Anda di halaman 1dari 17

UAS ANALISIS RESIKO SISTEM INFORMASI

Analisis Resiko Keamanan Informasi Sistem Digital Library


Universitas Esa Unggul

Alyssa Noveria Salsabila (11)


Program Studi Sistem Informasi, Universitas Esa Unggul, Jakarta, Indonesia
e-mail: ichaalyssa28@gmail.com

Abstrak
UPT Perpustakaan Universitas Esa Unggul merupakan salah satu unit yang sudah
menerapkan sistem Digital Library dalam pelaksanaan kegiatannya, seperti proses
pencarian buku, peminjaman buku, sampai proses unggah skripsi bagi mahasiswa sebagai
salah satu persyaratan dalam kelulusan. Dari semua tahapan kegiatan tersebut terdapat
celah kerawanan keamanan informasi. Jika permasalahan ini tidak dapat diperbaiki
secara berkelanjutan, alhasil akan memberikan dampak ataupun resiko kepada
keberlangsungan sistem ini, khusunya pustakwan dan pemustaka. Analisis resiko ini
dilakukan sampai tahap penilaian resiko menggunakan NIST SP 800-100 sebagai metode
yang digunakan untuk menyelesaikan permasalahan tersebut. Maka berdasarkan hasil
penelitian yang telah dilakukan, Digital Library memiliki 10 level resiko tinggi, dan 3 level
resiko sedang.

Kata kunci: Analisis Resiko, Keamanan Informasi, NIST SP 800-100, Penilaian Resiko,
Digital Library

Abstract
UPT Esa Unggul University Library is one of the units that has implemented the
Digital Library system in the implementation of its activities, such as the process of
searching for books, borrowing books, to the process of uploading a thesis for students as
one of the requirements in graduation. From all stages of the activity there is an
information security vulnerability gap. If this problem cannot be fixed on an ongoing
basis, the result will be an impact or risk to the sustainability of this system, especially
librarians and users. This risk analysis is carried out until the risk assessment stage using
NIST SP 800-100 as the method used to resolve the issue. So based on the results of
research that has been done, Digital Library has 10 levels of high risk, and 3 levels of
moderate risk.

Keywords: Risk Analysis, Information Security, NIST SP 800-100, Risk Assessment,


Digital Library

1. Pendahuluan
Undang-Undang Nomor 43 Tahun 2007 tentang perpustakaan menyebutkan bahwa
perpustakaan adalah institusi pengelola koleksi karya tulis, karya cetak, atau karya rekam
secara professional dengan sistem yang baku guna memenuhi kebutuhan pendidikan,
penelitian, pelestarian, informasi, dan rekreasi para pustakawan. Sifat sistem informasi
yang mudah diakses dan digunakan menjadi alasan utama dipilih UPT Universitas Esa
Unggul untuk pelayanan informasi perpustakaan.

1
UAS ANALISIS RESIKO SISTEM INFORMASI

Ketika transformasi layanan perpustakaan yang bersifat "book-centric" berubah


kearah "user-centric" dengan penerapan teknologi web, perpustakaan tanpa sadar
meninggalkan kegiatan pengelolaan aset informasi beserta sistem informasi sebagai sarana
utama dalam memberikan layanan kepada pemustaka. Teknologi web memberikan
kemudahan untuk mengakses informasi cepat dan murah yang disediakan oleh website
maupun pustaka digital. Selain manfaat berupa kecepatan dan kemudahan akses, teknologi
web rentan terhadap sabotase serta tindak kejahatan (Suduc, 2010). Apabila terjadi hal
yang demikian maka sistem informasi perpustakaan tidak bisa memproses, menyimpan dan
mendistribusikan informasi kepada pemustaka dan perpustakaan.

UPT Perpustakaan Universitas Esa Unggul yang merupakan salah satu unit yang
sudah menerapkan sistem informasi dalam pelaksanaan kegiatannya, seperti proses
pencarian buku, peminjaman buku, sampai proses unggah skripsi bagi mahasiswa sebagai
salah satu persyaratan dalam kelulusan. Tahapan pelayanan yang dilakukan UPT
Perpustakaan Universitas Esa Unggul terdapat beberapa kegiatan dimana kegiatan tersebut
mulai dari peminjaman, pengembalian, dan unggah skripsi. Dari semua tahapan kegiatan
tersebut dapat terkena resiko seperti pencurian data, joy computing, hacking, data diddling
dan menjadi resiko atau ancaman bagi sistem informasi yang ada pada UPT Perpustakaan
Esa Unggul, masalah-masalah tersebut yang akhirnya manjadi sebuah penghambat bagi
proses pelayanan kepada pemustaka yang menggunakan sistem informasi.

