Abstrak
Badan Kepegawaian dan Pengembangan Sumber Daya Manusia (BKPSDM) Kota Batu adalah OPD
(Organisasi Perangkat Daerah) yang memanfaatkan teknologi informasi untuk proses regulasi serta
opersional dalam organisasi. Sistem E-Kinerja merupakan sebuah sistem yang dibangun BKPSDM
untuk mengukur dan menilai kinerja Aparatur Sipil Negara (ASN) secara periodik sebagai acuan untuk
pemberian tunjangan kinerja. Keberadaan sistem dan pemanfaatan teknologi informasi dapat
memberikan dampak baik sebagai alat bantu dalam operasional organisasi namun dapat memberikan
dampak buruk atau ancaman risiko jika tidak dilakukan mitigasi dengan benar. Persoalan yang terjadi
pada BKPSDM Kota Batu belum pernah dilakukan manajemen risiko dan belum ada dokumen atau
kebijakan terkait keamanan sistem informasi. Penelitian ini bertujuan untuk mengidentifikasi dan
memberikan informasi pada BKPSDM Kota Batu terkait dengan kerentanan risiko, ancaman, kelemahan
sistem, serta memberikan rekomendasi mitigasi. Penelitian ini menggunakan kerangka kerja OCTAVE-
S untuk analisa risiko dan dikombinasikan dengan standar pengendalian ISO 27001:2013. Hasil
penelitian didapatkan 3 area praktik keamanan yang memiliki status yellow stoplight yaitu pengendalian
akses fisik dan manajemen kerentanan. Serta 3 area praktik keamanan yang memiliki status red stoplight
yaitu peraturan dan kebijakan keamanan, autentikasi dan otorisasi, dan manajemen kerentanan. Enam
area praktik keamanan tersebut dipilih sebagai area untuk dilakukan mitigasi. Serta pemberian kontrol
berdasarkan standar ISO 27001:2013 agar dapat digunakan sebagai pedoman BKPSDM Kota Batu
dalam melakukan perbaikan.
Kata kunci: analisis risiko, manajemen risiko, OCTAVE-S, ISO 27001:2013
Abstract
Staffing Agency and Human Resources Development Batu City (BKPSDM) is an OPD (Regional
Institute Organization) that uses information technology for the procurement and operational processes
on the organization. E-Kinerja system is a system managed and created by BKPSDM to measure and
assess the performance of Government Employees (ASN) periodically basis as a reference for providing
performance benefits. The functional of system and information technology give good results because it
helps on the internal operations organization, in other condition also have a bad impact and security
issues that are not mitigated proceed correctlye. Problems that occur in BKPSDM Batu City never do
an assesment focused on risk management and there are no regulations or policies related to
information system security. This researcher supports to identification and provide information on
BKPSDM Batu City related to weaknesses, challenges, system weaknesses, and provide mitigation
recommendations. This study uses an OCTAVE-S work license to analyze risk and combined with
standard ISO 27001: 2013 controls. The results of the study obtained 3 areas of security practices that
have yellow traffic light status namely security management, physical access and management approval.
As well as 3 areas of security practices that have red light status namely security regulations and
policies, authentication and authorization, and security management. There are six areas of security
practice were chosen as areas for mitigation. Control guidelines according to standard ISO 27001:
2013 so that they can be used as guidelines for the BKPSDM of Batu City in making improvements.
Keywords: risk analysis, risk management, OCTAVE-S, ISO 27001: 2013
2.3 OCTAVE-S
Menurut Albert (2003) Prosedur OCTAVE-
S merupakan sesuatu ancangan pada penilaian
resiko keamanan pada data yang komprehensif,
sistematik, terencana, serta dicoba sendiri.
Pendekatannya dirancang sesuai dengan kriteria
yang menjabarkan komponen utama dari
penilaian risiko keamanan data. OCTAVE- S
(The Operationally Critical Threat, Asset, and
Vulnerability Evaluation-Small) dimanfaatkan
oleh organisasi kecil (kurang dari 100 orang).
OCTAVE- S dicoba oleh sesuatu kelompok TI
dengan 3- 5 orang dalam satu kelompok. Agar
tata cara OCTAVE- S bisa berjalan dengan baik,
maka kelompok TI wajib mempunyai
pengetahuan terkait proses bisnis, serta tujuan
yang hendak dicapai organisasi, sehingga proses
manajemen risiko dengan menggunakan tata
cara OCTAVE- S dapat diimplementasikan
sendiri.
Tahapan dalam OCTAVE-S berupa tiga
fase. Fase pertama menciptakan profil ancaman
berbasis aset, kedua mengidentifikasi kelemahan
infrastruktur dan fase ketiga yaitu membuat
perencanaan dan strategi keamanan (Albert, Gambar 2. Alur Metode Penelitian
2003).
Penelitian ini mengenakan metode
kualitatif. Alur penelitian yang digunakan
pertama yaitu melaksanakan identifikasi kasus
pada BKPSDM Kota Batu, kemudian
menerapkan pengumpulan informasi.
Pengumpulan informasi melaksanakan
wawancara serta observasi. Sesudah
pengumpulan informasi dilakukan, lalu
pengelolaan informasi. Dengan melaksanakan 3
fase dalam metode OCTAVE- S. Setelah itu
membuat rekomendasi serta kontrol yang
diberikan memanfaatkan ISO 27001:2013
Gambar 1. Metode Octave-S dilakukan oleh organisasi itu sendiri.
4.2 Evaluasi Praktik Keamanan Organisasi BKPSDM Kota Batu mempunyai banyak aset,
adapun kurang lebih aset kritis yang ada di
Praktik keamanan merupakan tindakan yang BKPSDM Kota Batu antara lain E-Kinerja dan
dipakai untuk mendukung awalan, Server. E-Kinerja dipilih karena merupakan
mengamalkan dan melakukan pengamanan aplikasi BKPSDM Kota Batu yang berfungsi
dalam suatu organisasi. Dalam aktivitas ini untuk pengelolaan penilaian kinerja pegawai. E-
dilaksanakan pemeriksaan afirmasi pada setiap Kinerja dinilai sangat penting untuk memberikan
area praktik keamanan dan security practice informasi yang akurat terkait dengan penilaian
worksheet, serta memberi rating dengan kriteria hasil kinerja pegawai yang dapat digunakan
Very Much, Some What, Not at All. sebagai acuan pemberian tunjangan kinerja.
Tabel 2. Aspek Keamanan Server dinilai bagaikan peninggalan kritis
yang wajib dilindungi dari ancaman resiko yang
No Aspek Keamanan Stoplight
.
bisa jadi berlangsung pada BKPSDM Kota Batu.
1. Kesadaran dan Pelatihan Hijau Sebab server memiliki kerentanan yang lumayan
Keamanan besar terhadap resiko karena semua informasi
2. Strategi Keamanan Hijau diproses dan disimpan di dalam server dalam
3. Manajemen Keamanan Kuning bentuk database apabila terjadi masalah dalam
4. Peraturan dan Kebijakan Merah
server maka akan berpengaruh terhadap layanan
Keamanan
5. Manajemen Keamananl Hijau yang diberikan.
Kolaboratif
6. Perencanaan Contingency/ Hijau 4.4 Identifikasi Ancaman Aset Kritis
Pemulihan Bencana
7. Pengendalian Akses Fisik Kuning Pada proses ini melakukan identifikasi
8. Pemantauan dan Audit Hijau ancaman pada aset kritis yaitu menentukan
Keamanan Fisik worksheet yang sesuai dengan seluruh aset kritis,
9. Manajemen Jaringan dan Hijau
Selanjutnya merapikan seluruh skema ancaman sehingga perlu ditingkatkan atau diperbaiki,
atau threat tree yang tepat pada seluruh aset-aset sedangkan pada area yang memiliki status warna
penting dengan merencanakan cabang mana merah menunjukkan bahwa organisasi tidak
yang mempunyai kemungkinan ancaman melaksanakan praktik keamanan di area itu atau
terhadap aset yang tak berfungsi dan cabang masih dilakukan dengan buruk sehingga perlu
mana yang mempunyai kemungkinan ancaman melakukan perbaikan yang serius pada area
terdapat aset yang bisa dilalui atau tidak ada nilai keamanan tersebut. Area mitigasi dijelaskan
ancaman terhadap aset tersebut. Kemudian pada tabel berikut.
