Volume 9 Nomor 2, Oktober 2016 Hlm.

108-115
ISSN 0216-9495 (Print)
ISSN 2502-5325 (Online)

Analisa Manajemen Resiko Keamanan Informasi pada Kantor

Pelayanan Pajak Pratama XYZ
Iwan Santosa1, Dwi Kuswanto2
1,2
Program Studi Teknik Informatika, Universitas Trunojoyo Madura
1
iwan@trunojoyo.ac.id,2dwikuswanto@if.trunojoyo.ac.id
ABSTRAK
Penggunaan Teknologi Informasi di lembaga-lembaga pemerintahan saat ini
sangat dibutuhkan untuk mempermudah melakukan pendataan dan pengambilan
keputusan yang strategis. Kantor Pelayanan Pajak Pratama XYZ yang
merupakan salah satu lembaga pemerintahan yang bergerak dibidang keuangan
memiliki data yang cukup banyak. Penggunaan Teknologi informasi bukan
sekedar penting tapi sudah menjadi keharusan, melihat Pajak merupakan salah
satu pendapatan negara yang utama. Data dan informasi yang terdapat pada
Lembaga ini tidak hanya perlu penyimpanan secara digital akan tetapi juga
memerlukan pengamanan yang serius. Kebocoran akan data yang ada dapat
berakibat fatal bagi kepentingan negara. Untuk itu Sistem Manajemen Keamanan
Informasi(SMKI) diperlukan dalam pengelolaan keamanannya. Dalam
mengimplementasikan ISO 27001 sebelumnya diperlukan manajemen resiko
keamanan informasi. Kegiatan manajemen resiko ini diperlukan untuk
menentukan Control Objectives yang akan diambil untuk melakukan penanganan
resiko yang kemungkinan terjadi. Dalam mengimplementasikan manajemen
resiko didapatkan hasil hanya pada aset username dan password level yang
resikonya High (6,67%) dari 15 aset yang sudah terdaftar, sehingga diperlukan
kontrol keamanan yang berhubungan dengan username dan password untuk
meminimalisir atau mengurangi terjadinya resiko.
Kata Kunci: Manajemen resiko,SMKI, iso 27001.
ANALYSIS OF INFORMATION SECURITY RISK MANAGEMENT IN TAX
SERVICE OFFICE PRATAMA XYZ
ABSTRACT
Use of Information Technology in government institutions at this time is needed to
make it easier to collect data and strategic decision making. KPP Pratama XYZ
which is one of the government agencies engaged in finance have enough data.
The use of information technology is not just important but has become
imperative, see Tax is one of the main income of the country. The data and
information contained in this Organization not only need a digital storage but also
require security seriously. Leakage will be the existing data can be fatal to the
interests of the state. For the Information Security Management System (ISMS) is
required in the management of safety. In previously required to implement ISO
27001 information security risk management. Risk management activities is
necessary to determine the Control Objectives that will be taken to have
addressed the risk probabilities. In implementing risk management on assets
showed only a username and password High risk level (6,67%) of 15 assets that
are registered, so that the necessary security controls associated with a
username and password to minimize or reduce the risk.
Keywords: Risk Management,SMKI, ISO 27001.