Penelitian ini bertujuan untuk mendeskripsikan pelaksanaan analisis resiko sistem


informasi perpustakaan di Perpustakaan Universitas Esa Unggul dalam melakukan analisis
penilaian resiko (risk assessment) dengan menggunakan framework NIST SP 800-100.

2. Kajian Pustaka
2.1 Resiko
Definisi resiko menurut Pinontoan (2010) resiko adalah suatu peluang, dampak
negatif dari pelaksanaan kerentanan, mempertimbangkan probabilitas dan dampak dari
resiko. perusahaan dapat memperkecil resiko dengan melakukan antisipasi berupa kontrol,
namun tidak mungkin dapat sepenuhnya menghindari adanya exposure, bahkan dengan
struktur pengendalian maksimal sekalipun.

Menurut Darmawi (2006) resiko adalah kemungkinan akan terjadinya akibat buruk
atau akibat yang merugikan, seperti kemungkinan kehilangan, cedera, kebakaran dan
sebagainya. Dalam resiko tidak ada metode apapun yang bisa menjamin seratus persen
bahwa akibat buruk itu setiap saat dapat dihindarkan, kecuali kalau kegiatan yang
mengandung unsur resiko tidak dilakukan.

2.2 Keamanan Informasi


Menurut ISO27002 (2005), keamanan informasi adalah melindungi informasi dari
berbagai ancaman demi menjamin kelangsungan proses bisnis, meminimalisir resiko bisnis
dan memaksimalkan laba investasi dan peluang bisnis. Keamanan informasi dapat
dibentuk dengan cara menerapkan suatu set kontrol yang termasuk didalamnya kebijakan,
proses, prosedur, struktur oganisasi serta fungsi dari perangkat lunak dan perangkat keras.
Kontrol tersebut perlu ditetapkan, dilaksanakan, dipantau, dikaji ulang dan disempurnakan
demi menjamin keamanan dan tercapainya tujuan bisnis organisasi.

2.3 Penilaian Resiko (Risk Assessment)

2
UAS ANALISIS RESIKO SISTEM INFORMASI

Menurut Whitman dan Mattord (2006) dalam menggunakan sebuah framework


manajemen resiko, ada beberapa hal yang harus diperhatikan:
a. Resiko dan dampak sebaiknya dipandang secara keseluruhan dari sudut pandang
perspektif bisnis.
b. Resiko berpengaruh secara signifikan jika memiliki dampak terhadap bisnis.
c. Framework yang akan digunakan haruslah menyediakan bentuk dasar untuk
melakukan evaluasi segala macam resiko, mulai dari insiden keamanan informasi
yang besifat kecil hingga yang berpotensi bencana.

Menurut Jones dan Ashenden (2005) terdapat formula untuk mengukur resiko yaitu:
Resiko = Threat x Vulnerability x Impact

Maksud pernyataan dari formula diatas adalah threat akan melakukan eksploitasi
vulnerability sehingga dapat menyebabkan impact terhadap sistem, sehingga menjadikan
hal tersebut sebagai resiko terhadap organisasi. Oleh karena itu jika tidak ditemukan threat,
vulnerability dan impact maka tidak terdapat resiko.

2.4 Metode NIST SP 800-100


NIST SP 800-100 adalah dokumen standar yang dikembangkan oleh National
Institute of Standards and Technology Special Publication yang mana merupakan
kelanjutan dari tanggung jawab hukum di bawah undang-undang Federal Information
Security Management Act (FISMA) tahun 2002. Terdapat tiga proses dalam manajemen
resiko yang dikeluarkan oleh NIST SP 800-100 yaitu penilaian resiko (risk assessment),
mitigasi resiko (risk mitigation) dan evaluasi dan penilaian (evalution and assessment).
Tahapan penilaian resiko (risk assessment) berdasarkan NIST 800-100 yaitu (Pauline,
Joan, dan Mark, 2006):
1. System Characterization
Pada tahapan ini, batas-batas dari sistem TI harus diidentifikasi, termasuk
didalamnya asset, sumber daya dan informasi.
2. Threat Identification
Pertimbangan atas kemungkinan untuk muncul ancaman seperti sumber, potensi
kerawanan dan kontrol yang ada.
3. Vulnerability Identification
Identifikasi terhadap kerawanan digunakan untuk pengembangan dari daftar
kerawanan sistem yang dapat dimanfaatkan nantinya.
4. Risk Analysis
Analisis resiko adalah penentuan (atau estimasi) resiko terhadap sistem. Analisis
resiko terdapat empat langkah, yaitu:
4.1 Control Analysis
Analisis terhadap kontrol yang telah dilaksanakan atau direncanakan untuk
implementasi oleh organisasi untuk minimalisir atau menghilangkan
kemungkinan-kemungkinan pengembangan dari ancaman.
4.2 Likelihood Determination
Proses rangking terhadap potensi dari kerawanandapat dilaksanakan dalam
lingkungan dari kerawanan tersebut. Faktor yang menjadi pertimbangan adalah
ancaman (sumber dan kemampuan), sifat dari kerawanan serta keberadaan dan
efektifitas kontrol jika diterapkan.
4.3 Impact Analysis

