Informasi Keuangan Mahasiswa, SMS Gateway, yang terhadap penggunaan sistem informasi/teknologi informasi
dihubungkan dengan jaringan melalui yang dilakukan oleh [9],[10]. Publikasi khusus 800-30 menyediakan pendekatan
bagian UPT LPSI. Namun terdapat permasalahan dalam terstruktur, tapi fleksibel dalam mengelola risiko yang luas,
penggunaan dan pemanfaatan TI yang ada saat ini antara lain: dengan rincian yang spesifik dalam menilai, menanggapi, dan
(1) Masih sering terjadinya insiden keamanan informasi yang melakukan pemantauan risiko secara terus-menerus sehingga
menyebabkan terganggunya proses bisnis perusahaan. risiko bisa di evaluasi oleh pihak manajemen di organisasi
Sebagian insiden yang terjadi dapat diatasi secara langsung STMIK Sumedang. Setelah dilakukan manajemen risiko
(reaktif) dilapangan, tetapi insiden lainnya membutuhkan maka diperlukan control keamanan sebagai dasar acuan
perencanaan dan waktu yang tidak sedikit untuk bahwa risiko dilakukan mitigasi, diterima/ditransfer oleh
menyelesaikannya; (2) Belum adanya pengawasan dan pihak manajemen. Control keamanan dikembangkan dari ISO
perencanaan yang tepat dalam pengelolaan keamanan data 27002. Setelah itu dilakukan maturity keamanan informasi
dan informasi di STMIK Sumedang. Dilihat dari sudut organisasi STMIK Sumedang menggunakan control yang
pandang pemakai informasi yang dihasilkan oleh sistem dikembangkan dari ISO 27002. Dari hasil penilaian maturity
informasi akademik dimana informasi yang dihasilkan akan ini menjadi dasar dibuatnya rekomendasi standar kebijakan
sangat lambat dan sering terjadi kesalahan dan kerusakan keamanan informasi di STMIK Sumedang, baik itu informasi
data. yang ada di lembaga atau informasi yang dikelola Sistem dan
Kejadian (incident), atau vulnerability yang terjadi diatas Teknologi Informasi yang digunakan di STMIK Sumedang.
merupakan risiko yang dapat mengganggu proses bisnis
STMIK Sumedang. Dengan pertimbangan incident, dan II. PENELITIAN YANG TERKAIT
vulnerability yang sering terjadi maka diperlukan penanganan Menurut Slay & Koronios (2006), manajemen risiko
risiko, dan penilaian risiko dilakukan dalam proses adalah proses yang berjalan untuk mengukur kemungkinan
manajemen risiko keamanan informasi sehingga risiko yang munculnya suatu kejadian yang membahayakan,
ada bisa ditangani dan dikendalikan. Manajemen risiko mengimplementasikan pengukuran untuk mengurangi risiko
keamanan informasi adalah metode untuk penilaian dan atas kejadian yang muncul dan memastikan organisasi yang
mitigasi risiko terhadap aspek kebutuhan keamanan informasi bersangkutan merespon dan meminimalisasi dampak yang
yang memuat 3 unsur penting yaitu: Confidentiality terjadi [20]. Menurut Djohanputro (2008), manajemen risiko
(kerahasiaan), Integrity (integritas), dan Availability merupakan proses terstruktur dan sistematis dalam
(ketersediaan). Tiga unsur penting dari aspek keamanan mengidentifikasi, mengukur, memetakan, mengembangkan
tersebut sangat rawan terhadap ancaman serangan-serangan alternatif penanganan risiko, dan memonitor dan
yang mengancam keberadaanya baik serangan terhadap mengendalikan penanganan risiko [18].