108
 Santosa, I.,& Kuswanto, D., Analisa Manajemen Resiko Keamanan…109

PENDAHULUAN Desember 2000 ISO (International

Organization of Standardization)
Keamanan data elektronik dan IEC (International Electro-
menjadi hal yang sangat penting di Technical Commission) mengadopsi
perusahaan penyedia jasa teknologi BS 7799 Part 1 dan menerbitkannya
informasi (TI) maupun industri sebagai standar ISO/IEC
lainnya, seperti: perusahaan export- 17799:2000 yang diakui secara
import, tranportasi, lembaga internasional.
keuangan, pendidikan, Keamanan informasi terdiri
pemberitaan, hingga perbankan dari perlindungan terhadap aspek-
yang menggunakan fasilitas TI dan aspek berikut:
menempatkannya sebagai 1. Confidentiality (kerahasiaan)
infrastruktur kritikal (penting). aspek yang menjamin kerahasiaan
Informasi atau data adalah aset data atau informasi, memastikan
bagi perusahaan. Keamanan data bahwa informasi hanya dapat
secara tidak langsung dapat diakses oleh orang yang berwenang
memastikan kontinuitas bisnis, dan menjamin kerahasiaan data
mengurangi resiko, mengoptimalkan yang dikirim, diterima dan disimpan.
return on investment dan mencari 2. Integrity (integritas) aspek yang
kesempatan bisnis. Semakin menjamin bahwa data tidak dirubah
banyak informasi perusahaan yang tanpa ada ijin fihak yang berwenang
disimpan, dikelola dan disharing (authorized), menjaga keakuratan
maka semakin besar pula resiko dan keutuhan informasi serta
terjadinya kerusakan, kehilangan metode prosesnya untuk menjamin
atau tereksposnya data ke pihak aspek integrity ini.
eksternal yang tidak diinginkan. 3. Availability (ketersediaan) aspek
Bagaimana data atau yang menjamin bahwa data akan
informasi tersebut dikelola, tersedia saat dibutuhkan,
dipelihara dan diekspose, memastikan user yang berhak
melatarbelakangi disusunnya ISO dapat menggunakan informasi dan
17799, standar untuk sistem perangkat terkait (aset yang
manajemen keamanan informasi. berhubungan bilamana diperlukan).
Penyusunan standar ini berawal Keamanan informasi
pada tahun 1995, dimana diperoleh dengan mengimple-
sekelompok perusahaan besar mentasi seperangkat alat kontrol
seperti BOC, BT, Marks & Spencer, yang layak, yang dapat berupa
Midland Bank, Nationwide Building kebijakan-kebijakan, praktek-
Society, Shell dan Unilever bekerja praktek, prosedur-prosedur,
sama untuk membuat suatu standar struktur-struktur organisasi dan
yang dinamakan BS (British piranti lunak (Syafrizal,2007).
Standard) 7799. BS 7799 Part 1: Sebelum menerapkan
the Code of Practice for Information kontrol keamanan, perlu dilakukan
Security Management. Februari manajemen resiko supaya dapat
1998 BS 7799 Part 2: The memaksimalkan pemilihan kontrol
Specification for Information keamanan. Dalam penelitian ini
Security Management Systems telah dilakukan analisa resiko
(ISMS) menyusul diterbitkan. terhadap aset yang ada.
110 Jurnal Rekayasa Vol 9 No 2, Oktober 2017, hlm. 108-115

Tabel 1. Kriteria Convidentiality

Kriteria Nilai
Cinvidentiality Convidentiality
(NC)
Public 0
Internal use only 1
Private 2
Convidential 3
Secret 4
Gambar 1. Keamana informasi
(CIA) Tabel 2. Kriteria Integrity
Kriteria Integrity Nilai Integrity
Identifikasi Aset (NI)
No Impact 0
Minor Incident 1
Menghitung Nilai Aset General Disturbance 2
Mayor Disturbance 3
Unacceptable 4
Identifikasi Ancaman dan damage
Kelemahan Aset
Tabel 3. Kriteria Availability
Kriteria Availability Nilai
Analisa Dampak Bisnis /BIA Availability
(NV)
No Availability 0
Identifikasi Level Resiko Office Hour 1
Availability
Strong Availability 2
Menghitung Risk Value High availability 3
Gambar 2. Diagram Alir Penelitian Very High Availability 4

METODE PENELITIAN
Tahap awal penelitian ini
Pada pembahasan ini akan adalah mengumpulkan data aset
dijelaskan metodologi dalam yaitu aset yang mengandung data
penelitian ini mulai dari dan atau informasi. Identifikasi Aset
pengumpulan data untuk melakukan dilakukan untuk menentukan aset
identifikasi aset, melakukan yang berhubungan dengan kontrol
perhitungan Nilai aset yang telah akses di KPP Pratama XYZ.
dikumpuklan, melakukan identifikasi Setelah aset teridentifikasi,
ancaman dan kelemahan aset, langkah selanjutnya yaitu melakukan
melakukan analisa dampak bisnis perhitungan nilai aset. Pendekatan
atau yang sering disebut Business yang dilakukan dengan
Impact Analysis (BIA), melakukan menggunakan tiga aspek keamanan,
identifikasi level resiko dan yang yaitu kerahasiaan (confidentiality),
terakhir menghitung risk value untuk keutuhan (Integrity) dan
mengetahui level resiko dari aset. ketersediaan (availiability).
 Santosa, I.,& Kuswanto, D., Analisa Manajemen Resiko Keamanan…111