3
UAS ANALISIS RESIKO SISTEM INFORMASI

Tahapan ini digunakan untuk menentukan dampak negatif yang dihasilkan dari
keberhasilan penerapan kerawanan.
4.4 Risk Determination
Penilaian tingkat resiko pada sistem IT dilakukan pada langkah ini.
5. Control Recommendations
Tahapan ini menilai kontrol yang mana dapat mengurangi atau menghilangkan
resiko yang telah teridentifikasi. kontrol yang direkomendasikan sebaiknya harus
dapat mengurangi tingkat resiko pada sistem IT dan data, kepada tingkat resiko
yang dapat diterima.
6. Result Recommendations
Pada tahap ini, dilakukan pengembangan laporan hasil penilaian resiko (sumber
ancaman, kerawanan, resiko yang dinilai dan kontrol yang direkomendasikan).
Langkah-langkah penilaian resiko (risk assessment)dilakukan secara bersamaan atau
hampir bersamaan karena mereka sangat terkait satu sama lain.

Gambar 1. Risk Assessment NIST SP 800-100

3. Metode Penelitian
3.1 Jenis Penelitian
Pada penelitian ini menggunakan metode kualitatif dengan pendekatan studi kasus.
Penelitian ini dilakukan dengan cara melakukan pengamatan langsung (observasi) untuk
mengumpulkan data yang menghasilkan data sebagai hipotesis awal dari proses analisis
resiko yang akan dilakukan serta mendeskripsikan hal-hal yang berkaitan dengan obyek
penlitian.

3.2 Metode NIST 800-100


Selain itu pelaksanaan analisis resiko pada digital library dengan menggunakan
kerangka kerja manajemen resiko NIST special publication 800-100 sistem Digital
Library. Pada penilitian ini penulis hanya melakuakn pelaksanaan analisis resiko hanya
sampai tahap penilaian resiko (risk assessment)

4. Hasil dan Pembahasan


4.1 Proses Penilaian Resiko (Risk Assessment)
Tahapan penilaian resiko menggunakan framework NIST SP 800-100 meliputi proses
sebagai berikut:

4.1.1 System Characterization

4
UAS ANALISIS RESIKO SISTEM INFORMASI

Karakteristik sistem yang meliputi sistem informasi Digital Library meliputi,


perangkat keras, perangkat lunak, data dan informasi, peralatan jaringan serta operator.
Perangkat keras untuk client menggunakan personal komputer dengan perangkat lunak,
windows 7 dan windows 8. Untuk server menggunakan apache server dan mysql server,
yang secara umum menggunakan virtual server. Operator terbagi menjadi operator
untuk pustakawan dan untuk administrator sistem. Klasifikasi data dan informasi
meliputi data masukan dari sistem, Data dan informasi meliputi data masukan yaitu
mahasiswa, peminjaman, pengembalian, dan data koleksi. Berikut adalah suatu daftar
yang berisi dari semua aset yang dimiliki oleh sistem Digital Library. Identifikasi ini
juga berguna untuk mengetahui resiko apa saja yang mungkin dialami oleh suatu aset
Digital Library Esa Unggul dengan jenis tertentu.

No. Asset
1. PC Client + OS
2. PC Operator + OS
3. PC Admin + OS
4. Virtual Server
5. Database Server
6. Data Koleksi Library
7. Data Pemustaka
8. Data Informasi
9. Layanan Internet
10. Layanan Listrik
Tabel 1. System Characterization

4.1.2Threat Identification
Identifikasi ancaman yang menghambat pelayanan Digital Library Universitas
Esa Unggul dapat dilihat pada Tabel 2.

