendah Diletakkan pada Adanya Nilai risiko sama
Switch (T6) yang dibuka di kantor pusat (5) ruang data center manajemen dan dengan nilai
(A5) untuk lambat 3-12 jam Terdapat access monitoring port risiko residual
komunikasi control yaitu finger Pelabelan port yang diharapkan
data print dan CCTV saat Tidak perlu
masuk data center dilakukan kontrol
Adanya inventarisasi tambahan
perangkat
Terdapat UPS,
baterai dan genset
Adanya firewall dan
antivirus
28 Distributor Penyalahgunaan Sharing Hacker Koneksi Rendah Diletakkan pada Pembuatan role Nilai risiko sama
Switch (A6) hak password jaringan di (5) ruang data center authorization dengan nilai
(T3) kantor pusat Terdapat access risiko residual
terhenti control yaitu finger yang diharapkan
kurang dari 3 print saat masuk data Tidak perlu
jam center dilakukan kontrol
Adanya inventarisasi tambahan
perangkat
Terdapat UPS,
baterai dan genset
Adanya firewall dan
antivirus
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
29 Distributor Koneksi lambat Adanya port Hacker Koneksi Rendah Diletakkan pada Adanya Nilai risiko sama
Switch (A6) (T6) yang dibuka jaringan di (5) ruang data center manajemen dan dengan nilai
untuk kantor pusat Terdapat access monitoring port risiko residual
komunikasi lambat kurang control yaitu finger Pelabelan port yang diharapkan
data dari 3 jam print saat masuk data Tidak perlu
center dilakukan kontrol
Adanya inventarisasi tambahan
perangkat
Terdapat UPS,
baterai dan genset
30 Kabel Koneksi ke Instalasi kabel Teknisi Koneksi Rendah Adanya prosedur Adanya monitoring Nilai risiko sama
Jaringan perangkat jaringan tidak Jaringan jaringan kurang (5) instalasi jaringan dan audit instalasi dengan nilai
(A9) mengalami rapi Pegawai dari 20 kantor jaringan risiko residual
gangguan yang diharapkan
operasional
(T7) Tidak perlu
terhenti kurang
dilakukan kontrol
dari jam tambahan
31 Operator Adanya Penggunaan Operator Kerusakan Rendah Adanya role Peningkatan Nilai risiko sama
Kantor permasalahan software dan kantor pusat perangkat (5) authorization kompetensi dengan nilai
Pusat dalam hardware sehingga Adanya prosedur pegawai risiko residual
(A17) pengoperasian yang tidak
layanan terhenti pelaporan gangguan Awareness yang diharapkan
perangkat benar aplikasi keamanan Tidak perlu
(T1) 3 - 12 jam
informasi dilakukan kontrol
tambahan
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
32 Teknisi Kurangnya Kurangnya Teknisi Kerusakan Rendah Adanya prosedur Peningkatan Nilai risiko sama
jaringan pemeliharaan personil Jaringan perangkat (5) penambahan instalasi kompetensi PIC dengan nilai
(A19) (T12) yang jaringan TIK di KPKNL risiko residual
berdampak dan Kanwil yang diharapkan
pada beberapa Tidak perlu
kantor dilakukan kontrol
operasional tambahan
33 Teknisi Akses ilegal Tidakada Teknisi Layanan Rendah Adanya prosedur Awareness Nilai risiko sama
jaringan (T13) kebijakan Jaringan lambat/terhenti (5) penambahan instalasi keamanan dengan nilai
(A19) clear desk dan Hacker 3-12 jam di jaringan informasi risiko residual
clear screen beberapa kantor yang diharapkan
operasional Tidak perlu
dilakukan kontrol
tambahan
34 Petugas Proses kerja Proses Petugas Pelayanan Rendah Adanya prosedur Meningkatkan Nilai risiko sama
Help Desk lebih lama rekrutmen Helpdesk lambat/terhenti (5) penanganan kompetensi dengan nilai
(A21) (T12) kurang di beberapa gangguan pegawai risiko residual
memadai kantor Adanya web help Meningkatkan yang diharapkan
operasional desk untuk layanan prima Tidak perlu
mengelola gangguan dilakukan kontrol
Adanya dokumentasi tambahan
gangguan yang sudah
terjadi
