Eko Supristiowadi
Direktorat Jenderal Perbendaharaan
Yudho Giri Sucahyo
Universitas Indonesia
Halaman 23
MANAJEMEN RISIKO KEAMANAN INFORMASI PADA SISTEM APLIKASI Indonesian Treasury Review Vol.3, No.1, 2018, Hal 23-33
KEUANGAN TINGKAT INSTANSI (SAKTI) KEMENTERIAN KEUANGAN
Halaman 24 Eko Supristiowadi
16. R26 adalah risiko hilang atau rusaknya data juga risiko yang memiliki nilai risiko di atas nilai
SAKTI, dan aplikasi SAKTI tidak dapat penerimaan risiko yang telah dimitigasi.
dioperasikan Penerimaan risiko diputuskan oleh pihak yang
17. R28 adalah risiko tidak beroperasinya KPPN memiliki kapasitas dalam mengambil keputusan
18. R29 adalah risiko tidak beroperasinya KPPN terkait risiko yang ada.
19. R36 adalah risiko hilang atau rusaknya data,
dan aplikasi SAKTI tidak dapat digunakan Tabel 4 Penerimaan Risiko
20. R4 adalah risiko beberapa kegiatan No Kode Risiko Status Penerimaan
pengelolaan keuangan negara tidak dapat 1 R1 Dimitigasi
dilakukan 2 R15 Dimitigasi
21. R8 adalah risiko kerugian negara, dan aplikasi 3 R2 Dimitigasi
SAKTI tidak dapat dioperasikan 4 R7 Dimitigasi
22. R22 adalah risiko hilang atau rusaknya data 5 R10 Dimitigasi
6 R11 Dimitigasi
23. R31 adalah risiko tidak beroperasinya KPPN 7 R12 Dimitigasi
24. R33 adalah risiko bangunan mengalami 8 R13 Dimitigasi
kebakaran, dan 9 R14 Dimitigasi
25. R30 adalah risiko aplikasi SAKTI tidak dapat 10 R27 Dimitigasi
dijalankan. 11 R16 Dimitigasi
12 R17 Dimitigasi
4.4 Penanganan Risiko 13 R20 Dimitigasi
14 R24 Dimitigasi
Setelah risiko diperingkatkan, langkah 15 R25 Dimitigasi
selanjutnya adalah menetapkan kontrol untuk 16 R26 Dimitigasi
setiap risiko yang ada. Pada penelitian ini, jenis 17 R28 Dimitigasi
18 R29 Dimitigasi
kontrol yang diterapkan merujuk kepada NIST SP
19 R36 Dimitigasi
800-30, yaitu bersifat preventive atau detective, 20 R4 Diterima
karena SAKTI saat ini masih dalam tahap piloting, 21 R8 Diterima
dan belum beroperasi secara penuh. Adapun 22 R22 Diterima
kontrol yang diterapkan untuk masing-masing 23 R31 Diterima
risiko didasarkan pada ISO 27002 dan NIST SP 24 R33 Diterima
25 R30 Diterima
800-53. Tabel 3 menjelaskan tentang pihak yang
bertanggung jawab atau person in charge (PIC)
penerapan kontrol.
Tabel 3 PIC Penerapan Kontrol 5. KESIMPULAN
No Penanggung Kode Risiko Berdasarkan pembahasan yang telah
Jawab Penerapan dilakukan, berikut ini adalah beberapa hal yang
Kontrol dapat disimpulkan, yaitu:
1 Subdit PSIE R1, R15, R2, R7, R10, R11, 1. SAKTI memiliki peran yang sangat penting
R12, R13, R14,R27, R16, R17, dalam menunjang proses pengelolaan
R20, R24, R25, R26, R28, R29,
R36 keuangan negara, sehingga menjadi sebuah
keharusan agar SAKTI memiliki perangkat
2 Subdit PI R1, R15, R2, R7, R10, R11,
R12, R13, untuk menjamin ketersediaan layanan SAKTI.