ID Threat Source Threat Description

bocornya data
T1. Individu diluar Data Leakage
organisasi

pemustaka
atau data
lainnya
ke luar
terutama
mengenai data
5
UAS ANALISIS RESIKO SISTEM INFORMASI

yang harus
dirahasiakan
bocornya data
pemustaka
atau data
lainnya
ke luar
terutama
mengenai data
yang harus
dirahasiakan
bocornya data
pemust
Bocornya data pemustaka atau data lainnya
keluar terutama mengenai data yang harus
dirahasiakan.
T2. Individu diluar Pencurian data koleksi
organisasi Digital Library
Pencurian data koleksi ini dapat diakses
keluar dan dapat diperjual belikan secara
illegal.
T3. Individu diluar Pemakaian sistem
organisasi komputer tanpa izin Kemungkinan ada orang lain dapat
mengakses selain programer dan pustawakan
merusak atau mengubah database server.
T4. Individu didalam Pemberian password Keamanan hak akses hanya sebatas hanya
organisasi kepada orang lain sebatas pemberian password. Ada
kemungkinan orang lain dapat menghack
password admin.

6
UAS ANALISIS RESIKO SISTEM INFORMASI

erver gagal be
T5. Perlengkapan TI Serangan DoS (Denial
(jaringan Of Service)
komunikasi data) Server gagal berfungsi dikarenakan
banyaknya perintah yang masuk.
T6. Individu diluar Pemalsuan data dalam d
organisasi peminjaman buku Data Diddling (mengubah data valid dengan
cara tidak sah)
T7. Individu didalam Ketidaksesuaian data
organisasi pada stok di sistem dan Kesalahan pada SDM yang ada di
stok fisik perpustakaan
T8. Individu didalam Redundant data
organisasi Adanya duplikasi data pada sistem
T9. Perlengkapan TI Backup server hang
(media Ketergantungan pada kemampuan server
penyimpanan sistem informasi.
pada server)
T10. Sistem Informasi Virus/worm
Tidak adanya pemasangan software antivirus
T11. Perlengkapan TI Gagal fungsi media
(media penyimpanan Gagal fungsi media penyimpanan, seperti :
penyimpanan disk error atau disk full.
pada server)
T12. Individu diluar Pencurian Hardware
organisasi Ruangan tidak tersecure dengan baik.
T13. Individu diluar Terhentinya layanan
organisasi atau putus (listrik dan Sistem mati, bisa terjadi kehilangan data
internet)
Tabel 2. Threat Identification

bocornya data pemustaka


atau data lainnya
ke luar terutama mengenai
data yang harus
dirahasiakan
4.1.3 Vulnerability Identification
Identifikasi terhadap celah kerawanan pada Digital Library Universitas Esa
Unggul menggunakan tools penetration testing Acunetix. Hasil identifikasi celah
kerawanan oleh Acunetix adalah sebanyak 1 celah kerawanan dikategorikan sedang,
serta sebanyak 2 kerawanan dikategorikan informasi. Berdasarkan hasil tersebut
Acunetix menilai bahwa celah kerawanan Digital Library Universitas Esa Unggul
berada pada level 2 (MEDIUM).

7
UAS ANALISIS RESIKO SISTEM INFORMASI

Gambar 2. Hasil Identifikasi Kerentanan dengan Acunetix

Berikut adalah tabel identifikasi kerentanan pada Digital Library Universitas


Esa Unggul.

ID Resiko (Ancaman) Vulnerability


T1. Data Leakage HTML from without CSRF protection
T2. Pencurian data koleksi Digital Library Sistem tidak terenkripsi
T3. Pemakaian sistem computer tanpa izin Otorisasi hak akses yang berkaitan dengan
data
T4. Pemberian password kepada orang lain Penggunaan password secara Bersama-sama
T5. Serangan DoS Content Security Policy (CSP) not
implemented
T6. Pemalsuan data dalam peminjaman buku Kemanan (Security) sistem yang di publish
T7. Ketidaksesuaian data pada stok di sistem dan Human Error
stok fisik
T8. Redundant data Human Error
T9. Backup server hang Tidak memiliki keamanan pada server
database
T10 Virus/worm Tidak melakuakan update pada perangkat
. lunak
T11 Gagal fungsi media penyimpanan Adanya virus pada server
.
T12 Pencurian Hardware Ruangan tempat penyimpanan hardware tidak
. dikunci
T13 Terhentinya layanan atau putus (listrik dan Aliran listrik tidak stabil, kurangnya volt pada
. internet) aliran listrik
Tabel 3. Vulnerability Identification

4.1.4 Risk Analysis


Pada tahap ini dilakukan penilaian resiko dan mengetahui tingkat resiko dan
dampak yang ditimbulkan hal tersebut akan berpengaruh besar terhadap pengolahan
data Teknologi Informasi. Pada penilaian resiko ini nantinya akan mempresentasikan
hasil resiko yang didapatkan menjadi tiga kategori utaman, yaitu high, low, atau
medium.
8
UAS ANALISIS RESIKO SISTEM INFORMASI

Penilaian Resiko = Likelihood x Impact

4.1.4.1 Control Analysis


Analisa kontrol secara khusus untuk kegiatan penilaian resiko belum
terdokumentasi, tetapi hanya berdasarkan pada pengetahuan dan kesadaran dari
pustakawan dalam mengenali, mendeteksi dan melaksanakan tindakan
pencegahan terhadap resiko yang mengancam seperti yang dapat dilihat pada
Tabel 4.