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
35 Proses Adanya proses Adanya proses Operator Adanya Rendah Adanya prosedur Menetapkan aturan Nilai risiko sama
Rekapitula data yang ilegal yang tidak KantorPusat kerusakan data (5) dalam proses dan sanksi terhadap dengan nilai
si (T13) sesuai di kantor pusat rekapitulasi proses ilegal risiko residual
prosedur yang diharapkan
(A23)
Tidak perlu
dilakukan kontrol
tambahan
36 Proses Adanya proses Adanya proses Operator Adanya Rendah Adanya prosedur Menetapkan aturan Nilai risiko sama
Pembuatan data yang ilegal yang tidak Kantor Pusat kerusakan data (5) dalam proses dan sanksi terhadap dengan nilai
Laporan (T13) sesuai di kantor pusat rekapitulasi proses ilegal risiko residual
prosedur yang diharapkan
(A24)
Tidak perlu
dilakukan kontrol
tambahan
37 Proses Database Adanya proses Operator Layanan Rendah Adanya prosedur Awareness Nilai risiko sama
backup hilang/rusak yang tidak KPKNL terhenti di (5) dalam proses restore keamanan dengan nilai
data (T8) sesuai Operator sebagian kecil data informasi risiko residual
(A25)
prosedur Kanwil kantor Penambahan yang diharapkan
operasional prosedur backup Tidak perlu
dan restore data dilakukan kontrol
tambahan
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Kontrol yang sudah ada Rekomendasi kontrol Keterangan
Risiko
38 Proses Kesalahan data Kesalahan Operator Layanan Rendah Adanya prosedur Penambahan Nilai risiko sama
restore (T14) pemilihan data KPKNL terhenti di (1) umum dalam proses prosedur backup dengan nilai
data yang direstore Operator sebagian kecil restore data dan restore data risiko residual
(A26) Kanwil kantor yang diharapkan
operasional Tidak perlu
dilakukan kontrol
tambahan
Universitas Indonesia
Universitas Indonesia
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol
2 Menetapkan Identifikasi A22-T13 Honor tim untuk Terhindar dari data yang tidak Reduction Direktorat Hukum
peraturan dan sanksi peraturan yang menetapkan peraturan dan akurat dan Humas
terhadap proses berlaku sanksi terkait pelanggaran Penghematan: Biaya transport
ilegal (Compliance) prosedur aplikasi Modul dan konsumsi terkait
Kekayaan Negara. pemutakhiran data (100 satker
Biaya: (10 orang x 12 bulan x 3 hari x Rp 500.000,-
x Rp 300.000,- sebesar Rp sebesar Rp 150.000.000,-)
36.000.000 pertahun)
Universitas Indonesia
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan)
4 Prosedur serah terima Akses kontrol ke A1-T2 Memudahkan dalam proses Reduction Subdit Perancangan
aplikasi dalam source troubleshooting dan update dan Pengembangan
code program aplikasi Modul Kekayaan Sistem Aplikasi
(Information Negara
system Penghematan: Biaya perbaikan
acquisition, aplikasi oleh vendor di luar
development and kontrak sebesar Rp
maintenance) 300.000.000,-
Universitas Indonesia
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan)
6 Pembuatan role Pengelolaan A3-T5 Honor tim untuk mengelola Menghindari penyalahgunaan Reduction Subdit Pengolahan
authorization privilege A13-T3 fitur role authorization hak akibat sharing password Data dan Layanan
(Access Control) A7-T3 aplikasi Modul Kekayaan yang dapat mengakibatkan Operasional
A8-T3 Negara. kerusakan data
A12-T3 Biaya: (10 orang x 12 bulan Penghematan: Biaya transport
x Rp 300.000,- sebesar Rp dan konsumsi terkait
36.000.000 pertahun) pemutakhiran data (100 satker
x 3 hari x Rp 500.000,-
sebesar Rp 150.000.000,-)
Universitas Indonesia
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan)
8 Pembuatan Monitoring A3-T5 Honor tim untuk mengelola Mencegah terhentinya Reduction Subdit Pengolahan
