Perencanaan Keamanan Sistem Informasi pada aspek Operasional Bank BRI Berdasarkan Analisis

Risiko Teknologi Informasi Menggunakan Metode OCTAVE

Abstrak

Penulisan ini bertujuan untuk menganalisa risiko informasi terhadap Bank BRI, untuk mendapatkan
tingkat kerawanan informasi dan untuk menghasilkan rekomendasi strategis untuk membantu
kerentanan informasi di Bank Rakyat Indonesia dengan metode Octave Allegro. Penilaian risiko yang
dinilai mencakup aset kritis yang mendukung kinerja perusahaan, seperti dari aspek (1) Hardware, (2)
Software, (3) Network, (4) Network, (5) People, dan (6) Informasi. Bank akan diberikan rekomendasi
atas dampak yang akan ditimbulkan pada setiap asset kritis atas setiap ancaman yang akan terjadi.
Bank juga akan diberikan informasi manajemen risiko strategi perlindungan, yaitu dokumen mitigasi
dan rencana kemungkinan untuk menghadapi setiap ancaman yang akan terjadi terhadap aset kritis.

1. PENDAHULUAN

Risiko merupakan ketidaktentuan “uncertainty” yang mungkin melahirkan peristiwa

kerugian “loss” (A. Abas Salim). Dalam satu referensi dikatakan manajemen risiko merupakan
proses identifikasi, pengukuran, dan kontrol keuangan dari sebuah risiko yang mengancam
aset dan penghasilan dari sebuah perusahaan atau proyek yang dapat menimbulkan
kerusakan atau kerugian pada perusahaan tersebut. (Smith, 1990).

Penulis menganalisa hubungan antara aset dan risiko dengan pendekatan Octave Allegro.

1.2 Metodologi Penelitian

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) atau
ancaman kritis operasional, Aset, dan Evaluasi Kerentanan) adalah seperangkat alat, teknik,
dan metode untuk menilai strategi keamanan informasi yang berbasis risiko dan perencanaan.
Metode octave adalah sebuah pendekatan yang digunakan untuk menilai kebutuhan
keamanan informasi organisasi. Octave Allegro adalah metode yang paling baru-baru ini
dikembangkan dan secara aktif dan didukung oleh Divisi CERT. Dua metode yang lebih tua,
Octave dan Octave-S, masih tersedia, tetapi sebagian besar organisasi dapat menggunakan
Octave Allegro dengan sukses. Fitur dan manfaat dari semua metode Octave meliputi:

 self-directed – Tim kecil beranggotakn personil organisasi di seluruh unit bisnis dan TI
yang saling bekerja sama untuk mengatasi kebutuhan keamanan organisasi.
 Flexible – Setiap metode dapat disesuaikan dengan lingkungan organisasi yang unik
berdasarkan risiko, tujuan keamanan dan ketahanan, dan tingkat keterampilan.
 Evolved – Octave menggerakkan organisasi menuju pandangan berbasis risiko
operasional keamanan dan teknologi dalam konteks bisnis.
2. PEMBAHASAN
Adapun pelaksanaan penilaian risiko terhadap implementasi Teknologi Informasi yang dilakukan pada
bank indonesia berdasarkan delapan fase atau langkah utama dalam metode OCTAVE Allegro adalah
sebagai berikut.

2.1 Indentifikasi Aset Kritis

Daftar aset kritis pada aspek operasional yang dimiliki oleh bidang IT Bank Rakyat Indonesia
yang didapatkan dengan melakukan observasi dari data laporan keuangan BRI 30 September 2017.
Berikut merupakan tabel dari hasl identifikasi aset.

Tabel 1. Daftar Aset Kritis

No Kategori Aset
1 Hardware PC
ATM
Server
Router
Kabel Jaringan

2 Software Aplikasi ATM

3 Network Jaringan Internet

4 People Admin
Nasabah

5 Informasi Data Nasabah (Tabungan)

2.2 Indentifikasi Ancaman

Proses identifikasi ancaman dilakukan dengan menentukan kejadian yang memiliki
probabilitas terjadinya risiko baik disebabkan oleh faktor internal maupun eksternal.Hasil dari
identifikasi ancaman dapat dilihat pada tabel berikut.

Tabel 2. Identifikasi Ancaman

No Ancaman
1 Kerusakan Fisik Aset
2 Power Failur
3 Memori Penuh
4 Server Down
5 Kerusakan Sistem Pada Aset
6 Pencurian Perangkat Aset
7 Penyalahgunaan Aplikasi
8 Terserang Virus
9 Serangan Hacker
 10 Penyalahgunaan Hak Akses
11 Kehilangan Data atau Informasi
12 Pencurian Data atau Informasi
13 Kerusakan Infranstruktur Jaringan
14 Kabel Putus
15 Penyalahgunaan Teknologi Informasi

2.3 Indentifikasi Risiko

Pada tahap identifikasi risiko, dapat dilihat dari dua aspek utama yaitu kemungkinan ancaman
serta kerentanan yang dimiliki oleh instansi tersebut. Hasil identifikasi risiko dapat dilihat pada tabel
berikut

Tabel 3. Identifikasi Risiko

No Aset Ancaman
1 PC Kerusakan Fisik Aset
Power Failure
Memori Penuh

2 ATM Kerusakan Fisik Aset

Penyalahgunaan Hak Akses
Power Failure

3 Database Server Server Down

Kerusakan Fisik Aset
Memory Penuh

4 Router Kerusakan Fisik Aset

Power Failure

5 Kabel Jaringan Kerusakan Infrastruktur Jaringan

Kabel Terputus

6 Aplikasi ATM Penyalahgunaan Aplikasi

Terserang virus
Terserang Hacker
Penyalahgunaan Hak Akses

7 Jaringan Internet Kecepatan Internet yang tidak stabil

8 Admin Pencurian data atau informasi

Menggunakan teknologi informasi yang tidak sesuai dengan
fungsinya
Penyalahgunaan hak akses

9 Nasabah Menggunakan teknologi informasi yang tidak sesuai dengan

fungsinya
Penyalahgunaan hak akses
 10 Data Nasabah ,Tabungan, Kehilangan data atau informasi
Pencurian data atau informasi

2.3 ANALISIS

2.3.1 Penilaian Risiko

Berdasarkan hasil risiko yang telah teridentifikasi, penilaian risiko dilakukan
berdasarkan 3 parameter yaitu Rendah, Sedang, dan Tinggi. Semakin tinggi resiko yang akan
terjadi, semakin besar juga dampak yang di akibatkan kepada perusahaan, sedangkan
semakin rendah resiko bisa di artikan sedikit mudah dan cepat dalam proses perbaikan
setiap aset yang bermasalah, hasil dari penilaian risiko tersebut akan digunakan untuk
menentukan prioritas risiko yang akan diberikan perhatian terlebih dahulu.

Kategori
No Eset Rendah Sedang Tinggi
1 PC Kerusakan Fisik Aset,
Power Failure,
Memori Penuh akan
berpengaruh pada
operasional pada
perusahaan.
2 ATM Kerusakan Fisik Aset,
Penyalahgunaan Hak
Akses, Power Failure,
akan berpengaruh
pada operasional pada
perusahaan
3 Database Server Database server
merupakan aset yang
sangat vital pada
rumah sakit karena
digunakan sebagai
tempat penyimpanan
data yang sensitif
secara keseluruhan,
mulai dari data-data
yang sederhana
hingga data yang
kompleks.
4 Router Kerusakan Fisik Aset
Power Failure akan
berpengaruh pada
operasional pada
perusahaan
5 Kabel Jaringan Kerusakan
Infrastruktur Jaringan,
Kabel Terputus, akan
berpengaruh pada
operasional pada
perusahaan
6 Aplikasi ATM Merupakan aplikasi
utama yang
digunakan nasabah
dalam melihat,
mengirim, mengambil
uang dll, sehingga
mengakibatkan resiko
yang tinggi jika terjadi
erorr pada aplikasi.
7 Jaringan Internet Kecepatan Internet
yang tidak stabil akan
mengakibatkan
terlambatnya data
atau informasi yang di
kirimkan ke server
perusahaan
8 Admin Beberapa resiko yang
di sebabkan oleh
Admin adalah
termasuk ancaman
jenis internal, selain
bisa pencurian data
yang akan sangat
beresiko, bisa terjadi
juga melakukan hal
hal yang
menyebabkan eror
pada aplikasi lain
9 Nasabah Bebepa hal kejahatan
atau Penyalahgunaan
hak akses, akan
berpengaruh pada
reputasi perusahaan
itu sendiri
10 Data Nasabah Data Pribadi Nasabah,
,Tabungan Tabungan yang di
miliki nasabah adalah
asset penting dan
utama dalam
perusahaan bank, dan
jika hal tersebut
mengalami masalah
akan sangat
berdamapak buruk
pada setiap
sektornya.
 2.3.1 Ranking Risiko
Pada tahap ini daftar risiko akan diurutkan berdasarkan hasil perhitungan nilai Risk Priority
Number yang tertinggi hingga terendah berdasarkan risiko pada masing-masing aset.
Ranking Aset
1 Database Server
2 Aplikasi ATM
3 Admin
4 Nasabah
5 Data Nasabah , Tabungan
6 Jaringan Internet
7 PC
8 ATM
9 Router
10 Kabel Jaringan

2.4 REKOMENDASI

2.4.1 Mitigasi Risiko

Pada tahap ini peneliti memberikan rekomendasi pengendalian risiko pada setiap bentuk
risiko yang memiliki. Hasil rekomendasi pengendalian risiko akan ditunjukkan pada tabel
berikut.

Tabel 4. Rekomendasi Pengendalian Risiko

Aset Risiko Rekomedasi
PC Kerusakan Fisik Melakukan pengecekan dan perbaikan pada kerusakan fisik
setiap minggunya, tujuannya agar terhindar dari kerugian atau
ancaman yang lebih parah terhadap asset yang berkaitan.

ATM Kerusakan Fisik Melakukan pengecekan dan perbaikan pada kerusakan fisik
setiap minggunya, tujuannya agar terhindar dari kerugian atau
ancaman yang lebih parah terhadap asset yang berkaitan.

Database Kerusakan Fisik Melakukan pengecekan dan perbaikan pada kerusakan fisik
Server setiap minggunya, tujuannya agar terhindar dari kerugian atau
ancaman yang lebih parah terhadap asset yang berkaitan.

Server database down Melakukan penambahan tempat database baru, yang fungsinya
tidak hanya untuk menampung data data saja tetapi untuk
tempat user untuk mengakses data pada database.

Router Kerusakan Fisik Melakukan pengecekan dan perbaikan pada kerusakan fisik
setiap minggunya, tujuannya agar terhindar dari kerugian atau
ancaman yang lebih parah terhadap asset yang berkaitan.
 Aplikasi Terserang virus Memberikan anti virus kedalam aplikasi dan melakukan
ATM pengecekan rutin seminggu sekali, tujuannya agar
meminimalisir terserangnya virus.

Kabel Kabel jaringan Melakukan pengecekan dan perbaikan pada Infrastruktur

Jaringan terputus Jaringan setiap minggunya, tujuannya agar terhindar dari
kerugian atau ancaman yang lebih parah terhadap asset yang
berkaitan.

Sumber Mengguna kan Memberikan sangsi terhadap pelaku yang berniat melakukan
daya teknologi informasi kejahatan yang merugikan perusahaan dari pencemaran nama
manusia yang tidak sesuai baik perusahaan, kerugian finansial dll, untuk meminimalisirnya
dengan fungsinya dengan memberikan pelatihan mengenai manajemen insiden.
Dengan adanya kegiatan ini maka pihak bank dapat
meningkatkan kewaspadaan dalam menjalankan proses
bisnisnya.

Data hilang data atau Hilangnya data di akibatkan yang paling besar ditimbulkan
Nasabah informasi melalui akses jaringan. Dalam hal ini berasal dari pihak external
(Tabungan) perusahaan yang melakukannya secara sengaja. Modifikasi
data yang dilakukan akan mengakibatkan data rumah sakit
mungkin saja diubah – ubah atau dicuri oleh pelaku untuk
kepentingan pribadi sehingga data menjadi rusak dan tidak asli
lagi.
untuk meminimalisirnya dengan memberikan pelatihan
mengenai manajemen insiden. Dengan adanya kegiatan ini
maka pihak bank dapat meningkatkan kewaspadaan dalam
menjalankan proses bisnisnya.

2.6 KESIMPULAN DAN SARAN

2.6.1 Kesimpulan
Berdasarkan hasil penelitian yang telah telah dilakukan, maka dapat disimpulkan :
1. Terdapat 10 aset kritis yang digunakan pada bidang IT Bank Rakyat Indonesia.
2. Dan teridentifikasi 15 ancaman yang terdapat dari asset yang diketahui.

2.6.2 Saran
Berikut ini adalah saran yang dapat berikan pada penelitian berikutnya :
1. Mengimplementasikan hasil rekomendasi terhadap resiko yang diberikan untuk mengetahui
tingkat efektifitas hasil analisa risiko dengan rekomendasi yang diberikan.