ID Threat Control
T1 Data Leakage Melakukan Bakup data secara berkala
T2 Pencurian data koleksi Digital Library Mengganti password secara berkala.
T3 Pemakaian sistem computer tanpa izin Mengaktifkan password pada setiap aktivitas
yang membutuhkan kerahasiaan
T4 Pemberian password kepada orang lain Mensosialisasikan kepada pemustaka dan
pustakawan untuk tidak memberi password
kepada orang lain.
T5 Serangan DoS IP blocking, Update perangkat
T6 Pemalsuan data dalam peminjaman buku Pemeriksaan KTM saat peminjaman buku
dengan memasang scan RFID KTM untuk
peminjaman buku
T7 Ketidaksesuaian data pada stok di sistem Maintenance data dalam periode tertentu
dan stok fisik
T8 Redundant data Filter pada sistem pencarian buku untuk
penghapusan data buku yang ganda
T9 Backup server hang Backup secara periodic
T10 Virus/worm Memasang anti-virus
T11 Gagal fungsi media penyimpanan Menambah kapasitas penyimpanan
T12 Pencurian Hardware Memasang CCTV pada setiap sisi perpustakaan
terutama ruang admin dan server
T13 Terhentinya layanan atau putus (listrik dan Perbaikan dan penambahan kapasitas genset
internet)
Tabel 4. Control Analysis

4.1.4.2 Likelihood Determination


Penentuan likelihood pada penelitian ini dapat dilihat pada Tabel 7.

Level Likelihood
Level Nilai Likelihood
1 Tidak Terjadi (<20%)
2-3 Jarang (20%-80%)
4-5 Terjadi (>80%)
Tabel 5. Level Likelihood

Definisi Level Likelihood


Nilai Likelihood Definisi
Tidak Terjadi Kondisi dari sumber resiko
tersebut sudah baik sehingga

9
UAS ANALISIS RESIKO SISTEM INFORMASI

resiko tersebut kecil kemungkinan


atau tidak terjadi. ( < 20% )
Jarang Kondisi dari sumber resiko
tersebut tidak terlalu buruk
sehingga kemungkinan terjadinya
resiko tersebut. (20%-80%).
Terjadi Kondisi dari sumber resiko
tersebut sudah buruk sehingga
resiko tersebut pasti terjadi.
(>80%).
Tabel 6. Definisi Level Likelihood

ID Threat Level Likelihood


T1 Data Leakage 3
T2 Pencurian data koleksi Digital Library 3
T3 Pemakaian sistem computer tanpa izin 4
T4 Pemberian password kepada orang lain 5
T5 Serangan DoS 3
T6 Pemalsuan data dalam peminjaman 4
buku
T7 Ketidaksesuaian data pada stok di 5
sistem dan stok fisik
T8 Redundant data 5
T9 Backup server hang 3
T1 Virus/worm 3
0
T1 Gagal fungsi media penyimpanan 2
1
T1 Pencurian Hardware 1
2
T1 Terhentinya layanan atau putus (listrik 1
3 dan internet)
Tabel 7. Likelihood Determination

4.1.4.3 Impact Analysis


Penentuan Impact pada penelitian ini dapat dilihat pada Tabel 7 dan 8.

Level Impact
Level Nilai Impact
1 Low
2-3 Medium
4-5 High
Tabel 7. Level Impact

Definisi Level Impact


Level Definisi
Low Tidak memiliki pengaruh,
sehingga aktivitas terlaksana.