manajemen kapasitas penggunaan A4-T5 kapasitas dan port perangkat layanan terkait permasalahan Data dan Layanan
menggunakan sistem TI. kapasitas server database Operasional
software monitoring (Communication Biaya: (10 orang x 12 bulan (permasalahan hard disk)
and Information x Rp 300.000,- sebesar Rp Penghematan: Biaya
Management) 36.000.000 pertahun) perjalanan dinas untuk
perbaikan hard disk (rata-rata
10 kantor x 2 orang x Rp
10.000.000,- sebesar Rp
200.000.000,-
9 Manajemen dan Kontrol Jaringan A7-T6 Menghindari penyalahgunaan Reduction Subdit Pengolahan
pelabelan port (Communication oleh orang yang tidak berhak Data dan Layanan
and Information Penghematan: Biaya Operasional
Management) perjalanan dinas untuk KPKNL
perbaikan perangkat jaringan Kanwil
(rata-rata 10 kantor x 2 orang
x Rp 10.000.000,- sebesar Rp
200.000.000,-
Universitas Indonesia
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan)
11 Pengadaan OS Kontrol terhadap A10-T1 Pembelian OS Windows asli Menghindari kerusakan atau Reduction KPKNL
Windows asli malicious code A11-T1 Biaya: Tiap kantor membeli kehilangan data Kanwil
(Communication 5 OS x Rp1.000.000 = Penghematan: Biaya transport
and Information Rp5.000.000 dan konsumsi terkait
Management) pemutakhiran data (100 satker
x 3 hari x Rp 500.000,-
sebesar Rp 150.000.000,-)
Universitas Indonesia
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan)
Universitas Indonesia
Tabel 5.15 Analisis biaya dan manfaat (Cost benefit analysis) terhadap rekomendasi kontrol (lanjutan)
Universitas Indonesia
Berdasarkan hasil analisis biaya dan manfaat pada Tbel 5.15 dapat diketahui
bahwa seluruh rekomendasi kontrol yang harus dilakukan mempunyai biaya
pengurangan risiko lebih kecil dari manfaat yang diperoleh dan terdapat sumber
daya yang memadai untuk membiayai pelaksanaan kontrol maka harus dilakukan
implementasi kontrol tambahan. Dengan demikian tidak ada risiko yang akan
ditransfer atau dihindari.
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Penanganan Rekomendasi kontrol Penanggung Rencana Kerja
Risiko Risiko Jawab
1 Aplikasi Terjadi Proses testing Vendor Aplikasi tidak Sedang Reduction Prosedur pengetesan Subdit Juli-Desember
Modul permasalahan tidak lengkap Programmer bisa (50) aplikasi Perencanaan 2014
KN saat digunakan Evaluasi pembuatan dan
(A1) mengoperasikan Seluruh kantor aplikasi Pengembangan
aplikasi operasional Aplikasi
(T1) tidak dapat
menggunakan
aplikasi
2 Aplikasi Proses Dokumentasi Vendor Terdapat Sedang Reduction Prosedur serah Subdit Juli-Desember
Modul troubleshooting terhadap Programmer beberapa atau (50) terima aplikasi Perencanaan 2014
KN dan update source code semua menu dan
(A1) aplikasi aplikasi tidak aplikasi Pengembangan
terhambat lengkap bermasalah Aplikasi
(T2) Berdampak
pada seluruh
kantor
operasional
3 Aplikasi Penyalah- Tidak ada Vendor Informasi Sedang Reduction Pembuatan logout Subdit Juli-Desember
Modul gunaan hak logout Programmer rahasia (50) otomatis aplikasi Perencanaan 2014
KN (T3) otomatis saat Operator tersebar ke dan
(A1) meninggalkan KPKNL orang yang Pengembangan
workstation Operator tidak berhak Aplikasi
Kanwil
Operator
Kantor Pusat
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Penanganan Rekomendasi kontrol Penanggung Rencana Kerja
Risiko Risiko Jawab
4 Database Informasi Data rahasia Database Informasi Sedang Reduction Melakukan enkripsi Subdit Juli-Desember
Kekayaan rahasia mudah tidak Admin rahasia (50) terhadap elemen data Pengolahan 2014
Negara dibaca dienkripsi tersebar ke yang bersifat rahasia Data dan
(T4) orang yang Layanan
(A2)