sumber-sumber informasi baik secara fisik dan melalui akses Menurut Fahmi (2010), manajemen risiko adalah suatu
secara jaringan. bidang ilmu yang membahas tentang bagaimana suatu
Dalam penelitian ini manajemen risiko keamanan organisasi menerapkan ukuran dalam memetakan berbagai
informasi yang digunakan mengacu pada framework NIST permasalahan yang ada dengan menempatkan berbagai
(National Institute Standard Technology) dikembangkan oleh pendekatan manajemen secara komprehensif dan sistematis
US Department of Commerce. NIST merupakan Organisasi [19]. Sehingga dapat disimpulkan dari beberapa definisi
pemerintah di Amerika Serikat dengan misi mengembangkan diatas, bahwa definisi manajemen risiko adalah sebagai
dan mempromosikan penilaian, standar, dan teknologi untuk berikut: (a) segala proses pengelolaan risiko yang mencakup
meningkatkan fasilitas dan kualitas kehidupan. NIST identifikasi, evaluasi, mitigasi dan pengendalian risiko
mengeluarkan alat, teknik dan metode untuk penilaian dan terutama yang berhubungan dengan menyangkut keamanan
perencanaan keamanan informasi berbasis risiko. informasi yang dapat mengancam kelangsungan usaha,
Standar yang akan digunakan didalam penelitian ini strategi visi misi dan aktivitas organisasi untuk masa sekarang
adalah NIST SP 800-30. Standar ini digunakan sebagai acuan beserta masa yang akan dating; (b) setiap proses pengukuran
dalam melakukan manajemen risiko keamanan informasi, serta penilaian terhadap sesuatu yang belum pasti serta
yang bertujuan untuk mengantisipasi terhadap risiko agar memberikan strategi untuk mengelolanya, beberapa cara
kerugian tidak terjadi kepada organisasi. Sehingga risiko ataupun strategi yang biasanya digunakan antara lain
dapat di identifikasi, dinilai dan dikurangi dampak risikonya memindahkan ketidakpastian/risiko kepada pihak luar,
ke level yang dapat diterima organisasi. NIST SP 800-30 mengurangi hal-hal yang sekiranya dapat memberikan nilai
dipilih sebagai acuan manajemen risiko dalam penggunaan negative atau risiko, dan bersedia menerima segala
sistem dan teknologi informasi di perguruan tinggi. Dengan konsekuensi dari risiko yang akan terjadi.
dilakukannya manajemen risiko diharapkan akan mengurangi Pada tabel I memperlihatkan penelitian yang berhubungan
dampak insiden sistem dan teknologi informasi di institusi dengan penelitian yang peneliti lakukan:
perguruan tinggi, melindungi proses bisnis organisasi yang
penting dari ancaman keamanan, meminimalisir risiko
kerugian serta menghindari kegagalan serius terhadap
informasi yang ada di organisasi STMIK Sumedang.
Tujuan Framework NIST SP 800-30 adalah memberikan
petunjuk program secara terpadu, untuk seluruh organisasi
dalam mengelola risiko keamanan informasi operasi
organisasi (yaitu, misi, fungsi, image, dan reputasi), asset
organisasi, individu, operasi yang dihasilkan organisasi dan
disesuaikan dengan kebutuhan yang ada dalam framework 6. Keamanan Fisik dan Lingkungan (Physical and
NIST SP 800-30 Revisi 1 [13]. Environmental Security).
Pada tabel Risiko Adversarial, dilakukan mitigasi risiko 7. Manajemen Komunikasi dan Operasional
oleh pihak manajemen yang bertanggung jawab dalam (Communication and Operations Management).
penanganan risiko. Dari hasil analisis kualitatif dapat 8. Kontrol Akses (Acces Control).
dihasilkan bahwa STMIK Sumedang terutama menyangkut 9. Akuisisi Pengembangan dan Pemeliharaan Sistem
risiko adversarial mempunyai risiko keamanan informasi Informasi (Information Systems Acquisition,
yang Moderate, hal ini bisa di gambarkan pada grafik Development, and Maintenance).
berikut ini: 10. Manajemen Insiden Keamanan Informasi (Information
Security Incident Management).
11. Manajemen Kelangsungan Bisnis (Business Continuity
Management).
12. Kepatuhan (Compliance).
TABEL II
LEVEL MATURITY