Aldrison Aprilo
171420035
i
HALAMAN PENGESAHAN
ALDRISON APRILO
171420035
Palembang,
Program Studi Teknik
Informatika
Fakultas Ilmu Komputer
Universitas Bina Darma
Pembimbing Ketua,
ii
HALAMAN PERSETUJUAN
Komisi Penguji
Mengetahui,
Program Studi Teknik Informatika
Fakultas Ilmu Komputer
Universitas Bina Darma,
Ketua,
iii
iv
MOTTO DAN PERSEMBAHAN
MOTTO :
Persembahan
v
ABSTRAK
vi
KATA PENGANTAR
Puji dan syukur penulis panjatkan kehadirat Allah SWT, atas segala karunia
dan rahmat-Nya sehingga penulis dapat menyelesaikan penyusunan Laporan
Skripsi ini serta bimbingan dari berbagai pihak dengan judul “ANALISIS
SISTEM KEAMANAN JARINGAN MENGGUNAKAN FRAMEWORK
NIST PADA PT BANK RAKYAT INDONESIA (PERSERO) TBK, KCP
SUDIRMAN PALEMBANG”.
Dalam penulisan skripsi ini tentunya masih jauh dari kata sempurna. Hal
ini dikarenakan keterbatasan pengetahuan yang dimiliki. Oleh karena itu dalam
rangka melengkapi kesempurnaan dari penulisan skripsi ini diharapkan adanya
saran dan kritik yang bersifat membangun.
Pada kesempatan yang baik ini, tak lupa penulis menghaturkan banyak terima
kasih kepada semua pihak yang telah memberikan bimbingan, pengarahan,
nasehat dan pemikiran dalam penulisan skripsi ini, terutama kepada :
1. Allah SWT yang telah memberikan kesehatan kepada penulis sehingga
penulis dapat menyelesaikan Laporan Kuliah Kerja Praktik ini dengan
tepat waktu.
2. Ibu Dr. Sunda Ariana, M.Pd., M.M selaku Rektor Universitas Bina Darma
Palembang.
3. Bapak Dedy Syamsuar, S.Kom., M.I.T.,Ph.D. selaku Dekan Fakultas Ilmu
Komputer.
4. Bapak Alex Wijaya, S.Kom., M.I.T selaku Ketua Program Studi Teknik
Informatika.
5. Ibu Febriyanti Panjaitan, M.Kom. selaku Pembimbing yang sudah
memberikan bimbingan arahan serta masukan dalam penulisan skripsi ini.
6. Bapak Irwansyah, M.M., M.Kom selaku dosen Penguji yang telah
memberikan saran agar skripsi diselaikan dengan baik
7. Bapak Surya Yusra, M.Kom selaku dosen Penguji yang telah memberikan
arahan dan saran selama ini.
8. Orang tua, saudara-saudaraku, seluruh teman dan sahabatku yang selalu
memberikan dorongan semangat dan masukan baik moril maupun materil
yang tak ternilai harganya.
Penulis
vii
DAFTAR ISI
viii
BAB III METODE PENELITIAN ....................................................................... 9
1. Simpedes ............................................................................................... 14
2. Britama.................................................................................................. 14
4. Kupedes ................................................................................................ 15
ix
4.2 Hasil .......................................................................................................... 39
LAMPIRAN
x
DAFTAR TABEL
xi
DAFTAR GAMBAR
xii
BAB I
PENDAHULUAN
Pada era global saat ini, teknologi informasi (TI) telah berkembang dengan
pesat, terutama dengan adanya jaringan internet yang dapat memudahkan dalam
melakukan komunikasi dengan pihak yang lain. Selain itu, para pengguna atau
user dapat mengakses hampir seluruh informasi yang dibutuhkan baik itu
informasi yang bersifat publik maupun bersifat pribadi. Keamanan terhadap
jaringan komputer sangat penting bagi suatu jaringan komputer, karena jika
terjadi sesuatu maka dapat dimanfaatkan serangan atau penyusupan ke dalam
jaringan komputer tersebut.
Keamanan jaringan merupakan aspek yang sangat penting bagi sebuah
jaringan komputer. Jaringan komputer memiliki kelemahan-kelemahan yang jika
tidak dilindungi dan dijaga dengan baik maka akan menyebabkan kerugian berupa
risiko data loss, kerusakan sistem server, tidak maksimal service nya dan
kehilangan objek vital instansi baik perusahaan, organisasi maupun akademisi.
Oleh karena itu, perlu adanya jaminan keamanan jaringan, suatu jaringan (sistem)
agar tercipta layanan yang memberikan kenyamanan dan kepercayaan kepada
pengguna layanan tersebut, terutama pada saat LAN terhubung ke Internet akan
menjadi semakin penting..
PT. BRI (Persero) Tbk, KCP Sudirman Palembang adalah salah satu
perusahaan badan usaha milik negara (BUMN) yang bergerak di bidang
perbankan yang memiliki tujuan untuk menjadi bank komersial terkemuka yang
selalu mengutamakan kepuasan nasabah. PT. BRI (Persero) Tbk, KCP Sudirman
Palembang menyediakan perlindungan jaringan untuk mendukung dan
memastikan lancarnya kegiatan yang ada di perbankan. Proses jaringan yang
berjalan di PT. BRI (Persero) Tbk, KCP Sudirman Palembang ini menggunakan
jaringan internet dari modem yang dihubungkan ke bri satelit sebagai jaringan
internet yang kembali ke router dan langsung ke server. PT. Bank Rakyat
1
Indonesia (Persero) Tbk, KCP Sudirman Palembang juga turut serta dalam
penyelenggaraan sistem keamanan jaringan.