tidak berhak Operasional
Berdampak
pada seluruh
kantor
operasional
5 Database Penyalah- Sharing Database Data Sedang Reduction Pembuatan role Subdit Juli-Desember
server gunaan hak password Admin hilang/rusak (50) authorization Pengolahan 2014
(A3) (T3) Operator Berdampak Data dan
KPKNL pada seluruh Layanan
Operator kantor Operasional
Kanwil operasional
Operator
Kantor Pusat
6 Linux Penyalah- Sharing Hacker Data Sedang Reduction Pembuatan role Subdit Juli-Desember
Redhat gunaan hak Password hilang/rusak (50) authorization Pengolahan 2014
(A13) (T3) pada beberapa Data dan
kantor Layanan
operasional Operasional
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Penanganan Rekomendasi kontrol Penanggung Rencana Kerja
Risiko Risiko Jawab
7 Antivirus Data Anti virus Virus Data Sedang Reduction Pengadaan software KPKNL Juli-Desember
(A14) hilang/rusak bajakan hilang/rusak (50) antivirus Kanwil 2014
(T8) pada beberapa
kantor
operasional
8 Database Server tidak Tidak ada Database Proses bisnis Sedang Reduction Pembuatan Subdit Juli-Desember
server bisa diakses manajemen Admin terhenti antara (25) manajemen kapasitas Pengolahan 2014
(A3) (T5) kapasitas 3-12 jam menggunakan Data dan
Berdampak software monitoring Layanan
pada beberapa Operasional
kantor
operasional
9 Access Penyalah- Sharing Hacker Koneksi Sedang Reduction Pembuatan role Subdit Juli-Desember
Switch gunaan hak password jaringan di (25) authorization Pengolahan 2014
(A7) (T3) beberapa Data dan
kantor Layanan
operasional Operaional
terhenti 3-12
jam
10 Access Koneksi lambat Adanya port Hacker Koneksi Sedang Reduction Manajemen port Subdit Juli-Desember
Switch (T6) yang dibuka jaringan di (25) Pengolahan 2014
(A7) untuk beberapa Data dan
komunikasi kantor Layanan
data operational Operaional
lambat 3-12
jam
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Penanganan Rekomendasi kontrol Penanggung Rencana Kerja
Risiko Risiko Jawab
11 Router Penyalah- Sharing Hacker Koneksi Sedang Reduction Pembuatan role Subdit Juli-Desember
(A8) gunaan hak password jaringan di (25) authorization Pengolahan 2014
(T3) beberapa Data dan
kantor Layanan
operasional Operaional
terhenti 3-12
jam
12 PC (A10) Permasalahan OS bajakan Virus Aplikasi tidak Sedang Reduction Pengadaan OS asli KPKNL Juli-Desember
saat bisa (25) Kanwil 2014
penggunaan dijalankan di
(T1) beberapa
kantor
operasional
13 PC (A10) Data Tidak ada Virus Data Sedang Reduction Pengadaan antivirus KPKNL Juli-Desember
hilang/rusak antivirus hilang/rusak (25) asli Kanwil 2014
(T8) di beberapa
kantor
operasional
14 OS Permasalahan OS bajakan Virus Aplikasi tidak Sedang Reduction Pengadaan OS asli KPKNL Juli-Desember
Windows saat bisa (25) Kanwil 2014
(A11) penggunaan dijalankan di
(T1) beberapa
kantor
operasional
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Penanganan Rekomendasi kontrol Penanggung Rencana Kerja
Risiko Risiko Jawab
15 Oracle Penyalah- Sharing Hacker Data Sedang Reduction Pembuatan role Subdit Juli-Desember
10G gunaan hak password hilang/rusak (25) authorization Pengolahan 2014
(A12) (T3) pada beberapa Data dan
kantor Layanan
Operasional
16 Operator Kurang Proses Operator Proses bisnis Rendah Reduction Peningkatan PKNSI Juli-Desember
KPKNL menguasai perekrutan KPKNL terhenti lebih (10) kompetensi pegawai KPKNL 2014
(A15) penggunaan kurang dari 12 jam Kanwil
aplikasi (T21) memadai Berdampak
lebih dari 20
kantor
operasional
17 Operator Adanya Penggunaan Operator Kerusakan Rendah Reduction Peningkatan PKNSI Juli-Desember
KPKNL permasalahan software dan KPKNL perangkat (10) kompetensi pegawai KPKNL 2014