Perhitungannya dilakukan Tabel 5. Matrik Level Resiko

dengan menggunakan rumus : Prob.
Dampak Bisnis
NC MiC MaC HC VHC
Threat
0 1 2 3 4
NA = NC + NI + NV Low LOW LOW LOW LOW LOW
(0,1) 0 0,1 0,2 0,3 0,4
NA : Nilai Aset Med LOW MED MED MED MED
NC : Nilai Convidentiality (0,5) 0 0,5 1,0 1,5 2,0
NI : Nilai Integrity High LOW MED MED HIGH HIGH
(1,0) 0 1,0 2,0 3,0 4,0
NA : Nilai Avaliability
Untuk menentukan apakah
Perhitungan selanjutnya
resiko diterima atau diperlukan
adalah melakukan identifikasi
pengelolaan resiko maka perlu
ancaman dan kelemahan terhadap
menghitung nilai dari resiko yang
masing-masing aset, kemudian
ada. Nilai Resiko dapat dihitung
menentukan nilai rerata probabilitas
dengan menggunakan rumus :
kemunculan ancaman dan
kelemahan dengan menggunakan
Risk Value = NA X BIA X NT
rentang nilai sebagai berikut :
Keterangan :
1. Low : 0,0 - 0,3
NA : Nilai Aset
2. Medium : 0,4 – 0,6
BIA : Business Impact Analysis
3. High : 0,7 – 1,0
NT : Nilai Threat
Langkah selanjutnya adalah
Setelah mendapatkan nilai resiko,
menentukan analisa dampak bisnis
level resiko didapatkan dengan
atau yang sering disebut Business
menyesuaikan nilai resiko dengan
Impact Analysis (BIA). Kriteria
Tabel 5 Matrik Level Resiko.
penilaian untuk BIA dapat dilihat
Hasil yang didapatkan setiap
pada tabel 4 dibawah ini :
aset akan teridentifikasi tingkat level
resikonya. Level resiko berdasarkan
Penilaian level resiko
Tabel tersebut menunjukkan Low,
menggunakan matriks resiko seperti
Medium atau High. Dari hasil
Tabel 5. Nilai yang didapatkan
tersebut aset yang akan dilakukan
berasal dari perkalian antara
pengelolaan resiko adalah aset yang
Probability of threat (probabilitas
beresiko High.
ancaman) dengan dampak bisnis
BIA.
HASIL DAN PEMBAHASAN
Tabel 4. Kriteria Nilai BIA
Batas Nilai Berdasarkan pengambilan
Toleransi Keterangan BIA data dengan wawancara dan
gangguan observasi di KPP Pratama XYZ
< 1 minggu Not critical (NC) 0 didapatkan data aset seperti terlihat
1 – 2 hari Minor critical (MiC) 1
pada Tabel 6. Daftar Aset dibagi
menjadi jenis Aset yang terdiri dari
< 1 hari Mayor critical (MaC) 2
perangkat keras, perangkat lunak
< 12 jam High critical (HC) 3
dan Data.
< 1 jam Very high 4
critical(VHC)
112 Jurnal Rekayasa Vol 9 No 2, Oktober 2017, hlm. 108-115