R14, R27, R16, R17, R20, R24, Salah satu perangkat yang dapat digunakan
R25, R26, R28, R29, R36 untuk menjamin ketersediaan layanan SAKTI
3 Subdit PTTI R15, R7, R10, R11, adalah dengan penerapan manajemen risiko
R12, R13, R14, R27, keamanan informasi.
R24, R25, R28, R29, 2. Berdasarkan observasi yang dilakukan,
4 PUSINTEK R1, R15, R2, R7, R10, R11, ditemukan bahwa SAKTI belum memiliki
R12, R13, perangkat untuk menjamin ketersediaan
R27, R16, R17, R20,
layanan yang ada.
R28, R29
3. Pada penelitian ini, perangkat yang dibuat
5 Seksi Layanan R1, R20, untuk menjamin ketersediaan layanan SAKTI
Pengguna pada
Subdit PSIE adalah manajemen risiko keamanan
informasi.
4. Proses penyusunan manajemen risiko
4.5 Penerimaan Risiko keamanan informasi pada SAKTI berupa
Proses penerimaan risiko adalah sebuah penetapan konteks, identifikasi aset,
proses yang dilakukan untuk menerima risiko yang identifikasi kerentanan, identifikasi ancaman,
ada. Risiko yang diterima bukan saja risiko yang identifikasi risiko, dan pemilihan kontrol
sesuai dengan kriteria penerimaan risiko, namun terhadap risiko, berpedoman pada ISO
MANAJEMEN RISIKO KEAMANAN INFORMASI PADA SISTEM APLIKASI Indonesian Treasury Review Vol.3, No.1, 2018, Hal 23-33
KEUANGAN TINGKAT INSTANSI (SAKTI) KEMENTERIAN KEUANGAN
Halaman 32 Eko Supristiowadi
27005, NIST SP 800-26, NIST SP 800-53, dan Kimball, R., & Ross, M. (2013). The Data Warehouse
NIST SP 800-30. Toolkit: the Definitive Guide to Dimensional
5. Penyusunan manajemen risiko keamanan Modelling Third Edition. Indianapolis:
informasi SAKTI yang dilakukan pada Wiley.
penelitian ini telah berhasil mengidentifikasi
Kusek, J., & Rist, R. (2004). Ten Steps to a Results-
25 skenario risiko, dan menetapkan pihak
Based Monitoring and Evaluation System. .
yang bertanggung jawab untuk memitigasi
Washington, DC: The World Bank.
risiko yang ada.
Liu, X., & Luo, X. (2010). A Data Warehouse
Solution for e-Government. International
Journal of Research and Reviews in Applied
6. KETERBATASAN Sciences 4(1), 101-105.
Terdapat beberapa keterbatasan dalam
Menteri Keuangan. (2015). Peraturan Menteri
penelitian ini, sehingga disarankan pada
Keuangan Republik Indonesia Nomor
penelitian selanjutnya untuk melakukan hal hal
234/PMK.01/2015 Tentang Organisasi
sebagai berikut:
dan Tata Kerja Kementerian Keuangan.
1. Perlu dilakukannya analisis biaya manfaat
terhadap kontrol yang diterapkan. Mundy, J., & Thornthwaite, W. K. (2011). The
2. Perlu dijabarkan lebih detail terkait jadwal Microsoft Data Warehouse Toolkit With
pengimplementasian kontrol di masing- SQL Server 2008 R2 and the Microsoft
masing risiko yang ada. Pada penelitian ini, Business Intelligence Toolset Second
jadwal disusun secara global tanpa Edition. Indianapolis: Wiley Publishing,
menyebutkan tanggal awal dan akhir. Inc.
3. Perlu dianalisis lebih lanjut terkait dengan
Poz, M., Gupta, N., Quain, E., & Soucat, A. (2009).
risiko residu. Pada penelitian ini, risiko
Handbook on Monitoring and Evaluation of
residu tidak dianalisis lebih lanjut karena
Human Resources for Health. Geneva:
pemilik bisnis yang saat ini menjabat sebagai
World Health Organization.
pihak yang bertanggung jawab atas SAKTI,
menerima semua risiko residu yang ada. Rainardi, V. (2008). Building a Data Warehouse
With Examples in SQL Server. New York:
Apress.
DAFTAR PUSTAKA Reeve, A. (2013). Managing Data In Montion: Data
Albertetti, F., & Stoffel, K. (2012). From Police Integration Best Practice Techniques and
Reports to Data Marts: a Step Towards a Technologies. Waltham: Morgan Kaufmann.
Crime Analysis Framework. 5th Republik Indonesia. (2013). Peraturan Pemerintah
International Workshop on Computational Republik Indonesia Nomor 45 Tahun 2013
Forensics, Tsukuba, 48-59. Tentang Pelaksanaan Anggaran
Direktorat Sistem Perbendaharaan. (2013). Modul Pendapatan dan Belanja Negara.
Spending Review - Modul Penyuluh Republik Indonesia. (2015). Peraturan Menteri
Perbendaharaan Edisi 2013. Jakarta: Keuangan Nomor 234/PMK.01/2015
Direktorat Sistem Perbendaharaan. Tentang Organisasi dan Tata Kerja
Giordano, A. (2011). Data Integration Blueprint and Kementerian Keuangan. Jakarta:
Modelling: Techniques for a Scalable and Kementerian Keuangan.
Sustainable Architecture. Boston: IBM Republik Indonesia. (2015). Pokok-pokok Proses
Press. Penyusunan Anggaran Belanja
Inmon, W. (2005). Building The Data Warehouse Kementerian Negara/Lembaga. Jakarta:
Fourth Edition. Indianapolis: Wiley Direktorat Jenderal Anggaran.
Publishing. Sarka, D., Lah, M., & Jerkic, G. (2012). Implementing
Kanwil Ditjen Perbendaharaan Provinsi Kepulauan Data Warehouse With Microsoft SQL Server
Riau. (2015). Kajian Fiskal Regional 2012. California: Microsoft Press.
Provinsi Kepulauan Riau Tahun 2015. Seah, B., & Selan, N. (2014). Design and
Tanjungpinang: Kanwil Ditjen Implementation of Data Warehouse with
Perbendaharaan Provinsi Kepulauan Riau. Data Model using Survey-based Services
Kementerian Keuangan. (2015). Peraturan Menteri Data. 2014 Fourth International Conference
Keuangan Nomor 234/PMK.01/2015 on Innovative Computing Technology
Tentang Organisasi dan Tata Kerja (INTECH), 58-64.
Kementerian Keuangan.
MANAJEMEN RISIKO KEAMANAN INFORMASI PADA SISTEM Indonesian Treasury Review Vol.3, No.1, 2018, Hal 23-33
APLIKASI KEUANGAN TINGKAT INSTANSI (SAKTI)
KEMENTERIAN KEUANGAN Halaman 33
Eko Supristiowadi
Sherman, R. (2015). Business Intelligence Vermooy, R., Qiu, S., & Juanchu, X. (2003). Voices
Guidebook: From Data Integration to For Change: Participatory Monitoring and
Analytics. Waltham: Morgan Kaufmann. Evaluation in China. Kunming. Yunnan
Science and Technology Press.
The Data Management Association. (2009). The
DAMA Guide To The Data Management Wijaya, R., & Pudjoatmodjo, B. (2015). An Overview
Study Body of Knowledge (DAMA-DMBOK and Implementation of Extraction-
Guide). New Jersey: Technics Publications, Transformation-Loading (ETL) Process in
LLC. Data Warehouse (Case Study: Department
of Agriculture). 2015 3rd International
United Nations Development Programme. (2002).
Conference on Information and
Handbook on Monitoring and Evaluating
Communication Technology (ICoICT), 70-
for Results. New York: UNDP Evaluation
74.
Office.