(A15) dalam hardware yang sehingga Kanwil
pengoperasian tidak benar layanan
perangkat terhenti lebih
(T9) dari 12 jam
18 Operator Kurang Proses Operator Proses bisnis Rendah Reduction Peningkatan PKNSI Juli-Desember
Kanwil menguasai perekrutan Kanwil terhenti lebih (10) kompetensi pegawai KPKNL 2014
(A16) penggunaan kurang dari 12 jam Kanwil
aplikasi (T1) memadai Berdampak
lebih dari 20
kantor
operasional
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Penanganan Rekomendasi kontrol Penanggung Rencana Kerja
Risiko Risiko Jawab
19 Operator Adanya Penggunaan Operator Kerusakan Rendah Reduction Peningkatan PKNSI Juli-Desember
Kanwil permasalahan software dan Kanwil perangkat (10) kompetensi pegawai KPKNL 2014
(A16) dalam hardware sehingga Kanwil
pengoperasian yang tidak
layanan
perangkat benar
(T9) terhenti lebih
dari 12 jam
20 Program Update aplikasi Perubahan Program mer Aplikasi Rendah Reduction Evaluasi dan Subdit Juli-Desember
mer kurang proses bisnis mengelami (10) monitoring Perencanaan 2014
(A18) sempurna yang cepat masalah di pembuatan aplikasi dan
(T10) semua kantor Pengembangan
operasional Aplikasi
21 Program Kecoran data Tidak ada Program mer Informasi Rendah Reduction Awareness keamanan Subdit Juli-Desember
mer (T11) kebijakan rahasia (10) informasi Perencanaan 2014
(A18) clear desk dan tersebar dan
clear screen Pengembangan
Aplikasi
22 Database Kebocoran data Tidak ada Database Informasi Rendah Reduction Awareness keamanan Subdit Juli-Desember
Admin (T11) kebijakan Admin rahasia (10) informasi Pengolahan 2014
(A20) clear desk dan tersebar Data dan
clear screen Layanan
Operaional
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Penanganan Rekomendasi kontrol Penanggung Rencana Kerja
Risiko Risiko Jawab
23 Proses Adanya proses Adanya proses Operator Kerusakan Rendah Reduction Menetapkan aturan Direktorat Juli-Desember
Rekon data yang ilegal yang tidak KPKNL data di semua (10) dan sanksi terhadap Hukumdan 2014
siliasi (T13) sesuai Operator kantor proses ilegal Humas
prosedur Kanwil operasional
(A22)
25 Storage Server tidak Tidak ada Database Proses bisnis Rendah Accept - - -
server bisa diakses manajemen Admin terhenti antara (5)
(A4) (T5) kapasitas 3-12 jam
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Penanganan Rekomendasi kontrol Penanggung Rencana Kerja
Risiko Risiko Jawab
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Penanganan Rekomendasi kontrol Penanggung Rencana Kerja
Risiko Risiko Jawab
Universitas Indonesia
No Aset Ancaman Kerawanan Sumber Konsekuensi Nilai Penanganan Rekomendasi kontrol Penanggung Rencana Kerja
Risiko Risiko Jawab
Universitas Indonesia
Pada Tabel 5.16 diatas dapat dijelaskan bahwa pada setiap skenario risiko disusun
keputusan penanganan risiko, penanggung jawab risiko dan rencana kerja untuk
melakukan rekomendasi kontrol yang telah ditetapkan. Dalam hal ini terdapat 23
skenario risiko yang dilakukan pengurangan risiko (reduction) dan 15 skenario
risiko yang dilakukan penerimaan risiko (accept). Penanggung jawab merupakan
pihak yang mempunyai kewajiban untuk melakukan penanganan risiko tersebut.
Rencana kerja ditetapkan pada bulan Juli – Desember 2014.
Universitas Indonesia
BAB VI
PENUTUP
Bab ini berisi kesimpulan dan saran dari hasil penelitian yang telah dilakukan.
Kesimpulan merupakan rangkuman dari penelitian perencanaan manajemen risiko
keamanan informasi di DJKN khususnya tentang aplikasi Modul KN. Saran
merupakan masukan terhadap proses analisis dan penanganan risiko yang
dilakukan oleh DJKN dalam menjalankan proses bisnis untuk mencapai tujuan
organisasi.