Sistem keamanan jaringan merupakan faktor penting untuk menjamin
stabilitas, integritas dan validitas data di PT. BRI (Persero) Tbk, KCP Sudirman
Palembang. Disini PT. BRI (Persero) Tbk, KCP Sudirman Palembang
menggunakan Intranet sebagai keamanan data dan berbagi informasi. Dan sebagai
pembantu pengaman data dipakailah yaitu IPS (Intrusion Prevention System)
pada Cisco Router. intrusion prefention system (IPS), adalah pendekatan yang
sering digunakan untuk membangun sistem keamanan komputer,IPS
mengkombinasikan teknik firewall dan metode IDS dengan baik. Sedangkan IDS
(intrution detection system) adalah sebuah sistem yang melakukan pengawasan
terhadap lalu lintas (traffic) jaringan dan pengawasan terhadap kegiatan kegiatan
yang mencurigakan didalam sebuah sistem jaringan.
Sistem jaringan komputer di PT. BRI (Persero) Tbk, KCP Sudirman
Palembang agar tidak terganggu bahkan sampai rusak oleh serangan
penyusup(intrusion), maka diperlukan analisa sistem keamanan jaringan yang
dapat menanggulangi dan mencegah serangan penyusup tersebut.di sini penulis
menggunakan Framework NIST(National Institute Standard Technology) sebagai
metode dalam menganalisa sistem keaman jaringan di PT. Bank Rakyat Indonesia
(Persero) Tbk, KCP Sudirman Palembang. Pentingnya penelitian ini adalah untuk
mengurangi ancaman yang berdampak negatif pada sistem keamanan informasi,
sehingga mengurangi dampak kegagalan sistem informasi dan meminimalkan
risiko yang mungkin timbul. Selain itu, analisis sistem keamanan jaringan
dilakukan dengan menggunakan Framework NIST (National Institute of
Standards Technology), kerangka kerja yang dirancang untuk perhitungan
kualitatif berdasarkan analisis sistem keamanan.
2
yaitu System Characterization, Threat Identification, Vulnerability Identification,
Control Analysis, Likelihood Determination, Impact Analysis, Risk
Determination, Control Recommendations dan Results Documentation.
Adapun Beberapa penelitian yang telah dilakukan beberapa penulis
tentang penerapan NIST sebagai framework untuk analisis jaringan, yaitu Analisis
Manajemen Risiko Sistem Keamanan Ids (Intrusion Detection System) Dengan
Framework Nist (National Institute Of Standards And Technology) Sp
800-30 (Studi Kasus : Disinfolahtaau Mabes Tni Au), Sistem Pemeriksa
Keamanan Informasi Menggunakan National Institute Of Standards And
Technology (Nist) Cybersecurity Framework, Audit Keamanan Sistem Informasi
Akademik Menggunakan Framework Nist Sp 800-26 (Studi Kasus : Universitas
Sangga Buana Ypkp Bandung) dan Analisis Sistem Keamanan Jaringan
menggunakan Framework Nist (Studi Kasus : Universitas Sjakhyakirti).
Dari uraian diatas, maka penulis memilih topik dengan judul “Analisis
Sistem Keamanan Jaringan Menggunakan Framework Nist Pada PT Bank Rakyat
Indonesia (Persero) Tbk, KCP Sudirman Palembang”.
3
1.4 Tujuan dan Manfaat Penelitian
Waktu penelitian ini dimulai dari bulan Desember sampai dengan bulan
Februari, mencakup kegiatan dalam langkah-langkah penelitian dari persiapan
hingga pelaksanaan penelitian.
4
1.5.2 Alat dan Bahan
1.5.2.1 Alat Penelitian
5
1.5.3 Metode Penelitian
1.5.3.1 Metode Kualitatif
1. System Characterization
Tahapan ini melihat dari aspek aspek seperti hardware, software, interface,
data serta karakteristik jaringan , dan lain-lain.
2. Threat Identification
3. Vulnerability Identification
6
4. Control Analysis
Tujuan utama dari tahap ini untuk menganalisis kontrol yang telah
diterapkan dan yang akan diterapkan, untuk mengurangi kemungkinan terjadinya
ancaman.
5. Likelihood Determination
6. Impact Analysis
Pada tahapan ini adalah untuk Menilai dampak yang terjadi terhadap
serangan Berdasarkan penentuan kemungkinan risiko yang mengancam sistem
informasi.
7. Risk Determination
Tujuan pada tahapan ini yaitu Penentuan risiko ini untuk menilai tingkat
risiko terhadap sistem, penilaian ini mengacu pada kemungkinan risiko dan
dampak risiko yang telah ditentukan.
8. Control Recommendations
9. Results Documentation
7
1.5.4 Metode Pengumpulan Data
Metode Pengumpulan Data adalah langkah yang strategis dalam
penelitian, karena tujuan utama penelitian yaitu untuk mendapatkan data
(Sugiyono, 2010). Adapun Metode Pengumpulan Data yang digunakan dalam
penelitian ini yaitu:
1. Asesmen (assessment)
2. Studi Literature
3. Persiapan Software
4. Keamanan Jaringan
5. Analisa Risiko
8
1.6 Sistematika Penulisan
Dimana pembahasan laporan ini dapat memberikan gambaran sesuai
dengan tujuan, maka penulisan laporan ini disusun dengan sistematika penulisan
sebagai berikut:
BAB I PENDAHULUAN
9
BAB IV HASIL DAN PEMBAHASAN
Dalam bab ini membahas tentang hasil dan pembahasan dari Analisis
Sistem Keamanan Jaringan di PT BRI (Persero) Tbk, KCP Sudirman
Palembang Menggunakan Framework Nist dan kelemahan dan
kekurangan serta risiko dari acaman jaringan internet di PT BRI
(Persero) Tbk, KCP Sudirman
BAB V PENUTUP
10
BAB II
TINJAUAN PUSTAKAN
11
kantor Cabang (dalam negeri), 145 Kantor Cabang Pembantu, 1 Kantor
Perwakilan khusus, 1 new york Agency, 1 Caymand island Agency, 1 kantor
Perwakilan di hongkong, 40 Kantor Kas Bayar, 6 Kantor Mobil Bank, 193
P.POINT, 3.705 BRI UNIT dan 357 Pos Pelayanan desa
PT. Bank Rakyat Indonesia (Persero) Tbk yang telah berdiri sejak tahun
1895 dengan didasari pelayanan pada masyarakat kecil yang sampai sekarang
tetap konsisten, yaitu fokus memberikan fasilitas kredit kepada golongan
pengusaha kecil. Kini untuk lebih menunjang kegiatan pada dunia perbankan, PT.
Bank Rakyat Indonesia (Persero) Tbk telah berdiri di Provinsi Sumsel salah
satunya dengan salah satu cabangnya yaitu PT. Bank Rakyat Indonesia (Persero),
Tbk, KCP Sudirman Palembang. Sejak didirikan, PT. BRI (Persero), Tbk, KCP
Sudirman Palembang yang memiliki 1 Kantor Cabang Pembantu, 21 Kantor Unit,
serta 13 Teras yang tersebar di wilayah Palembang agar lebih dekat dengan para
nasabahnya.
12
KEPALA UNIT
SUPERVISOR
MANTRI BRIGUNA
MANTRI KUR
TELLER CUSTOMER SERVICE PA. KUR PAYMENT POINT
MANTRI KUPEDES
MANTRI TERAS
PRAMUBAKTI
SATPAM
PENJAGA MALAM
Visi PT. Bank Rakyat Indonesia (Persero) Tbk. adalah bank terkemuka
dan terbuka yang selalu mengutamakan kepuasaan para nasabah yang ada
diseluruh Indonesia agar selalu mempercayai Bank Rakyat Indonesia sebagai
bank terbaik di Indonesia.
13
teknologi informasi yang handal dengan melaksanakan manajemen risiko
serta praktek Good Corporate Governance (GCG) yang sangat baik.
3. Memberikan keuntungan dan manfaat yang optimal kepada pihak-pihak
yang berkepentingan (stakeholders).
1. Simpedes
Simpedes merupakan simpanan yang termasuk dalam kelompok tabungan.
Simpedes adalah simpanan masyarakat pedesaan di BRI, termasuk dalam
kelompok tabungan yang pengambilan maupun penyetorannya tidak dibatasi
dalam jumlah maupun frekuensi sepanjang saldo mencukupi. Simpedes mulai
diperkenalkan kepada masyarakat pada November 1984, dimaksudkan untuk
menghimpun dana masyarakat guna menunjang sumber dana Kupedes. Dengan
adanya fasilitas online dan sebagian besar BRI Unit telah terhubung dengan
jaringan online, masyarakat dapat menikmati transaksi online maupun melakukan
transaksi melalui ATM. Ketentuan saldo mengendap sebesar Rp 50.000, bila
selama tiga bulan berturut-turut tidak ada transaksi dan rekening tersebut kosong,
rekening Simpedes akan tertutup secara otomatis.
2. Britama
Britama merupakan simpanan masyarakat dalam bentuk tabungan yang
dilayani di Kanca dan BRI Unit yang sudah online, yang pengambilan maupun
penyetorannya tidak dibatasi selama saldo masih mencukupi. Britama Produk
tabungan yang memberikan beragam kemudahan dalam melakukan transaksi
perbankan dengan didukung fasilitas e-banking dan sistem real time online yang
akan memungkinkan nasabah untuk bertransaksi kapanpun dan dimanapun.
Dalam Britama Saldo mengendap sebesar Rp. 50.000 agar tabungan tetap aktif.
Tidak ada transaksi selama tiga bulan berturut-turut dan tidak ada saldo
mengendap, rekening Britama akan tertutup secara otomatis.
14
3. Deposito BRI (DepoBRI)
Deposito BRI (DepoBRI) adalah simpanan berjangka yang dikeluarkan
oleh PT. BRI (Persero) Tbk yang penarikannya hanya dapat dilakukan dalam
jangka waktu yang telah diperjanjikan antara penyimpan dengan bank. Tanda
bukti atas simpanan deposito di BRI Unit adalah Bilyet DepoBRI yang resmi
diterbitkan oleh PT. BRI (Persero) Tbk atas nama pemiliknya dan tidak dapat
diperjualbelikan seperti halnya sertifikat deposito maupun dipindahtangankan
kepada orang lain tanpa surat kuasa pemiliknya.
4. Kupedes
Kupedes BRI adalah kredit dengan jaminan yang tawarkan bunga bersaing
yang dapat diajukan pelaku usaha. Produk pinjaman yang satu ini bisa diperoleh
di seluruh BRI Unit dan Teras BRI.Kupedes Kredit Umum Pedesaan yang
diberikan oleh BRI Unit kepada masyarakat yang bersifat individual, selektif dan
berbunga wajar untuk mengembangkan atau meningkatkan usaha kecil yang
layak.
5. KUR Mikro
KUR merupakan singkatan dari Kredit Usaha Rakyat yaitu
kredit/pembiayaan kepada Usaha Mikro, Kecil, Menengah dan Koperasi
(UMKM-K) dalam bentuk pemberian modal kerja dan investasi yang didukung
fasilitas penjaminan untuk usaha produktif. KUR Mikro Bank BRI merupakan
kredit modal kerja atau investasi dengan plafon pinjaman sampai dengan Rp 25
juta per debitur dengan ketentuan produk fitur berikut: Batas maksimal kredit
untuk masing-masing debitur adalah Rp 25 juta.KUR merupakan program yang
dicanangkan oleh pemerintah namun sumber dananya sepenuhnya berasal dari
dana bank. Penyaluran KUR diatur oleh pemerintah melalui Peraturan Menteri
Keuangan No. 135/PMK.05/2008 tentang fasilitas Penjaminan Kredit Usaha
Rakyat yang telah diubah dengan Peraturan Menteri Keuangan No.
10/PMK.05/2009.Pemerintah memberikan penjaminan terhadap risiko KUR
sebesar 70% sementara sisanya sebesar 30% ditanggung oleh pihak bank PT. BRI
(Persero).
15
6. Penerimaan Pembayaran
Disamping menyediakan jasa-jasa perbankan seperti diatas, PT. BRI
(Persero), Tbk, KCP Sudirman Palembang, seperti penerimaan pembayaran
listrik, pembayaran PDAM, pembayaran telepon, penerimaan pembayaran
pendaftaran Universitas, dan pembayaran kredit kendaraan.
16
berupa hardware maupun software yang telah diberikan fasilitas untuk suatu
pengamanan jaringan.(SUBAKTI, 2017)
17
Penyerang menangkap penyebaran paket ARP dari access point dan
kemudian mengirimkan balasan ARP fiktif sehingga informasi perangkat dari
penyerang akan terpetakan ke dalam table ARP untuk kemudian mendapatkan hak
akses ke dalam jaringan.
2. Denial Of Service (DOS)
DoS merupakan kependekan dari Distributed Denial of Service atau
dalam bahasa Indonesia dapat diartikan sebagai Penolakan Layanan secara
Terdistribusi. DDoS adalah jenis serangan yang dilakukan dengan cara
membanjiri lalu lintas jaringan internet pada server, sistem, atau jaringan.
Umumnya serangan ini dilakukan menggunakan beberapa komputer host
penyerang sampai dengan komputer target tidak bisa diakses.
DDoS adalah serangan yang sangat populer digunakan oleh hacker. Selain
mempunyai banyak jenis, DDoS memiliki konsep yang sangat sederhana, yaitu
membuat lalu lintas server berjalan dengan beban yang berat sampai tidak bisa
lagi menampung koneksi dari user lain (overload). Salah satu cara dengan
mengirimkan request ke server secara terus menerus dengan transaksi data yang
besar.
Metode serangan dengan mengirimkan paket data dalam jumlah yang
sangat besar terhadap jaringan yang menjadi targetnya secara terus-menerus. Hal
ini dapat mengganggu lalu lintas data bahkan dapat merusak sistem jaringan
server. Berhasil atau tidaknya teknik DDoS dipengaruhi oleh kemampuan server
menampung seluruh request yang diterima dan juga kinerja firewall saat ada
request yang mencurigakan
3. Packet Snifing
Teknik yang digunakan yaitu dengan melakukan pencurian data, cara
kerjanya yaitu dengan memonitoring dan menganalisis setiap paket data yang
ditransmisikan dari klien ke server.
18
mempromosikan dan meningkatkan infrastruktur teknologi. NIST adalah badan
federal non-regulasi dengan misi mengembangkan dan mempromosikan
pengukuran, standar dan teknologi untuk meningkatkan produktivitas dan
meningkatkan kualitas hidup.(Susilo et al., 2014).
NIST Security memiliki risk framework yang cukup dikenal yaitu : NIST
SP 800-39 (defines the overall risk management process), NIST SP 800-37 (the
risk management framework for federal information systems), and NIST SP 800-
30 (risk assessment progress).(Solichin, 2020).
19
Analysis, Risk Determination, Control Recommendations dan Results
Documentation.
20
disebabkan karena banyaknya
fungsi pada NIST Cybersecurity
Framework yang belum
diimplementasi sepenuhnya
sehingga menimbulkan kerentanan
terhadap keamanan informasi di PT
NPI.
3 Rangga Satria Audit Keamanan Sistem Berdasarkan hasil penilaian audit
Perdana Informasi Akademik keamanan terhadap sistem
Menggunakan Framework informasi akademik yang terdapat
Nist Sp 800-26 (Studi Kasus : di Universitas Sangga Buana
Universitas Sangga Buana YPKP, dapat disimpulkan bahwa
Ypkp Bandung) sistem informasi akademik tersebut
sudah berada pada tingkat 3, yaitu
implemented procedures and
controls. Itu menandakan bahwa
prosedur dan pengendalian yang
ditetapkan oleh pihak institusi
sudah dijalankan. Hal tersebut
didapat berdasarkan hasil penilaian
audit keamanan secara keseluruhan
yang berada pada angka 3,7005 dari
5.
4 M. Zen Analisis Sistem Keamanan Kesimpulan yang dapat diambil
Andriyansa, Jaringan Menggunakan dari evaluasi sistem jaringan ini
Febriyanti Framework Nist (Studi Kasus adalah: 1) Penelitian
Panjaitan : Universitas Sjakhyakirti) berhasilmenjawab apakah sistem
keamanan jaringan di Universitas
Sjakhyakirti Palembang dapat
dianalisa dengan frameworkNIST.
2) Setelah diteliti, ditemukan bahwa
sistem keamanan jaringan
Universitas Sjakhyakirti memiliki
celah terhadap ancaman DDoS,
Packet Sniffing, Ransomware, dan
Spoofing. Selain itu, sistem
keamanan jaringan Universitas
Sjakhyakirti juga memiliki
kerentanan dari sisi miskonfigurasi,
backdoor, dan rootkit. 3) Dengan
adanya penelitian ini, berhasil
menerapkan tujuannya untuk
menganalisis sistem keamanan
21
jaringan komputer menggunakan
metode framework NISTpada
Universitas Sjakhyakirti. 4)
Penerapan Framework NIST pada
penelitian ini menguntungkan
Universitas Sjakhyakirti karena
dapat membantu menganalisa
kekurangan yang ada pada jaringan.
Jika tidak diterapkan,maka
Universitas Sjakhyakirti tidak akan
mengetahui kelemahan jaringan dan
tidak dapat mengantisipasi adanya
ancaman dan kerentanan pada
jaringan. Ancaman tersebut antara
lain DDoS, packet sniffing,
ransomware, dan spoofing,
kerentanan tersebut antara lain
miskonfigurasi, backdoor, dan
rootkit.
5 Dian Ayu Analisis Manajemen Risiko Berdasarkan hasil analisis risiko
Permatasari Sistem Informasi E-LKPJ teknologi informasi pada sistem E-
, Widhy pada Dinas Komunikasi dan LKPJ Dinas Komunikasi dan
Hayuhardhika Informatika Provinsi Jawa Informatika Provinsi Jawa
Nugraha Putra Timur Timur, dipaparkan kesimpulan
, Andi Reza sebagai berikut.
Perdanakusuma 1. Ancaman yang muncul pada
sistem E-LKPJ di Dinas
Komunikasi dan Informatika
Provinsi Jawa Timur terdapat dua
belas ancaman. Ancaman dari
sistem E-LKPJ sebagai berikut,
komputer mati, jaringan internet
mati, AC di ruang data center mati,
gempa bumi, kebakaran gedung dan
data center, gangguan jaringan
internet, lupa kata sandi,
mengisikan email yang tidak sesuai
untuk permintaan kata sandi baru,
hacker atau peretas, human error,
penyalah gunaan data, dan
kebocoran data. Untuk kerentanan
terdapat delapan pada sistem E-
LKPJ sebagai berikut, keterbatasan
22
UPS, tidak ada jaringan internet
cadangan di kantor Perangkat
Daerah, genset tidak langsung
menyala, tidak ada jaringan internet
cadangan, tidak ada pengecekan
ulang terhadap email, tidak ada
enksripsi pada sistem, kurangnya
pelatihan atau sosialisasi, dan SOP
kurang detail atau tidak ada SOP.
2. Tingkat risiko yang muncul pada
sistem ELKPJ di Dinas Komunikasi
dan Informatika Provinsi Jawa
Timur berdasarkan kerangka
kerja NIST SP800-30 terdapat
listrik dan jaringan internet
memiliki tingkat risiko rendah, kata
sandi memiliki tingkat risiko
sedang, dan sumber daya manusia
memiliki tingkat risiko tinggi.
Tingkat risiko didapatkan pada
proses pengelompokan sumber
ancaman.
3. Rekomendasi kontrol yang
diberikan pada sistem E-LKPJ di
Dinas Komunikasi dan Informatika
Provinsi Jawa Timur berdasarkan
kerangka kerja NIST SP800-30
terdapat lima belas rekomendasi
kontrol.
Beberapa rekomendasi kontrol yang
diberikan diambil berdasarkan ISO
27001:2013. Lima belas
rekomendasi kontrol
dikelompokan berdasarkan jenis
risiko.
23
2.4 Kerangaka Berfikir
Identifikasi Masalah
Studi Pustaka
Analisis Menggunakan
Framework NIST
Kesimpulan
24
BAB III
ANALISA DAN PERANCANGAN
25
Pendekatan yang digunakan dalam penyusunan penelitian ini adalah dengan
menggunakan pendekatan kualitatif yaitu suatu prosedur penelitian yang
menghasilkan data deskriptif berupa ucapan atau tulisan dan perilaku yang dapat
diamati dari subyek itu sendiri. Penelitian kualitatif adalah jenis penelitian yang
temuan-temuannya tidak diperoleh melalui prosedur statistik atau bentuk hitungan
lainnya. (Sugiyono, 2010).
26
pengguna dan ahli teknik untuk benar-benar mengidentifikasi, mengevaluasi dan
mengelola risiko dalam sistem teknologi informasi.(M ZEN & Febriyanti, 2020).
NIST Security memiliki risk framework yang cukup dikenal yaitu : NIST
SP 800-39 (defines the overall risk management process), NIST SP 800-37 (the
risk management framework for federal information systems), and NIST SP 800-
30 (risk assessment progress).(Solichin, 2020).
Tahapan ini melihat dari aspek aspek seperti hardware, software, interface,
data serta karakteristik jaringan , dan lain-lain.
Tujuan utama dari tahap ini untuk menganalisis kontrol yang telah
diterapkan dan yang akan diterapkan, untuk mengurangi kemungkinan terjadinya
ancaman.
27
3.1.2.5 Likelihood Determination
Pada tahapan ini adalah untuk Menilai dampak yang terjadi terhadap
serangan Berdasarkan penentuan kemungkinan risiko yang mengancam sistem
informasi. Terdapat tiga kategori tingkat dampak yang bisa dilihat pada tabel 3.2
Tingkat Dampak Definisi Dampak
Tinggi 1. Dapat mengakibatkan kerugian yang sangat
mahal dari banyak aset berwujud.
2. Dapat menganggu misi dan reputasi
organisasi.
3. Dapat mengakibatkan kerusakan sistem yang
besar
Sedang 1. Dapat mengakibatkan kerugian dari banyak
aset berwujud.
2. Dapat menganggu misi dan reputasi
organisasi.
3. Dapat mengakibatkan kerusakan sistem yang
ringan
Rendah Dapat mengakibatkan kerugian dari beberapa aset
berwujud
28
3.1.2.7 Risk Determination
Tujuan pada tahapan ini yaitu Penentuan risiko ini untuk menilai tingkat
risiko terhadap sistem, penilaian ini mengacu pada kemungkinan risiko dan
dampak risiko yang telah ditentukan. Pada NIST SP800-30 untuk penentuan
risiko yang diharapkan dapat mengetahui tingkat prioritas risiko dalam sistem TI.
Pada NIST SP800-30 untuk penentuan risiko yang diharapkan dapat mengetahui
tingkat prioritas risiko dalam sistem TI, menggunakan matriks 3 x 3 seperti pada
Gambar 3.2 dengan kemungkinan ancaman (tinggi, sedang, dan rendah) dan
dampak ancaman (tinggi, sedang, rendah).
29
3.1.2.8 Control Recommendations
30
3.2 Pengumpulan Data
Metode Pengumpulan Data adalah langkah yang strategis dalam
penelitian, karena tujuan utama penelitian yaitu untuk mendapatkan data
(Sugiyono, 2010). Dalam proses pengumpulan data antara lain dengan mencari ke
berbagai sumber terpercaya, sebagai berikut :
4. Asesmen (assessment)
a. Pengelola IT
b. Supervisor
5. Studi Literature
6. Persiapan Software
7. Keaman Jaringan
8. Analisa Risiko
31
BAB IV
HASIL DAN PEMBAHASAN
32
spoofing
5. Sudah pernah kan dilakukan
penangan terhadap serangan
ancaman
3 Identifikasi 1. Apakah perusahaan sudah tau
Kerentanan jenis jenis risiko ancaman dan
(Vulnerability kerentanan
Identification), 2. Seberapa sering sistem
keamanan jaringan perusahaan
mengalami kerentanan dan
ancaman
3. Apakah pernah terjadi
miskonfigurasi pada
perusahaan
4. Apakah pernah terjadi serangan
backdoor
5. Apakah pernah terjadi serangan
rootkit
4 Analisis Kontrol 1. Apakah pernah melakukan
(Control Analysis) pemantauan sistem jaringan
2. Apakah perusahaan pernah
menganalisa kontrol analisis
dari setiap ancaman dan
kerentanan
5 Penentuan 1. Pernahkah dilakukan penilaian
Kemungkinan ( risiko di perusahan terhadap
Likelihood ancaman dan kerentanan
Determination ) 2. Apakah ancaman dan
kerentanan terhadap sistem
jaringan sangat berisiko bagi
perusahaan
3. Apakah penyerangan packet
snifing susah untuk di tangani
4. Apakah penyerangan ddos
susah untuk ditangani
5. Apakah penyerangan spoofing
susah untuk ditangani
6. Apakah saat terjadi
miskonfigurasi susah untuk di
lakukan penanganan
7. Apakah penyerangan backdoor
susah untuk ditangani
8. Apakah penyerangan rootkit
33
susah untuk ditangani
6 Analisa Dampak 1. Apakah perusahaan mengatahui
(Impact Analysis) dampak dari setiap ancaman
dan kerentanan
2. Pernahkah terjadi kerusakan
pada hardware di perusahaan
3. Pernahkah terjadi kebocoran
data
4. Pernahkah terjadi putus
jaringan saat beroperasi
5. Pernahkah dilakukan penilai
dampak diperusahaan terhadap
ancaman dan kerentanan
6. Sudah pernahkah perusahaan
mengatui nilai dari
kemungkinan ancaman
7 Penentuan Risiko 1. Sudah pernahkah perusahaan
(Risk Determination mengatahui nilai dari dampak
) terhadap ancaman dan
kerentanan
2. Sudah pernahkah perusahaan
mengatui nilai dari risiko
terhadap ancaman dan
kerentanan
3. Pernahkah dilakukan penilaian
tingkat risiko diperusahaan
terhadap ancaman dan
kerentanan
34
Gambar 4.1 Form Kuisoner
35
Gambar 4.2 Form Kuisoner
36
Gambar 4.3 Form Kuisoner
37
Gambar 4.4 Form Kuisoner
38
Berdasarkan dari hasil petanyaan assesment wawancara diatas didapatlah
data untuk analisa Tahapan dalam penilaian risiko Framework NIST SP 800-30
Yang menggunakan risk assesment yang menggunakan teknik wawancara dari
beberapa pertanyaan.berikut hasil dan pembahasan dari analisa sistem keaman
jaringan Pt BRI (Persero) Kcp Sudirman Palembang Menggunakan Framework
nist.
4.2 Hasil
Proses penilaian risiko berdasarkan NIST SP 800-30 terdapat beberapa
tahap. Terdapat sembilan tahap dalam proses penilaian risiko berdasarkan NIST
SP800-30, namun pada bab ini hanya dilakukan enam tahap yaitu system
characterization, threat identification, vlnerability identification, control analysis,
likelihood determination, dan impack analisi. 3 tahapam sisa nya masuk di bagian
pembahasan adapun tahapan nya risk determination, control recomendations, dan
result documentation.
39
Gambar 4.5 Karakterisasi Sistem Melalui Topologi
Selain dari segi topologi, peneliti juga akan mengenali karakterisasi sistem
melalui penggunaan perangkat keras (hardware) yang ada. Hasil karakterisasi
sistem melalui perangkat keras pada jaringan PT BRI (Persero) Tbk, KCP
Sudirman Palembang adalah sebagai berikut:
1. HUB SWITCH,TP LINK 24 Port
Router yang dapat digunakan untuk menjadikan komputer biasa menjadi
router yang handal, mempunyai banyak fitur yang mencakup untuk IP Network
dan Jaringan wireless. TP LINK 24 Port ini dipilih karena memiliki sistem
konfigurasi jaringan yang baik.
2. Switch D-Link CATALYS 800
Switch dengan fitur auto switch membuat instalasi cepat dan bebas
kerumitan. Juga terdapat auto-negosiasi pada setiap port yang mendeteksi
kecepatan link dari perangkat jaringan serta dengan cerdas menyesuaikan
kompatibilitas dan kinerja yang optimal.
3. Kabel UTP CAT5
Digunakan sebagai penghubung suatu jaringan dan juga power untuk
koneksi AP ke POE dan Router. Dengan merk AMP original agar bisa digunakan
40
dalam jangka waktu yang lama dan untuk mengurangi masalah yang terdapat pada
koneksi kabel.
4. Port Jaringan RJ45
Konektor atau penghubung kabel ethernet yang biasanya dipakai untuk
jaringan. Konektor ini juga bisa dipakai pada topologi jaringan komputer LAN
(Local Area Network).
Seperti yang kita ketahui jaringan rentan terkena serangan, maka dari itu
perlu diketahui terlebih dahulu ancaman serangan seperti apa saja yang mungkin
membahayakan sistem. Ancaman keamanan jaringan komputer adalah
pengacauan, penyusupan atau serangan-serangan lainnya pada infrastruktur
jaringan untuk menganalisa jaringan dan memperoleh informasi secepatnya, lalu
membuat jaringan menjadi hancur atau rusak, adapun macam macam ancaman
yaitu ddos,sql injection,traffic flooding,request flooding,deface,spoofing,port
scanning,packet snifing dan phising.
1. Paket Snifing
Teknik yang digunakan yaitu dengan melakukan pencurian data, cara
kerjanya yaitu dengan memonitoring dan menganalisis setiap paket data yang
ditransmisikan dari klien ke server. Hasil percobaan packet sniifing
menggunakan wireshark terlihat ada salah satu user sedang membuka situs
http://vbsca.ca/login/login.asp dan Bisa dilihat pada gambar 4.1
41
Gambar 4.6 Penggunaan Wireshark Terhadap Snifing
2. Ddos
Jenis serangan DOS yang menggunakan banyak host dan untuk menyerang
satu server sehingga mengakibatkan server tidak dapat berfungsi bagi klien.
Dengan penggunaan host sekaligus dalam DOS maka jaringan akan lebih cepat
mengalami down dan menolak memberikan pelayanan karena server yang sudah
tidak dapat berfungsi.
3. Spoofing
Teknik yang digunakan yaitu dengan cara memalsukan data sehingga
penyerang (attacker) dapat mengakses sistem seperti host yang bisa dipercaya.
42
4.2.3 Vulnerability Identification
Pada tahapan ini, peneliti mencoba mengidentifikasi kerentanan
(vulnerability) pada sistem keamanan jaringan PT BRI (Persero) Tbk, KCP Sudirman
Palembang. Seperti yang kita ketahui jaringan rentan terkena serangan, maka perlu
diketahui terlebih dahulu celah yang dapat dimanfaatkan penyerang untuk
melancarkan serangannya dan membahayakan sistem. Kerentanan adalah setiap
kelemahan yang dapat di eksploitasi sehingga menggangu sistem atau informasi
yang terpada di dalam sistem keamanan jaringan.adapun macam macam
kerentanan jaringan yaitu miskonfigurasi, virus, worms, backdoor dan rootkit
1. Miskonfigurasi
2. Backdoor
Yaitu langkah memasuki sistem selain akses login utama admin. Biasanya
backdoor tersembunyi dan menggunakan jalur autentikasi berbeda dari jalur
utama.
3. Rootkit
Merupakan alat yang digunakan untuk menyembunyikan jejak apabila telah
melakukan penyusupan. Rootkit menggunakan beberapa tool yang dipakai oleh
sistem yang sudah dimodifikasi sehingga dapat menyembunyikan jejak.
43
Sumber kerentanan Keterangan kerentanan
Miskonfigurasi Terganggunya jaringan
menyebabkan web server mudah diretas
Backdoor Merusak sistem keamanan perangkat/server
Merusak situs web
Rootkit menyebabkan kerusakan secara permanen
terhadap hardware dan software
Tujuan utama dari tahap ini untuk menganalisis kontrol yang telah
diterapkan dan yang akan diterapkan, menjabarkan analisa kendali (control
analysis) untuk meminimalisir atau menghilangkan bahaya yang dapat menyerang
sistem keamanan jaringan PT BRI (Persero) Tbk, KCP Sudirman Palembang.
Tahapan ini diperlukan agar tahu apa yang harus dilakukan saat adanya ancanan
(threat) atau kerentanan (vulnerability).
44
menyebabkan membanjiri trafik atau bahkan
kerusakan secara memberi tantangan keamanan
permanen terhadap seperti Captcha (M ZEN &
hardware dan Febriyanti, 2020)
software
Spoofing Ancaman merusak sistem Menerapkan sistem whitelist
keamanan perangkat / (daftar putih) yang hanya
server mengizinkan pengguna tertentu
untuk mengakses seluruh fitur dan
fasilitas jaringan.
Mulai menggunakan sistem
identifikasi host yang lengkap yang
semestinya menggunakan IP, DNS,
MAC Address, hostname, dan
autorisasi handshake. (M ZEN &
Febriyanti, 2020)
Miskonfig Kerentanan Terganggunya Pastikan konfigurasi port-port
urasi jaringan akses sistem agar tidak digunakan
menyebabkan web penyerang, misalnya port 43 telnet,
server mudah diretas port 20 FTP, dan sebagainya. (M
ZEN & Febriyanti, 2020)
Backdoor Kerentanan Merusak sistem Mulai menutup setiap backdoor,
keamanan seperti ditutupnya akses WPS
perangkat/server (WiFi Pin Setup) yang hanya
Merusak situs web memiliki pola 8 digit.
Men-scan sistem dari adanya
penanaman shell sebagai remote
backdoor. (M ZEN & Febriyanti,
2020)
Rootkit Kerentanan menyebabkan Menerapkan antivirus guna
kerusakan secara mendeteksi adanya rootkit dalam
permanen terhadap sistem operasi jaringan. (M ZEN &
hardware dan Febriyanti, 2020)
software
45
potensi tinggi pada kerugiaan organisasi, hal ini dapat terjadi apabila penentuan
kemungkinan risiko dan analisa kontrol tidak bisa dilakukan secara efektif dalam
mengantisipasi sumber ancaman. Kedua, sedang merupakan sumber ancaman
yang mampu memiliki potensi pada kerugiaan organisasi, tetapi organisasi masih
dapat melakukan kontrol untuk mengantisipasi dan menurunkan risiko. Ketiga,
rendah merupakan sumber ancaman yang memiliki potensi kecil atau rendah, hal
ini dapat terjadi apabila efektivitas analisa risiko dapat mengantisipasi dengan
baik sumber risiko yang mengancam bahkan menyebabkan kerugiaan
organisasi.(Permatasari et al., 2019)
46
yang mengakibatkan terputusnya
koneksi antar server
menyebabkan kerusakan secara
permanen terhadap hardware dan
software
Spoofing merusak sistem keamanan perangkat Sedang
/ server
Miskonfigurasi Terganggunya jaringan Sedang
.menyebabkan web server mudah
diretas
Backdoor Merusak sistem keamanan Rendah
perangkat/server
Merusak situs web
Rootkit menyebabkan kerusakan secara Sedang
permanen terhadap hardware dan
software
4.3 Pembahasan
Proses penilaian risiko berdasarkan NIST SP 800-30 terdapat beberapa
tahap. Terdapat sembilan tahap dalam proses penilaian risiko berdasarkan NIST
SP800-30, pada pembahasan ini kelanjutan dari tahapan yang ada di hasil adapun
tahapan nya risk determination, control recomendations, dan result
documentation.
47
Gambar 4.7 Matriks Tingkat Risiko
Sumber: (Stoneburner, et al., 2002)
Berdasarkan analisis yang dilakukan dengan mengikuti tahap-tahap sebelum
penentuan risiko didapatkan risiko yang menentukan seperti pada Tabel 4.7
48
semua kontrol yang telah direkomendasikan dapat diterapkan atau dilakukan di
organisasi. Berdasarkan hasil analisis yang telah dilakukan kontrol yang
direkomendasikan dapat dilihat pada Tabel 4.8
49
dengan benar.
memonitoring jaringan selama 24 jam sehingga
Anda tidak perlu khawatir lagi akan masalah
keamanan seperti ancaman peretas dan sejenisnya.
Backdoor Rendah mengaktifkan firewall pada device atau website
yang kita gunakan maka akan secara otomatis
memblock user yang tidak dikenali atau user tanpa
ijin dan mereka tidak akan bisa mengambil dan
membuka data dari device atau website kita.
Menggunakan software anti virus, Software anti
virus ini setidaknya bisa menghalangi bahaya dari
backdoor untuk memasuki jaringan Anda.
Rootkit Sedang Perbarui komputer secara teratur. Ini berarti
seluruh komputer, bukan hanya Windows,
antivirus, atau driver graphics card kalian. Itu
berarti memperbarui segalanya.
Mengaktifkan Windows Defender pada setiap pc .
Setiap versi terbaru Windows sudah menyertakan
Windows Defender.
50
sejenisnya.
2. Memasang filter di router, Filter IP yang dipasang pada router
memungkinkan Anda untuk menyaring dari IP masuk yang mencurigakan,
sehingga tindakan IP spoofing bisa dihindarkan.
3. Hindari untuk melakukan klik link/tautan yang tidak jelas, dari klik tersebut
pelaku kejahatan cyber sudah bisa melakukan record data Anda.
Miskonfigurasi 1. Atur dan konfigurasikan perangakat jaringan dengan benar.
2. memonitoring jaringan selama 24 jam sehingga Anda tidak perlu khawatir
lagi akan masalah keamanan seperti ancaman peretas dan sejenisnya
Backdoor 1. mengaktifkan firewall pada device atau website yang kita gunakan maka
akan secara otomatis memblock user yang tidak dikenali atau user tanpa ijin
dan mereka tidak akan bisa mengambil dan membuka data dari device atau
website kita.
2. Menggunakan software anti virus, Software anti virus ini setidaknya bisa
menghalangi bahaya dari backdoor untuk memasuki jaringan Anda
Rootkit 1. Perbarui komputer secara teratur. Ini berarti seluruh komputer, bukan hanya
Windows, antivirus, atau driver graphics card kalian. Itu berarti
memperbarui segalanya.
2. Mengaktifkan Windows Defender pada setiap pc . Setiap versi terbaru
Windows sudah menyertakan Windows Defender.
51
BAB V
KESIMPULAN DAN SARAN
5.1 Kesimpulan
Berdasarkan hasil analisis sistem keamanan jringan pada PT BRI (Persero)
Tbk, KCP Sudirman Palembang menggunakan framework NIST, dipaparkan
kesimpulan sebagai berikut.
52
5.2 Saran
Dari hasil kesimpulan yang telah dikemukakan maka disarankan perlu
adanya bagian khusus yang mendokumentatiskan ada ancaman ancaman yang
telah terjadi, serta memberikan catatan catatan yang mungkin akan berpotensi
menjadi ancaman. Pemahaman tentang pengetahuan terhadap teknis pekerjaan
dan prosedur kerja sebaiknya di miliki oleh karyawan, sehingga dapat
membedakan mana yang akan menjadi ancaman, mana yang bukan. Karena
sistem keaman jaringan selalu berkembang, maka diharpakan adanya pengujian
pengujian yang dilakukan secara berkala, mengingat ancaman dan kerentanan
dalam sistem jaringani juga pasti berkembang ke bentuk ancaman yang baru.
53
DAFTAR PUSTAKA
Susilo, A. H., Wibowo, A., & Setiawan, A. (2014). Analisis Risiko Terhadap
Business Continuity di PT. X. Jurnal Infra, 2(2), 1–5.
Marsehan, A., Herdiansyah, izman, Mirza, A. H., & Antoni, D. (2020). Penilaian
Resiko Kejahatan Illegal Content Menggunakan Framework Nist 800-30.
Jurnal Komputer Dan Informatika, 22(2), 215–224.
54
Elanda, A., & Tjahjadi, D. (2018). Analisis Manajemen Resiko Sistem Keamanan
Ids (Intrusion Detection System) Dengan Framework Nist (National
Institute Of Standards And Technology) Sp 800-30.(Studi Kasus:
Disinfolahtaau Mabes Tni Au). Infoman’s: Jurnal Ilmu-Ilmu Manajemen
Dan Informatika, 12(1), 1–13.
55
LAMPIRAN
56
57
58
59