Tabel 6. Aset Tabel 7. Nilai Aset

No Jenis Aset Aset Kriteria
1 Perangkat PC, Server, Nilai
No Aset
Keras Jaringan fisik Kabel NC NI NV Aset
, Kamera
CCTV,DVR CCTV 1 PC 2 1 2 5
Cisco Router 2 Server 4 4 4 12
2 Perangkat ESPT,EFAKTUT,EF
Jaringan
Lunak ILING,EBILING, 3 3 2 3 8
Fisik Kabel
SIM-Kepegawaian,
Kamera
SIM-WP, SIM- 4 2 2 2 6
CCTV
Pajak,WEB-Server
3 Data Username dan 5 DVDR CCTV 2 2 2 6
Password 6 Cisco Router 3 2 4 9
7 ESPT 3 3 3 9
Dari data aset yang telah
8 EFAKTUT 3 3 3 9
didapatkan selanjutnya menghitung
9 EFILLING 3 2 3 8
nilai aset, dan dari hasil observasi
10 EBILLING 3 2 2 7
dan wawancara didapatkan nilai aset SIM-
yang teridentifikasi seperti tabel 7 11 2 2 2 6
Kepegawaian
dibawah ini. 12 SIM-WP 2 2 3 7
Langkah selanjutnya adalah 13 SIM-Pajak 3 3 3 9
mengidentifikasi kelemahan dan 14 Web Server 4 3 3 10
ancaman untuk mendapatkan Nilai Data User
15 dan 4 3 3 10
Threat (NT). Hasil identifikasinya Password
terlihat pada tabel 8.

Tabel 8. Probabilitas dan Nilai Ancaman (NT)

Prob.
Jenis
(low/ Nilai ∑
Aset Kejadian ancaman/ Event NT
med/ Prob. PO
kelemahan
high)
PC Pencurian PC ancaman low 0 0 0 -
Pencurian PC ancaman low 0 0
Server 0 -
Illegal Akses ancaman low 0 0
Illegal Akses ancaman low 0 0
Jaringan 0 -
Pencurian PC ancaman low 0 0
Kamera Pencurian PC ancaman low 0 0
0 -
CCTV Perusakan ancaman low 0 0
Pencurian Perangkat ancaman low 0 0
DVDR CCTV Perusakan ancaman low 0 0 0 -
Pencurian Rekaman ancaman low 0 0
Cisco Illegal Akses ancaman low 0 0
0 -
Router Pencurian ancaman low 0 0
Aplikasi tidak terupdate kelemahan low 0 0
ESPT serangan Virus ancaman low 3 0.15 0.4 0.13
Kegagalan Operasional kelemahan low 5 0.25
 Santosa, I.,& Kuswanto, D., Analisa Manajemen Resiko Keamanan…113

Prob.
Jenis
(low/ Nilai ∑
Aset Kejadian ancaman/ Event NT
med/ Prob. PO
kelemahan
high)
Aplikasi tidak terupdate kelemahan low 0 0
EFAKTUT serangan Virus ancaman low 6 0.3 0.4 0.13
Kegagalan Operasional kelemahan low 2 0.1
Aplikasi tidak terupdate kelemahan low 0 0
EFILLING serangan Virus ancaman low 2 0.1 0.3 0.10
Kegagalan Operasional kelemahan low 4 0.2
Aplikasi tidak terupdate kelemahan low 0 0
EBILLING serangan Virus ancaman low 4 0.2 0.25 0.08
Kegagalan Operasional kelemahan low 1 0.05
Aplikasi tidak terupdate kelemahan low 0 0
SIM-Kep. serangan Virus ancaman low 1 0.05 0.1 0.03
Kegagalan Operasional kelemahan low 1 0.05
Aplikasi tidak terupdate kelemahan low 0 0
SIM-WP serangan Virus ancaman low 6 0.3 0.4 0.13
Kegagalan Operasional kelemahan low 2 0.1
Aplikasi tidak terupdate kelemahan low 0 0
SIM-Pajak serangan Virus ancaman low 5 0.25 0.3 0.10
Kegagalan Operasional kelemahan low 1 0.05
Aplikasi tidak terupdate kelemahan low 0 0
Web
serangan Virus ancaman low 0 0 0.05 0.02
Server
Kegagalan Operasional kelemahan low 1 0.05

Data pegawai yang

pindah dan belum kelemahan low 5 0.25
dihapus

password yang panjang

kharakternya kurang kelemahan low 0 0
Data User
dan dari 6 0.5 0.13
Password
penggunaan user dan
password oleh ancaman high 1 0.05
pengguna lain

penggunaan password
kelemahan low 4 0.2
yang tidak diubah-ubah

Setelah melakukan wawancara dan observasi

identifikasi ancaman dan kelemahan
sehingga mendapatkan hasil Nilai
ancaman (NT), langkah selanjutnya
adalah dengan menentukan nilai BIA
dari masing-masing aset. Dari hasil
didapatkan nilai BIA seperti terlihat
pada Tabel 9.
Langkah selanjutnya yaitu
menghitung Nilai Resiko dari NA,
BIA dan NT yang sudah didapatkan.
114 Jurnal Rekayasa Vol 9 No 2, Oktober 2017, hlm. 108-115

Tabel 9. BIA Dari tabel 10 didapatkan aset

Aset Nilai BIA yang memiliki resiko tinggi dan
PC diperlukan kontrol keamanan untuk
1
mengurangi resiko yang terjadi
Server 4 adalah Data User dan Password
Jaringan Fisik Kabel 2 dengan prosentase 6,67% dari data
Kamera CCTV 1 Aset yang terdaftar, 26,67% memiliki
DVDR CCTV 1 level Medium serta 66,67 memiliki
Cisco Router 3
level High.
ESPT 2 KESIMPULAN
EFAKTUT 2 Dari hasil penelitian yang
EFILLING 2 telah dilakukan dapat disimpulkan
EBILLING 2 bahwa dari aset yang terdaftar
SIM-Kepegawaian 3 hanya satu aset yang memiliki resiko
SIM-WP
High yaitu Data Username dan
3
Password dengan prosentase
SIM-Pajak 3 6,67%.
Web Server 4
Data User dan Untuk meningkatkan kualitas
Password 3 penelitian diperlukan analisa yang
lebih banyak dari jenis kejadian,
Dengan menggunakan Tabel 5 sehingga hasil analisanya lebih
tentang matrik resiko akan mendalam. Rekomendasi lainya
didapatkan hasil level resiko. Hasil yaitu penelitian dapat dilanjutkan
perhitungan dan level resiko terlihat kepada pemilihan kontrol keamanan
pada tabel 10. dalam rangka menyusun portofolio
SMKI.

Tabel 10. Nilai Resiko dan Level Resiko

No Aset Nilai Aset Nilai Ancaman BIA Nilai Resiko Level Resiko
1 PC 5 0 1 0 low
2 Server 12 0 4 0 low
3 Jaringan Fisik Kabel 8 0 2 0 low
4 Kamera CCTV 6 0 1 0 low
5 DVDR CCTV 6 0 1 0 low
6 Cisco Router 9 0 3 0 low
7 ESPT 9 0.13 2 2.34 med
8 EFAKTUT 9 0.13 2 2.34 med
9 EFILLING 8 0.1 2 1.6 low
10 EBILLING 7 0.08 2 1.12 low
11 SIM-Kepegawaian 6 0.03 3 0.54 low
12 SIM-WP 7 0.13 3 2.73 med
13 SIM-Pajak 9 0.1 3 2.7 med
14 Web Server 10 0.02 4 0.8 low
15 Data User dan Password 10 0.13 3 3.9 high
 Santosa, I.,& Kuswanto, D., Analisa Manajemen Resiko Keamanan…115

Utomo, M.,Ali, A. H. N.,Affandi, I.

DAFTAR PUSTAKA
(2012). Pembuatan Tata
Syafrizal, M., Seminar Nasional Kelola Keamanan Informasi
Teknologi 2007 (SNT 2007) , Kontrol Akses Berbasis
Yogyakarta, 24 November ISO/IEC 27001:2005 Pada
2007. Kantor Pelayanan
Perbendaharaan Surabaya
Sarno, R. 2009. Audit Sistem & 1.Jurnal Teknik ITS. Vol. 1
Teknologi No. 1
Informasi.Surabaya: ITS
Press 2 ISO/IEC 27001:2005, Rozas, I. S., Sarno, R. (2010).
Information Technology – Bayesian Probabilistik
Security Techniques – Sebagai Pendekatan
Information Security Heuristik untuk Manajemen
Management System – Resiko Teknologi Informasi.
Requirements, 15 Oktober Prosiding Seminar Nasional
2005 Manajemen Teknologi XII.

Sarno, R., Iffano, Irsyat 2009. Sistem Aprian, R.,Rizal, S., Sobri,
Manajemen Keamanan M.(2015).Perencanaan
Informasi berbasis ISO Sistem Manajemen
27001. Surabaya: ITS Press. Keamanan Informasi
Menggunakan Standar ISO
27001:2013. Jurnal
Informatika