6.1 Kesimpulan
Universitas Indonesia
e. Penanganan risiko berisi tentang rencana penanganan risiko yang terdiri dari
empat opsi yaitu accept, reduction, avoid dan transfer. Untuk mengurangi
risiko dengan cara menyusun rekomendasi kontrol sesuai dengan pedoman
ISO 27002. Dalam hal ini terdapat 23 skenario risiko yang dilakukan
pengurangan risiko (reduction) dan 15 skenario risiko yang dilakukan
penerimaan risiko (accept).
f. Penerimaan risiko berisi tentang keputusan penanganan risiko, penanggung
jawab penanganan risiko dan jadwal implementasi rekomendasi kontrol.
6.2 Saran
Universitas Indonesia
DAFTAR PUSTAKA
Committee for Oversight and Assesment (COA) (2005). The Owner’s Role in
Project Risk Management. The National Academies Press: USA.
Direktorat Jenderal Kekayaan Negara (2008). Blue Print TIK DJKN. Jakarta,
Indonesia: DJKN.
Universitas Indonesia
Universitas Indonesia
The European Union Agency for Network and Informastion Security (ENISA).
http://rm-inv.enisa.europa.eu/comparison.html. Diakses pada tanggal 4 Maret
2014.
Ward, J, & Peppard, J. (2002). Strategic Planning for Information Systems Third
Edition. England: John Wiley & Sons, LTD.
Universitas Indonesia
LAMPIRAN
A.TRANSKRIP WAWANCARA
SP : Sigit Prasetyo
IK : I Ketut Puja
SP : Selamat Pagi Pak, apa kabar? Mohon waktu sebentar pak untuk
wawancara terkait penyusunan tesis.
IK : Kabar baik mas sigit. Rencana mau ngambil topik apa?
SP : Rencananya mengambil topik manajemen risiko TI pak
IK : Wah bagus itu. Kira-kira bentuknya seperti apa?
SP : Begini pak, pertama melakukan analisis risiko berdasarkan aset informasi
terhadap proses bisnis utama di DJKN kemudian melakukan
penanganan risikonya.
IK : Kalau mau yang dianalisis proses bisnis utama aja yaitu pengelolaan
barang milik negara. Itu juga udah banyak prosesnya. Dari poses
pengadaan sampai penghapusan BMN
SP : Permasalahan yang dihadapi apa saja pak?
IK : Diantaranya kurangnya SDM TI dan kompetensinya.
SP : Apakah sudah ada perancangan manajemen risiko TI di DJKN?
IK : Sepertinya belum ada. Coba cek di Blue Print TIK DJKN sepertinya ada
penjelasan mengenai risiko.
Universitas Indonesia
SP : Oh gitu pak. Baik nanti saya cek di Blueprint. Baik Pak, saya rasa sudah
cukup. Nanti kalau saya membutuhkan informasi bisa bertanya bapak
lagi. Terima kasih Pak.
IK : Sama-sama.
Universitas Indonesia
SP : Sigit Prasetyo
SM : Salman Paris Muda
SP : Selamat pagi pak, saya ingin berdiskusi tentang pengelolaan data dan
informasi di DJKN terkait dengan tesis yang saat ini saya kerjakan.
Bagaimana keadaan saat ini?
SM : Untuk saat ini pengelolaan data di DJKN masih terpisah-pisah dikarenakan
aplikasi yang ada saat ini seperti seperti Sistem Informasi Manajemen
Kepegawaian (SIMPEG), Sistem Informasi Piutang Lelang (SIMPLe),
Modul Kekayaan Negara (Modul KN), aplikasi tata persuratan, modul
rekonsiliasi BMN dan yang lain belum terintegrasi.
SP : Apakah ada permasalahan terkait hal tersebut?
SM : Seringkali pertukaran data antar aplikasi dilakukan dengan melakukan
input ulang sehingga menyebabkan tingkat efektifitasnya menjadi rendah.
Dengan data dan informasi yang terpisah-pisah tersebut menjadikan proses
pembuatan laporan juga menjadi sulit dan harus dilakukan secara terpisah.
SP : Penyebabnya apa saja pak?
SM : DJKN melakukan pembelian perangkat keras dan pengembangan
perangkat lunak pada waktu yang berbeda dan dari vendor yang berbeda.
