Abstrak
UPT Perpustakaan Universitas Esa Unggul merupakan salah satu unit yang sudah
menerapkan sistem Digital Library dalam pelaksanaan kegiatannya, seperti proses
pencarian buku, peminjaman buku, sampai proses unggah skripsi bagi mahasiswa sebagai
salah satu persyaratan dalam kelulusan. Dari semua tahapan kegiatan tersebut terdapat
celah kerawanan keamanan informasi. Jika permasalahan ini tidak dapat diperbaiki
secara berkelanjutan, alhasil akan memberikan dampak ataupun resiko kepada
keberlangsungan sistem ini, khusunya pustakwan dan pemustaka. Analisis resiko ini
dilakukan sampai tahap penilaian resiko menggunakan NIST SP 800-100 sebagai metode
yang digunakan untuk menyelesaikan permasalahan tersebut. Maka berdasarkan hasil
penelitian yang telah dilakukan, Digital Library memiliki 10 level resiko tinggi, dan 3 level
resiko sedang.
Kata kunci: Analisis Resiko, Keamanan Informasi, NIST SP 800-100, Penilaian Resiko,
Digital Library
Abstract
UPT Esa Unggul University Library is one of the units that has implemented the
Digital Library system in the implementation of its activities, such as the process of
searching for books, borrowing books, to the process of uploading a thesis for students as
one of the requirements in graduation. From all stages of the activity there is an
information security vulnerability gap. If this problem cannot be fixed on an ongoing
basis, the result will be an impact or risk to the sustainability of this system, especially
librarians and users. This risk analysis is carried out until the risk assessment stage using
NIST SP 800-100 as the method used to resolve the issue. So based on the results of
research that has been done, Digital Library has 10 levels of high risk, and 3 levels of
moderate risk.
1. Pendahuluan
Undang-Undang Nomor 43 Tahun 2007 tentang perpustakaan menyebutkan bahwa
perpustakaan adalah institusi pengelola koleksi karya tulis, karya cetak, atau karya rekam
secara professional dengan sistem yang baku guna memenuhi kebutuhan pendidikan,
penelitian, pelestarian, informasi, dan rekreasi para pustakawan. Sifat sistem informasi
yang mudah diakses dan digunakan menjadi alasan utama dipilih UPT Universitas Esa
Unggul untuk pelayanan informasi perpustakaan.
1
UAS ANALISIS RESIKO SISTEM INFORMASI
UPT Perpustakaan Universitas Esa Unggul yang merupakan salah satu unit yang
sudah menerapkan sistem informasi dalam pelaksanaan kegiatannya, seperti proses
pencarian buku, peminjaman buku, sampai proses unggah skripsi bagi mahasiswa sebagai
salah satu persyaratan dalam kelulusan. Tahapan pelayanan yang dilakukan UPT
Perpustakaan Universitas Esa Unggul terdapat beberapa kegiatan dimana kegiatan tersebut
mulai dari peminjaman, pengembalian, dan unggah skripsi. Dari semua tahapan kegiatan
tersebut dapat terkena resiko seperti pencurian data, joy computing, hacking, data diddling
dan menjadi resiko atau ancaman bagi sistem informasi yang ada pada UPT Perpustakaan
Esa Unggul, masalah-masalah tersebut yang akhirnya manjadi sebuah penghambat bagi
proses pelayanan kepada pemustaka yang menggunakan sistem informasi.
2. Kajian Pustaka
2.1 Resiko
Definisi resiko menurut Pinontoan (2010) resiko adalah suatu peluang, dampak
negatif dari pelaksanaan kerentanan, mempertimbangkan probabilitas dan dampak dari
resiko. perusahaan dapat memperkecil resiko dengan melakukan antisipasi berupa kontrol,
namun tidak mungkin dapat sepenuhnya menghindari adanya exposure, bahkan dengan
struktur pengendalian maksimal sekalipun.
Menurut Darmawi (2006) resiko adalah kemungkinan akan terjadinya akibat buruk
atau akibat yang merugikan, seperti kemungkinan kehilangan, cedera, kebakaran dan
sebagainya. Dalam resiko tidak ada metode apapun yang bisa menjamin seratus persen
bahwa akibat buruk itu setiap saat dapat dihindarkan, kecuali kalau kegiatan yang
mengandung unsur resiko tidak dilakukan.
2
UAS ANALISIS RESIKO SISTEM INFORMASI
Menurut Jones dan Ashenden (2005) terdapat formula untuk mengukur resiko yaitu:
Resiko = Threat x Vulnerability x Impact
Maksud pernyataan dari formula diatas adalah threat akan melakukan eksploitasi
vulnerability sehingga dapat menyebabkan impact terhadap sistem, sehingga menjadikan
hal tersebut sebagai resiko terhadap organisasi. Oleh karena itu jika tidak ditemukan threat,
vulnerability dan impact maka tidak terdapat resiko.
3
UAS ANALISIS RESIKO SISTEM INFORMASI
Tahapan ini digunakan untuk menentukan dampak negatif yang dihasilkan dari
keberhasilan penerapan kerawanan.
4.4 Risk Determination
Penilaian tingkat resiko pada sistem IT dilakukan pada langkah ini.
5. Control Recommendations
Tahapan ini menilai kontrol yang mana dapat mengurangi atau menghilangkan
resiko yang telah teridentifikasi. kontrol yang direkomendasikan sebaiknya harus
dapat mengurangi tingkat resiko pada sistem IT dan data, kepada tingkat resiko
yang dapat diterima.
6. Result Recommendations
Pada tahap ini, dilakukan pengembangan laporan hasil penilaian resiko (sumber
ancaman, kerawanan, resiko yang dinilai dan kontrol yang direkomendasikan).
Langkah-langkah penilaian resiko (risk assessment)dilakukan secara bersamaan atau
hampir bersamaan karena mereka sangat terkait satu sama lain.
3. Metode Penelitian
3.1 Jenis Penelitian
Pada penelitian ini menggunakan metode kualitatif dengan pendekatan studi kasus.
Penelitian ini dilakukan dengan cara melakukan pengamatan langsung (observasi) untuk
mengumpulkan data yang menghasilkan data sebagai hipotesis awal dari proses analisis
resiko yang akan dilakukan serta mendeskripsikan hal-hal yang berkaitan dengan obyek
penlitian.
4
UAS ANALISIS RESIKO SISTEM INFORMASI
No. Asset
1. PC Client + OS
2. PC Operator + OS
3. PC Admin + OS
4. Virtual Server
5. Database Server
6. Data Koleksi Library
7. Data Pemustaka
8. Data Informasi
9. Layanan Internet
10. Layanan Listrik
Tabel 1. System Characterization
4.1.2Threat Identification
Identifikasi ancaman yang menghambat pelayanan Digital Library Universitas
Esa Unggul dapat dilihat pada Tabel 2.
bocornya data
T1. Individu diluar Data Leakage
organisasi
pemustaka
atau data
lainnya
ke luar
terutama
mengenai data
5
UAS ANALISIS RESIKO SISTEM INFORMASI
yang harus
dirahasiakan
bocornya data
pemustaka
atau data
lainnya
ke luar
terutama
mengenai data
yang harus
dirahasiakan
bocornya data
pemust
Bocornya data pemustaka atau data lainnya
keluar terutama mengenai data yang harus
dirahasiakan.
T2. Individu diluar Pencurian data koleksi
organisasi Digital Library
Pencurian data koleksi ini dapat diakses
keluar dan dapat diperjual belikan secara
illegal.
T3. Individu diluar Pemakaian sistem
organisasi komputer tanpa izin Kemungkinan ada orang lain dapat
mengakses selain programer dan pustawakan
merusak atau mengubah database server.
T4. Individu didalam Pemberian password Keamanan hak akses hanya sebatas hanya
organisasi kepada orang lain sebatas pemberian password. Ada
kemungkinan orang lain dapat menghack
password admin.
6
UAS ANALISIS RESIKO SISTEM INFORMASI
erver gagal be
T5. Perlengkapan TI Serangan DoS (Denial
(jaringan Of Service)
komunikasi data) Server gagal berfungsi dikarenakan
banyaknya perintah yang masuk.
T6. Individu diluar Pemalsuan data dalam d
organisasi peminjaman buku Data Diddling (mengubah data valid dengan
cara tidak sah)
T7. Individu didalam Ketidaksesuaian data
organisasi pada stok di sistem dan Kesalahan pada SDM yang ada di
stok fisik perpustakaan
T8. Individu didalam Redundant data
organisasi Adanya duplikasi data pada sistem
T9. Perlengkapan TI Backup server hang
(media Ketergantungan pada kemampuan server
penyimpanan sistem informasi.
pada server)
T10. Sistem Informasi Virus/worm
Tidak adanya pemasangan software antivirus
T11. Perlengkapan TI Gagal fungsi media
(media penyimpanan Gagal fungsi media penyimpanan, seperti :
penyimpanan disk error atau disk full.
pada server)
T12. Individu diluar Pencurian Hardware
organisasi Ruangan tidak tersecure dengan baik.
T13. Individu diluar Terhentinya layanan
organisasi atau putus (listrik dan Sistem mati, bisa terjadi kehilangan data
internet)
Tabel 2. Threat Identification
7
UAS ANALISIS RESIKO SISTEM INFORMASI
ID Threat Control
T1 Data Leakage Melakukan Bakup data secara berkala
T2 Pencurian data koleksi Digital Library Mengganti password secara berkala.
T3 Pemakaian sistem computer tanpa izin Mengaktifkan password pada setiap aktivitas
yang membutuhkan kerahasiaan
T4 Pemberian password kepada orang lain Mensosialisasikan kepada pemustaka dan
pustakawan untuk tidak memberi password
kepada orang lain.
T5 Serangan DoS IP blocking, Update perangkat
T6 Pemalsuan data dalam peminjaman buku Pemeriksaan KTM saat peminjaman buku
dengan memasang scan RFID KTM untuk
peminjaman buku
T7 Ketidaksesuaian data pada stok di sistem Maintenance data dalam periode tertentu
dan stok fisik
T8 Redundant data Filter pada sistem pencarian buku untuk
penghapusan data buku yang ganda
T9 Backup server hang Backup secara periodic
T10 Virus/worm Memasang anti-virus
T11 Gagal fungsi media penyimpanan Menambah kapasitas penyimpanan
T12 Pencurian Hardware Memasang CCTV pada setiap sisi perpustakaan
terutama ruang admin dan server
T13 Terhentinya layanan atau putus (listrik dan Perbaikan dan penambahan kapasitas genset
internet)
Tabel 4. Control Analysis
Level Likelihood
Level Nilai Likelihood
1 Tidak Terjadi (<20%)
2-3 Jarang (20%-80%)
4-5 Terjadi (>80%)
Tabel 5. Level Likelihood
9
UAS ANALISIS RESIKO SISTEM INFORMASI
Level Impact
Level Nilai Impact
1 Low
2-3 Medium
4-5 High
Tabel 7. Level Impact
10
UAS ANALISIS RESIKO SISTEM INFORMASI
11
UAS ANALISIS RESIKO SISTEM INFORMASI
Risk Level
Level Nilai Resiko
1-3 Low
3-8 Medium
9-15 High
Tabel 9.Risk Level
12
UAS ANALISIS RESIKO SISTEM INFORMASI
internet)
Tabel 11. Risk Determination
14
UAS ANALISIS RESIKO SISTEM INFORMASI
OS dan perangkat
lunak.
Pemakaian PC + OS, Data Otorisasi hak Sistem komputer HIGH - Modifikasi default
sistem informasi akses yang dapat digunakan security system
computer tanpa berkaitan untuk melakukan - Manajemen
izin dengan data akses tidak sah password
Pemberian Data informasi Penggunaan Pencurian data HIGH - Perubahaan
password password pribadi dan orang password secara
kepada orang secara lain dapat berkala
lain Bersama- menggunakan hak - Menjaga
sama akses pemustaka kerahasiaan
password
- Pengaturan
password sesuai
tupoksi.
Serangan DoS Virtual server, Content Akses database HIGH - Memasang
database server Security oleh pihak yang firewall
Policy (CSP)
tidak terotorisasi, - IP blocking
not kehilangan - Update perangkat
implementeddokumen sumber, - Mengganti atau
tidak ada sistem memasang router
perlindungan yang yang baru
diaktifkan seperti
IDS
Pemalsuan data Data Kemanan Mengakibatkan HIGH - Sebelum
dalam pemustaka (Security) kerugian pada mahasiswa
peminjaman sistem yang pemilik KTM asli melakukan
buku di publish registrasi kartu
keanggotaan
perpustakaan
mahasiswa harus
melakukan finger
print recording
dan face
recording.
Ketidaksesuaia Data informasi Human Error Tidak adanya HIGH - UPT Perpustakaan
n data pada stok keterangan jumlah mendata ulang dan
di sistem dan buku yang meng cross check
stok fisik dipinjam dan sisa kembali stock
buku yang buku dan yang ada
dipinjam di sistem.
Redundant data Data koleksi Human Error Ditemukan data HIGH - Perlu melakukan
library double untuk filter pada sistem
buku yang pencarian buku
berjudul sama untuk
penghapusan data
buku yang double
Backup server Virtual server, Tidak Hilangnya reputasi HIGH - Penyediaan
15
UAS ANALISIS RESIKO SISTEM INFORMASI
16
UAS ANALISIS RESIKO SISTEM INFORMASI
penilaian aset
informasi yang
dilayankan.
Tabel 13. Result Recommendations
5. Kesimpulan
Proses penilaian resiko (risk assessment) mendeskripsikan profil resiko yang
mengancam sistem informasi perpustakaan berdasarkan rangking level resiko meliputi
jenis resiko yang berasal dari individu luar organisasi, individu dalam organisasi, maupun
resiko dari perlengkapan TI itu sendiri. Resiko individu luar organisasi terdiri dari Data
Leakage dengan level resiko high, pencurian data koleksi Digital Library dengan level
resiko high, pemakaian sistem komputer tanpa izin dengan level resiko high, pemalsuan
data dalam peminjaman buku dengan level resiko high, pencurian dengan level resiko
medium, dan terhentinya layanan listrik dan internet dengan level medium. Jenis resiko
individu dalam organisasi dan resiko perlengkapan TI teridentifikasi profil resiko dengan
level high. Perpustakaan Universitas Esa Unggul belum memiliki dokumentasi penilaian
resiko sebagai standar kegiatan dalam proses penanganan sumber ancaman yang
menghambat sistem Digital Library. Penilaian resiko hanya berdasarkan kejadian yang
bersifat "insidental" yang diantisipasi dengan memaksimalkan peran IT support dan
kesadaran dari pustakawan dalam mengantisipasi berbagai ancaman resiko Digital Library.
Daftar Pustaka
[1] Suduc, A.M., M. Bizoi dan F.G. Filip, Audit for Information Systems Security.
Journal Informatica Economica, 14( I ), 43-48. 20 1 0.
[5] Whitman, M.E., & Mattord, H.J, “Management of Information Security” , Third
Edition, Boston: Course Technology, 2010.
[6] P. Bowen, J. Hash and M. Wilson “Information Security Handbook: A Guide For
Managers” NIST Special Publication 800-100.
17