mengidentifikasi lajur akses yang digunakan Tabel 4. Area Mitigasi
untuk melakukan akses aset kritis dapat melalui
lajur jaringan maupun fisik. Aspek Keamanan Status Stoplight
Tabel 1. Aset Kritis Manajemen Keamanan Kuning
Pengendalian Akses Fisik Kuning
i. E-Kinerja Manajemen Kerentanan Kuning
Jalur Aktor Motif Tingkat Motif Peraturan dan Kebijakan Merah
Akses Keamanan
Autentikasi dan Otorisasi Merah
Jaringan Internal Tidak Rendah Manajemen Insiden Merah
Sengaja
Sengaja Rendah 5.2 Rekomendasi Kontrol
Fisik Internal Tidak Rendah Berdasarkan hasil analisis penilaian risiko dan
Sengaja
penetapan area mitigasi kemudian akan dibuat
Masalah Sistem Macet (System Rendah rencana untuk rekomendasi kontrol untuk
sistem Crashes) memberikan saran yang bisa digunakan acuan
Kerusakan software Sedang dalam tahapan mitigasi risiko. Yang mana
kontrol keamanan teknis dan prosedur telah
disarankan, dievaluasi, ditelaah, dan
ii. Server diimplementasikan. Pada tahap ini planning
Jalur Aktor Motif Tingkat mitigasi risiko dibuat dengan mengambil kontrol
Akses Motif – kontrol pengendalian yang terdapat pada ISO
Jaringan Internal Sengaja Rendah – 270001:2013. Rekomendasi kontrol berfungsi
Sedang untuk meminimalkan tingkat risiko yang
Ekstenal Sengaja Sedang
diperoleh saat ini hingga ke tingkat yang dapat
diterima oleh organisasi.
Fisik Internal Tidak Rendah Tabel 5. Rekomendasi Kontrol
Sengaja
Masalah Power Supply (Sumber Sedang Pengendalian
lainnya Daya Listrik) Aspek Menurut ISO Rekomendasi
27001:2013
Membuat prosedur
5. PEMBAHASAN Parimeter operasi yang
Keamanan mengatur otorisasi
5.1 Penentuan Area Mitigasi Fisik semua staf atau pihak
(A.11.1.1) ke tiga yang berada
Kerangka Kerja OCTAVE-S mempunyai Manajemen Melapor pada tempat informasi
sebagian area praktik keamanan yang harus Keamanan peristiwa penting.
dilaksanakan oleh organisasi untuk keamanan Melakukan sosialisasi
memantapkan strategi yang digunakan untuk informasi Standar Operasional
keamanan organisasi. Berdasarkan hasil evaluasi (A.16.1.2) Prosedur yang sudah
terhadap praktik keamanan yang dilakukan pada disetujui, kepada
seluruh pegawai.
BKPSDM Kota Batu telah didapatkan hasil
bahwa terdapat beberapa dari area yang kurang Bekerja di
pemantauan sehingga perlu diperbaiki. Area area yang
Membuat prosedur
Pengendali- aman
tersebut didapatkan dari status stoplight yang an Akses (A.11.1.5)
keamanan fasilitas
memiliki status warna kuning yang menandakan serta setiap area yang
Fisik
bahwa intansi baru melakukan sebagian Mengaman- terlarang.
kan kantor,
keamanan praktik kerja pada area tersebut ruangan, dan
7. DAFTAR PUSTAKA
Albert, C. &. (2003). Managing Information
Security Risks: The OCTAVESM
Approach. USA: Addison Wesley.
Alberts, C., Dorofee, A., Stevens, J., Woody, C.
(2005). OCTAVE®-S Implementation
Guide, Version 1.0. USA: Carnegie
Mellon University.
Ega Lestari Sukma. 2013. "Evaluasi Manajemen
Risiko Keamanan Informasi Sistem
Provisioning Gateway Telkom Flexi".
Karya Akhir. Fakultas Ilmu Komputer
Program Studi Magister Teknologi
Informasi. Universitas Indonesia Jakarta.
Gordon, D. 1974. Management Information
System: Conceptual Foundation,
Structure, and Development, McGraw-
Hill International Book Company.
Gui, Anderes, et al. 2008. Pengukuran Teknologi
Informasi (TI) dengan Metode Octave-S,
Communication and Information
Technology Journal, Vol. 2, no. 1, pp. 33–
38.
Sarno, R., & Iffano, I., 2009. Sistem manajemen
keamanan informasi. Surabaya: ITSPress.
Stephanus. 2014. Implementation Octave-S and
ISO 27001 control in Risk Management
Information System. ComTech, Vol.5,
No.2, pp. 685-693.