Perbedaan pengembang dan tahun pembuatan jelas berdampak pada
kepemilikan sejumlah sistem dengan platform yang berbeda-beda, mulai
dari perbedaan teknologi perangkat keras, bahasa pemrograman, sistem
pengelola basis data, sistem operasi sampai dengan sistem aplikasi
penunjang lainnya. DJKN sebagai satu kesatuan memerlukan integritas
Universitas Indonesia
data dan informasi dari seluruh fungsi baik fungsi utama maupun fungsi-
fungsi pendukung. Namun integritas data dan informasi ini tidak dapat
diperoleh melalui sistem yang dimiliki DJKN saat ini karena adanya
perbedaan platform. Perbedaan platform menyebabkan terjadinya “pulau-
pulau” informasi karena setiap sistem tidak dapat berkomunikasi untuk
saling berbagi pakai data dan informasi.
SP : Terkait dengan aplikasi kira-kita aplikasi mana yang paling penting di
DJKN?
SM : Saya kira aplikasi Modul Kekaan Negara yang paling penting karena berisi
tentang pengelolaan BMN yang ada di seluruh Kementerian/Lembaga dan
menjadi proses bisnis utama di DJKN
SP : Mengenai database Modul KN seperti apa dan bagaimana
permasalahannya?
SM : Modul KN adalah aplikasi berbasis desktop jadi database tersimpan di
laptop tapi kita usahakan agar database tersebut kita arahkan ke server
database di masing-masing kantor agar aman dan tidak hilang.
Permasalahannya adalah operator KPKNL/Kanwil biasanya masih
menggunakan sharing password di servernya padahal sudah kita buatkan
user admin dan lainnya. Dampaknya database menjadi terhapus/rusak.
SP : Apakah sudah ada kontrol terkait hal tersebut?
SM : Sepertinya belum ada, saat ini masih berupa himbauan dan teguran.
SP : Baik pak. Sepertinya sudah cukup. Terima kasih.
SM : Sama-sama.
---------------------------------------------------------------------------------------------------
SP : Siang Pak. Maaf mengganggu. Saya mau wawancara lagi terkait dengan
tingkat dampak terkait manajemen risiko keamanan informasi. Apakah
sudah ada standar tentang tingkatan dampak apabila database mengalami
permasalahan?
SM : Sampai saat ini belum ada.
SP : Kira-kira yang mempunyai dampak paling tinggi terhadap data itu seperti
apa? Apakah tingkat ketersediaan data, keutuhan data atau kerahasiaan
data?
Universitas Indonesia
SM : Kalau untuk ketersediaan data kan kita bicara tentang jaringan yang
menghubungkan antara data dan pengguna, biasanya kita golongkan
rendah karena tidak merusak data, untuk yang sedang itu apabila ada
kerusakan/kehilangan data tapi kita masih menyimpan backupnya.
Sedangkan yang tinggi itu apabila tidak ada backupnya dan data rahasia
tersebar.
SP : Apakah saat ini pernah terjadi untuk dampak tinggi tersebut?
SM : Pernah, data rusak tapi tidak ada backupnya, padahal kita sudah backup
otomatis tiap hari nya tapi hasil backupnya error.
SP : Untuk data rahasia tersebar bagaimana?
SM : Belum pernah ada laporan seperti itu. Ya semoga jangan.
SP : Baik Pak. Terima kasih.
Universitas Indonesia
SP : Sigit Prasetyo
AM : Aris Suhada Mian
SP : Selamat pagi mas, saya mau bertanya tentang aplikasi Modul KN.
Sebenarnya Modul KN itu aplikasi apa dan apa yang menjadi latar
belakangnya?
AM : Latar belakang pembuatan Modul KN terkait dengan PMK 120
/PMK.06/2007 tentang Penatausahaan BMN dan PMK 102/PMK.05/2009
tentang Tatacara Rekonsiliasi BMN dalam rangka penyusunan LKPP.
Modul KN merupakan aplikasi yang digunakan untuk rekonsiliasi data
pengelolaan BMN di SIMAK-BMN dengan data penggunaan anggaran di
SAKPA sehingga menghasilkan neraca yang seimbang.
SP : Apa saja permasalahan yang dihadapi?
AM : Update aplikasi Modul KN sering dilakukan dikarenakan tiap tahun selalu
ada perubahan proses bisnis misalnya tahun kemarin adanya pergantian
kode barang terkait dengan Perubahan PMK Nomor: 97/PMK.06/1997
menjadi PMK Nomor: 29/PMK.06/2010 tentang Penggolongan dan
Kodefikasi BMN
SP : Dampaknya apa mas?