10
UAS ANALISIS RESIKO SISTEM INFORMASI

Medium Pengaruh kecil, terhadap


kelangsungan aktivitas. Sehingga
aktivitas masih terlaksana.
High Pengaruh sangat besar, sehingga
aktivitasnya tidak terlaksana.
Tabel 8. Definisi Level Impact

ID Threat Impact Level


Impact
T1 Data Leakage Kebocoran data dapat terjadinya 4
penyalahgunaan data seperti pelanggaran
privasi pemustaka
T2 Pencurian data koleksi Data dapat diperjualbelikan secara illegal 4
Digital Library
T3 Pemakaian sistem komputer Sistem komputer dapat digunakan untuk 3
tanpa izin melakukan akses tidak sah
T4 Pemberian password kepada Pencurian data pribadi dan orang lain 3
orang lain dapat menggunakan hak akses pemustaka
T5 Serangan DoS Akses database oleh pihak yang tidak 4
terotorisasi, kehilangan dokumen sumber,
tidak ada sistem perlindungan yang
diaktifkan seperti IDS
T6 Pemalsuan data dalam Mengakibatkan kerugian pada pemilik 3
peminjaman buku KTM asli
T7 Ketidaksesuaian data pada Tidak adanya keterangan jumlah buku 2
stok di sistem dan stok fisik yang dipinjam dan sisa buku yang
dipinjam
T8 Redundant data Ditemukan data double untuk buku 2
yang berjudul sama
T9 Backup server hang Hilangnya reputasi perpustakaan sebagai 4
penyedia informasi dan Hilangnya
kemampuan perlindungan terhadap aset
informasi.
T10 Virus/worm Kegagalan operasi software, Kehilangan 4
data akibat virus, Terjadi perubahan data
akibat virus, Lemahnya sistem protektif
T11 Gagal fungsi media Dapat terjadi data loss atau hilangnya 4
penyimpanan data
T12 Pencurian Hardware Terhentinya kegiatan perpustakaan. 5
T13 Terhentinya layanan atau Terhentinya layanan informasi 5
putus (listrik dan internet) perpustakaan dan menurunnya
kemampuan sistem yang berakibat pada
kegagalan penilaian aset informasi yang
dilayankan.
Tabel 8. Impact Analysis

4.1.4.4 Risk Determination

11
UAS ANALISIS RESIKO SISTEM INFORMASI

Risk Level
Level Nilai Resiko
1-3 Low
3-8 Medium
9-15 High
Tabel 9.Risk Level

Definisi Risk Level


Risk Level Resiko deskripsi dan tindakan yang diperlukan
Low Jika observasi digambarkan sebagai resiko rendah,
menentukan apakah tindakan perbaikan masih
diperlukan atau memutuskan untuk menerima
resiko.
Medium Jika observasi dinilai sebagai resiko sedang,
tindakan perbaikan yang dibutuhkan dan rencana
harus dikembangkan untuk memasukkan tindakan
dalam jangka waktu yang wajar.
High Jika pengamatan atau temuan dievaluasi sebagai
resiko tinggi, ada kuat perlu untuk langkahlangkah
korektif. Sebuah sistem yang ada dapat terus
beroperasi, tapi rencana tindakan perbaikan harus
diletakkan di tempat sesegera mungkin.
Tabel 10. Definisi Risk Level

ID Threat Likelihood Impact Risk Risk Level


T1 Data Leakage 3 4 12 HIGH
T2 Pencurian data 3 4 12 HIGH
koleksi Digital
Library
T3 Pemakaian sistem 4 3 12 HIGH
komputer tanpa izin
T4 Pemberian password 5 3 15 HIGH
kepada orang lain
T5 Serangan DoS 3 4 12 HIGH
T6 Pemalsuan data 4 3 12 HIGH
dalam peminjaman
buku
T7 Ketidaksesuaian data 5 2 10 HIGH
pada stok di sistem
dan stok fisik
T8 Redundant data 5 2 10 HIGH
T9 Backup server hang 3 4 12 HIGH
T10 Virus/worm 3 4 12 HIGH
T11 Gagal fungsi media 2 4 8 MEDIUM
penyimpanan
T12 Pencurian Hardware 1 5 10 MEDIUM
T13 Terhentinya layanan 1 5 10 MEDIUM
atau putus (listrik dan

12
UAS ANALISIS RESIKO SISTEM INFORMASI

internet)
Tabel 11. Risk Determination

4.1.5 Control Recommendations


Dalam tahap ini bertujuannya untuk mengurangi level resiko pada sistem
informasi Digital Library Universitas Esa Unggul. Rekomendasi Kontrol dapat dilihat
dalam Tabel 12.
ID Threat Risk Level Control Recommendations
T1 Data Leakage HIGH - Memasang anti phising pada
sistem
- Melakukan Bakup data secara
berkala
T2 Pencurian data koleksi HIGH - Mengganti password secara
Digital Library berkala
- Memperbaharui OS dan
perangkat lunak.
T3 Pemakaian sistem HIGH - Modifikasi default security
computer tanpa izin system
- Manajemen password
T4 Pemberian password HIGH - Perubahaan password secara
kepada orang lain berkala
- Menjaga kerahasiaan
password
- Pengaturan password sesuai
tupoksi.
T5 Serangan DoS HIGH - Memasang firewall
- IP blockin
- Update perangkat
- Mengganti atau memasang
router yang baru
T6 Pemalsuan data dalam HIGH - Sebelum mahasiswa
peminjaman buku melakukan registrasi kartu
keanggotaan perpustakaan
mahasiswa harus melakukan
finger print recording dan
face recording.
T7 Ketidaksesuaian data pada HIGH - UPT Perpustakaan mendata
stok di sistem dan stok ulang dan meng cross check
fisik kembali stock buku dan yang
ada di sistem.
T8 Redundant data HIGH - Perlu melakukan filter pada
sistem pencarian buku untuk
penghapusan data buku yang
double
T9 Backup server hang HIGH - Penyediaan recovery backup
RAID
- Backup secara periodic
- Pemindahan server
13
UAS ANALISIS RESIKO SISTEM INFORMASI

- Cloud computing dan


Pembuatan dummy server
T10 Virus/worm HIGH - Mengelopokkan data
berdasarkan kegunaannya
secara jelas lalu meembuat
backupnya.
- Menggunakan antivirus yang
berlisensi
- Membuat file log yang
mencakup history dari sebuah
data
T11 Gagal fungsi media MEDIUM - Menambah kapasitas
penyimpanan penyimpanan
- Melakukan back up ulang.
- Mengganti media penyimpan
data dan melakukan back up
ulang secara manual.
T12 Pencurian Hardware MEDIUM - Memasang CCTV pada setiap
sisi perpustakaan terutama
ruang admin dan server.
- Memasang teralis besi pada
pintu dan jendela
- Asuransi asset
T13 Terhentinya layanan atau MEDIUM - Perbaikan dan penambahan
putus (listrik dan internet) kapasitas genset
- Pembelian dan penggunaan
UPS (uninterrupted power
supply)
Tabel 12. Control Recommendations

4.1.6 Result Recommendations


Hasil dari penilaian resiko didokumentasikan berupa profil resiko yang dapat
mengancam keberlangsungan sistem informasi, dan solusi pencegahan melalui
rekomendasi kontrol sebagai tindak lanjut proses berikutnya melalui kegiatan
peringanan resiko (Risk Mitigation).

Threat Asset Vulnerability Impact Risk Control


Level Recommendations
Data Leakage Data HTML from Kebocoran data HIGH - Memasang anti
Pemustaka without dapat terjadinya phising pada
CSRF penyalahgunaan sistem
protection data seperti - Melakukan Bakup
pelanggaran data secara berkala
privasi pemustaka
Pencurian data Data Koleksi Sistem tidak Data dapat HIGH - Mengganti
koleksi Digital Library terenkripsi diperjualbelikan password secara
Library secara illegal berkala
- Memperbaharui

14
UAS ANALISIS RESIKO SISTEM INFORMASI

OS dan perangkat
lunak.
Pemakaian PC + OS, Data Otorisasi hak Sistem komputer HIGH - Modifikasi default
sistem informasi akses yang dapat digunakan security system
computer tanpa berkaitan untuk melakukan - Manajemen
izin dengan data akses tidak sah password
Pemberian Data informasi Penggunaan Pencurian data HIGH - Perubahaan
password password pribadi dan orang password secara
kepada orang secara lain dapat berkala
lain Bersama- menggunakan hak - Menjaga
sama akses pemustaka kerahasiaan
password
- Pengaturan
password sesuai
tupoksi.
Serangan DoS Virtual server, Content Akses database HIGH - Memasang
database server Security oleh pihak yang firewall
Policy (CSP)
tidak terotorisasi, - IP blocking
not kehilangan - Update perangkat
implementeddokumen sumber, - Mengganti atau
tidak ada sistem memasang router
perlindungan yang yang baru
diaktifkan seperti
IDS
Pemalsuan data Data Kemanan Mengakibatkan HIGH - Sebelum
dalam pemustaka (Security) kerugian pada mahasiswa
peminjaman sistem yang pemilik KTM asli melakukan
buku di publish registrasi kartu
keanggotaan
perpustakaan
mahasiswa harus
melakukan finger
print recording
dan face
recording.
Ketidaksesuaia Data informasi Human Error Tidak adanya HIGH - UPT Perpustakaan
n data pada stok keterangan jumlah mendata ulang dan
di sistem dan buku yang meng cross check
stok fisik dipinjam dan sisa kembali stock
buku yang buku dan yang ada
dipinjam di sistem.
Redundant data Data koleksi Human Error Ditemukan data HIGH - Perlu melakukan
library double untuk filter pada sistem
buku yang pencarian buku
berjudul sama untuk
penghapusan data
buku yang double
Backup server Virtual server, Tidak Hilangnya reputasi HIGH - Penyediaan

15
UAS ANALISIS RESIKO SISTEM INFORMASI

hang database server memiliki


perpustakaan recovery backup
keamanan
sebagai penyedia RAID
pada server
informasi dan - Backup secara
database
Hilangnya periodic
kemampuan - Pemindahan server
perlindungan - Cloud computing
terhadap aset dan Pembuatan
informasi. dummy server
Virus/worm PC, OS, Data Tidak Kegagalan operasi HIGH - Mengelopokkan
Informasi melakuakan software, data berdasarkan
update pada Kehilangan data kegunaannya
perangkat akibat virus, secara jelas lalu
lunak Terjadi perubahan meembuat
data akibat virus, backupnya.
Lemahnya sistem - Menggunakan
protektif antivirus yang
berlisensi
- Membuat file log
yang mencakup
history dari sebuah
data
Gagal fungsi Database Adanya virus Dapat terjadi data MEDIU - Menambah
media server, data pada server loss atau M kapasitas
penyimpanan informasi hilangnya data penyimpanan
- Melakukan back
up ulang.
- Mengganti media
penyimpan data
dan melakukan
back up ulang
secara manual.
Pencurian PC, virtual Ruangan Terhentinya MEDIU - Memasang CCTV
Hardware server, tempat kegiatan M pada setiap sisi
database penyimpanan perpustakaan. perpustakaan
server. hardware terutama ruang
tidak dikunci admin dan server.
- Memasang teralis
besi pada pintu
dan jendela
- Asuransi aset
Terhentinya Layanan Aliran listrik Terhentinya MEDIU - Perbaikan dan
layanan atau internet dan tidak stabil, layanan informasi M penambahan
putus (listrik layanan listrik kurangnya perpustakaan dan kapasitas genset
dan internet) volt pada menurunnya - Pembelian dan
aliran listrik kemampuan penggunaan UPS
sistem yang (uninterrupted
berakibat pada power supply)
kegagalan

16
UAS ANALISIS RESIKO SISTEM INFORMASI

penilaian aset
informasi yang
dilayankan.
Tabel 13. Result Recommendations

5. Kesimpulan
Proses penilaian resiko (risk assessment) mendeskripsikan profil resiko yang
mengancam sistem informasi perpustakaan berdasarkan rangking level resiko meliputi
jenis resiko yang berasal dari individu luar organisasi, individu dalam organisasi, maupun
resiko dari perlengkapan TI itu sendiri. Resiko individu luar organisasi terdiri dari Data
Leakage dengan level resiko high, pencurian data koleksi Digital Library dengan level
resiko high, pemakaian sistem komputer tanpa izin dengan level resiko high, pemalsuan
data dalam peminjaman buku dengan level resiko high, pencurian dengan level resiko
medium, dan terhentinya layanan listrik dan internet dengan level medium. Jenis resiko
individu dalam organisasi dan resiko perlengkapan TI teridentifikasi profil resiko dengan
level high. Perpustakaan Universitas Esa Unggul belum memiliki dokumentasi penilaian
resiko sebagai standar kegiatan dalam proses penanganan sumber ancaman yang
menghambat sistem Digital Library. Penilaian resiko hanya berdasarkan kejadian yang
bersifat "insidental" yang diantisipasi dengan memaksimalkan peran IT support dan
kesadaran dari pustakawan dalam mengantisipasi berbagai ancaman resiko Digital Library.

Daftar Pustaka

[1] Suduc, A.M., M. Bizoi dan F.G. Filip, Audit for Information Systems Security.
Journal Informatica Economica, 14( I ), 43-48. 20 1 0.

[2] J. H. Pinontoan, “Manajemen Risiko TI Konsep-konsep,” Majalah PC Media, 2010.

[3] Darmawi, Herman. Manajemen Risiko. Jakarta: BumiAksara,2006.

[4] M. Utomo, A. H. N. Ali och I. Affandi, ”Pembuatan Tata Kelola Keamanan


Informasi Kontrol Akses Berbasis ISO/IEC 27001:2005 Pada Kantor Pelayanan
Perbendaharaan Surabaya I,” JURNAL TEKNIK ITS, vol. 1, nr 1, pp. A288-A293,
2012.

[5] Whitman, M.E., & Mattord, H.J, “Management of Information Security” , Third
Edition, Boston: Course Technology, 2010.

[6] P. Bowen, J. Hash and M. Wilson “Information Security Handbook: A Guide For
Managers” NIST Special Publication 800-100.

17