AM : Kita harus cepat membuat update aplikasi Modul KN, namun karena
terbatasnya waktu dan sumberdaya masih terdapat error di aplikasi
tersebut sehingga menyulitkan operator di KPKNL/Kanwil.
SP : Permasalahan apalagi yang ditemui?
Universitas Indonesia
Universitas Indonesia
SP : Sigit Prasetyo
AF : Arizal Fauzi
Universitas Indonesia
Universitas Indonesia
SP : Sigit Prasetyo
AP : Agus Setyo Pambudi
Universitas Indonesia
SP : Prosesnya mirip dengan analisis yang saya kerjakan di penelitian saya pak.
Bagaimana menentukan tingkat dampak dan kecenderungannya?
AP : Kita melakukan rapat di lingkungan unit eselon II untuk menentukan
tingkat dampak tersebut.
SP : Di PMK sebenarnya ada definisi tingkat dampak dan kecenderungan pak
tapi saya rasa terlalu umum masih kurang jelas.
AP : Makanya kita tentukan tingkat tersebut dengan melalui rapat tadi dengan
diskusi penentuan tingkatannya.
SP : Begini pak, saya sebenernya juga ingin membuat tingkat dampak dan
kecenderungan tapi belum punya gambaran terkait tesis saya tentang
manajemen risiko keamanan informasi di Modul KN. Kira-kira tingkat
dampak untuk Modul KN itu seperti apa? Kita kan punya sekitar 95 kantor
operasional apakah bisa ditentukan?
AP : Sebenarnya bisa kita tentukan sendiri berdasarkan pengalaman kejadian
masa lalu, terkait aplikasi Modul KN kalau ada permasalahan kurang dari
5 kantor operasional biasanya masih rendah, bila sampai sekitar 20-25
kantor kita golongkan sedang tapi kalo lebih dari itu tinggi.
SP : Apakah sudah ada standar semacam itu pak?
AP : Untuk saat ini belum ada.
SP : Kalau terkait dengan availability seperti apa pak? Misalnya tingkat
availability dari layanan pendukung aplikasi Modul KN?
AP : Itu juga belum ada standarnya. Biasanya kalau rendah itu misalnya
gangguan di pagi hari maksimal siang sebelum istirahat sudah selesai,
kalau sedang itu selesai satu hari kerja, tinggi biasanya lebih dari 1 hari
jam.
SP : Untuk saat ini standar apa saja yang sudah ditetapkan?
AP : Standar pemasangan jaringan, penamaan komputer, pembangunan data
center di kantor operasional. Istilahnya masih banyak di bidang hardware.
SP : Terkait dengan pengurangan risiko dimana harus terdapat kontrol
tambahan, kira-kira seperti apa kriteria kontrol tersebut?
AP : Harus terdapat dukungan dana dan unit yang bertanggung jawab, efektif
dan efisien, tidak mengganggu proses bisnis dan terdapat manfaat.
Universitas Indonesia
Universitas Indonesia
AP : Hasil keputusan nilai residual yang diharapkan rendah kan hasil dari
Forum Group Discussion (FGD) dari perwakilan unit eselon II di DJKN
mas. Saya kira pakai patokan itu saja.
SP : Baik pak. Saya rasa sudah cukup. Terima Kasih pak.
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Universitas Indonesia
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Universitas Indonesia
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Tabel C.12 Matriks evaluasi risiko untuk A6 dan T6
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Universitas Indonesia
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Tabel C.14 Matriks evaluasi risiko untuk A7 dan T6
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Universitas Indonesia
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Tabel C.20 Matriks evaluasi risiko untuk A12 dan T3
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Universitas Indonesia
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Tabel C.24 Matriks evaluasi risiko untuk A15 dan T1
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Universitas Indonesia
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Tabel C.28 Matriks evaluasi risiko untuk A18 dan T10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Universitas Indonesia
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Tabel C.32 Matriks evaluasi risiko untuk A20 dan T11
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Universitas Indonesia
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Universitas Indonesia
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Kecenderungan
Tinggi (1.0) Rendah Sedang Tinggi
10 x 1.0 = 10 50 x 1.0 =50 100 x 1.0 = 100
Sedang (0.5) Rendah Sedang Sedang
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Rendah (0.1) Rendah Rendah Rendah
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia