(IJACSA) Jurnal Internasional Ilmu dan Aplikasi Komputer Tingkat Lanjut, Vol.
10,
Kerangka Kerja untuk Manajemen Risiko
Keamanan Cloud berdasarkan Tujuan Bisnis
Organisasi
Ahmad E. Youssef
Sekolah Tinggi Ilmu Komputer dan Informasi
Universitas Raja Saud, Riyadh, Arab Saudi
Fakultas Teknik, Universitas Helwan, Kairo, Mesir
Abstrak —Keamanan dianggap sebagai salah satu risiko
peringkat teratas Cloud Computing (CC) karena outsourcing
data sensitif ke pihak ketiga. Selain itu, kompleksitas model
cloud menghasilkan sejumlah besar kontrol keamanan yang
heterogen yang harus dikelola secara konsisten. Oleh karena
itu, tidak peduli seberapa kuat model cloud diamankan,
organisasi terus menderita karena kurangnya kepercayaan
pada CC dan tetap tidak yakin tentang konsekuensi risiko
keamanannya. Kerangka manajemen risiko tradisional tidak
mempertimbangkan dampak risiko keamanan CC pada
tujuan bisnis organisasi. Dalam makalah ini, kami
mengusulkan Cloud Security Risk Management Framework
(CSRMF) baru yang membantu organisasi yang mengadopsi
CC mengidentifikasi, menganalisis, mengevaluasi, dan
memitigasi risiko keamanan di platform Cloud mereka.
Tidak seperti kerangka manajemen risiko tradisional,
CSRMF digerakkan oleh tujuan bisnis organisasi. Ini
memungkinkan organisasi mana pun yang mengadopsi CC
untuk menyadari risiko keamanan cloud dan menyelaraskan
keputusan manajemen tingkat rendah mereka sesuai dengan
tujuan bisnis tingkat tinggi. Intinya, ini dirancang untuk
mengatasi dampak risiko keamanan khusus cloud ke dalam
tujuan bisnis di organisasi tertentu. Konsekuensinya,
organisasi dapat melakukan analisis biaya-nilai terkait
penerapan teknologi CC dan mendapatkan tingkat
kepercayaan yang memadai dalam teknologi Cloud. Di sisi
lain, Penyedia Layanan Cloud (CSP) mampu meningkatkan
produktivitas dan profitabilitas dengan mengelola risiko
terkait cloud. Kerangka kerja yang diusulkan telah divalidasi
dan dievaluasi melalui skenario use-case.
Kata kunci—Keamanan informasi; privasi data; risiko
keamanan cloud; manajemen risiko; tujuan bisnis; komputasi
awan
SAYA. SAYA PENDAHULUAN
Pentingnya Cloud Computing (CC) semakin meningkat
dan semakin diminati oleh banyak organisasi ilmiah dan
bisnis [11]. Menurut National Institute of Standards and
Technology (NIST) [32], cloud computing adalah model
untuk memungkinkan akses yang nyaman, di mana-mana,
on-demand ke kumpulan sumber daya yang dapat
dikonfigurasi bersama (misalnya, jaringan, server,
penyimpanan, dan aplikasi) yang dapat dengan mudah
disampaikan dengan berbagai jenis interaksi penyedia
layanan yang mengikuti model Pay-As-You-Go (PAYG)
sederhana. Dalam model PAYG, Konsumen Layanan Cloud
(CSC) dapat meminta layanan komputasi sesuai kebutuhan
untuk bisnis mereka; layanan disediakan sesuai permintaan
oleh Penyedia Layanan Cloud (CSP), dan CSC hanya
Halaman www.ijacsa.thesai.org
No. 12, 2019
membayar layanan yang telah mereka gunakan. Banyak
keuntungan yang dibawa CC ke organisasi, seperti
skalabilitas dan fleksibilitas tinggi, keandalan dan
ketersediaan yang sangat baik, skala ekonomi, konsolidasi,
dan penghematan energi, didokumentasikan dengan baik
[35]. Selain itu, CC siap menjadi area pertumbuhan yang
signifikan, menurut Forbes, pasar CC diproyeksikan
mencapai $411 miliar pada tahun 2020 [30].
LogicMonitor telah melakukan survei untuk menjelajahi
lanskap layanan cloud pada tahun 2020, salah satu
temuan menarik dalam survei ini adalah bahwa 83%
beban kerja perusahaan akan berada di Cloud pada tahun
2020 [36].
Meskipun manfaat CC sangat penting bagi banyak
organisasi, hal itu membawa banyak risiko yang
memengaruhi kepercayaan dan kelayakannya. Gambar. 1
menunjukkan risiko paling penting bagi organisasi yang
mengadopsi CC [36]. Keamanan dianggap sebagai salah
satu risiko teratas dari CC [12,13], Dari perspektif CSC,
alasan utama ketidakpercayaan pada CC adalah sifatnya
yang multi-penyewa dan outsourcing data sensitif,
aplikasi penting, dan infrastruktur ke cloud. Di sisi lain,
dari perspektif CSP, masalah keamanan di CC juga
menjadi tantangan karena kompleksitas model cloud
yang menghasilkan sejumlah besar kontrol keamanan
yang heterogen yang harus dikelola secara konsisten.
Organisasi memiliki banyak masalah keamanan
terkait migrasi ke cloud seperti kehilangan kendali atas
data mereka, kurangnya jaminan keamanan, dan berbagi
data mereka dengan pengguna jahat. Risiko ini sering
menimbulkan ketakutan di pihak organisasi yang
menyebabkan mereka memikirkan kembali keputusan
mereka dalam mengadopsi teknologi CC. Tidak peduli
seberapa kuat model cloud diamankan, organisasi terus
menderita karena kurangnya kepercayaan pada cloud dan
tetap tidak yakin tentang kelayakan ekonominya.
Meskipun penyediaan layanan tanpa risiko secara praktis
tidak mungkin dilakukan, kerangka kerja manajemen
risiko keamanan yang efektif dapat mengarah pada
kepercayaan organisasi yang lebih tinggi terhadap CC
dan membantu mereka mengambil keputusan yang tepat
mengenai penerapan teknologi baru ini. Kerangka
manajemen risiko tradisional tidak cocok dengan CC
karena asumsi kerangka tersebut bahwa aset dimiliki dan
dikelola sepenuhnya oleh organisasi itu sendiri. Selain
itu, tidak satupun dari mereka mempertimbangkan
186|
 (IJACSA) Jurnal Internasional Ilmu dan Aplikasi Komputer Tingkat Lanjut,
kebutuhan keamanan organisasi dan dampak risiko
keamanan CC pada tujuan bisnisnya.
Makalah ini mengusulkan Cloud Security Risk
Management Framework (CSRMF) baru yang membantu
organisasi dan CSP mengidentifikasi, menganalisis,
mengevaluasi risiko keamanan di platform CC, dan
menetapkan tindakan terbaik untuk menghindari atau
memitigasinya. Tidak seperti kerangka manajemen risiko
tradisional, CSRMF mempertimbangkan kebutuhan
keamanan organisasi dan digerakkan oleh dampak risiko
keamanan CC pada pencapaian tujuan bisnisnya. Ini
memungkinkan organisasi mana pun yang mengadopsi
CC untuk menyadari risiko keamanan cloud dan
menyelaraskan keputusan manajemen tingkat rendah
mereka sesuai dengan tujuan bisnis tingkat tinggi.
Intinya, ini dirancang untuk mengatasi dampak risiko
keamanan khusus cloud ke dalam tujuan bisnis di
organisasi tertentu. Konsekuensinya, organisasi dapat
melakukan analisis biaya-nilai dan mengambil keputusan
yang tepat mengenai penerapan teknologi CC. Di sisi
lain, CSP mampu meningkatkan produktivitas dan
profitabilitas dengan mengelola risiko terkait cloud.
Kerangka kerja ini memberikan tingkat kepercayaan
yang memadai pada CC untuk organisasi dan
produktivitas hemat biaya untuk CSP.
Gambar 1. Tantangan Terbesar untuk Organisasi yang Terlibat
dengan CC.
Sisa dari makalah ini disusun sebagai berikut: bagian 2
secara singkat memperkenalkan konsep-konsep utama
dalam manajemen risiko. Pada bagian 3, pekerjaan terkait
ditinjau. Bagian 4 menjelaskan kerangka kerja yang
diusulkan (CSRMF) secara rinci. Di Bagian 5, kami
mengevaluasi kerangka kerja melalui skenario kasus
penggunaan. Akhirnya, di bagian 6, kami memberikan
kesimpulan dan pekerjaan kami di masa depan.
II. MANAJEMEN RISIKO _ _
Halaman www.ijacsa.thesai.org
Vol. 10, No. 12, 2019
Risiko didefinisikan sebagai kemungkinan terjadinya
peristiwa berbahaya yang akan berdampak buruk terhadap
pencapaian tujuan suatu organisasi [2]. Risiko tidak dapat
dihindari dan terus ada dalam kehidupan kita sehari-hari di
hampir setiap situasi [10]. Konsep utama yang terkait
dengan risiko adalah: Aset: sesuatu yang organisasi
memberikan nilai dan karenanya membutuhkan
perlindungan. Ancaman: potensi kejadian yang tidak
diinginkan yang merugikan atau mengurangi nilai aset.
Kerentanan: cacat atau kekurangan yang dapat
dimanfaatkan oleh ancaman untuk merusak aset.
Kemungkinan risiko: kemungkinan terjadinya risiko.
Dampak risiko: tingkat pengaruh risiko (misalnya,
menyebabkan hilangnya kepuasan) tujuan organisasi.
Tingkat risiko: tingkat keparahan risiko yang berasal dari
kemungkinan dan dampaknya. Toleransi risiko: jumlah
kepuasan atau kesenangan mengenai tingkat risiko.
Misalnya, server dianggap sebagai aset, ancaman bisa
berupa serangan virus pintu belakang, dan kerentanan
adalah pemindaian virus yang tidak mutakhir.
Kemungkinan komputer terinfeksi virus ini sedang, tetapi
dampaknya terhadap integritas data tinggi [1, 2].
Manajemen risiko adalah seni dan ilmu untuk
mengidentifikasi, menganalisis, mengevaluasi, dan
merespons risiko di sepanjang siklus hidup layanan. Ini
memungkinkan organisasi untuk mengenali peristiwa yang
tidak pasti yang dapat mengakibatkan konsekuensi yang
tidak menguntungkan atau merusak dan untuk menetapkan
tindakan terbaik untuk menghindari atau menguranginya
[4,15]. Namun, untuk menerapkan manajemen risiko secara
efektif, penting untuk terlebih dahulu mengidentifikasi
keseluruhan visi, misi, dan tujuan organisasi. Manajemen
risiko adalah tentang membuat keputusan yang
berkontribusi pada pencapaian tujuan organisasi seperti
biaya dengan manfaat dan harapan dalam menginvestasikan
sumber daya publik yang terbatas. Ini melindungi dan
menambah nilai bagi organisasi dan pemangku
kepentingannya dengan:
• Meningkatkan keselamatan dan keamanan dalam
suatu organisasi.
• Melindungi aset dan reputasi organisasi.
• Mengoptimalkan efisiensi operasional.
• Mendukung pencapaian tujuan organisasi dengan
memuaskan harapan pemangku kepentingan dan
meningkatkan keyakinan dan kepercayaan mereka.
• Meningkatkan pengambilan keputusan dengan
pemahaman yang komprehensif tentang aktivitas
bisnis dalam organisasi.
Kerangka Kerja Manajemen Risiko (RMF) adalah
seperangkat komponen yang memberikan dasar untuk
manajemen risiko di seluruh organisasi. Gambar 2
menunjukkan evolusi RMF [37].
187|
 (IJACSA) Jurnal Internasional Ilmu dan Aplikasi Komputer Tingkat Lanjut, Vol. 10,
Principles and
guidelines for RMF
Design of RMF
Continual Implementing
improvement of RMF RMF
Monitoring and
reviewing RMF
Gambar 2. Evolusi Kerangka Manajemen Risiko Standar.
AKU AKU AKU. PEKERJAAN TERKAIT _ _
Dalam literatur, ada banyak kerangka kerja yang
membantu dalam manajemen risiko keamanan [3,5-9,14,20-
29,39], namun kerangka kerja manajemen risiko tradisional
ini tidak sesuai dengan CC karena kompleksitas lingkungan
CC dan asumsi oleh kerangka tersebut bahwa aset dimiliki
dan dikelola sepenuhnya oleh organisasi itu sendiri. Selain
itu, tidak satu pun dari mereka yang mempertimbangkan
persyaratan keamanan organisasi dan pengaruh risiko
keamanan CC terhadap tujuan dan sasaran bisnis organisasi.
Pekerjaan yang disajikan dalam makalah ini bertujuan
untuk mengembangkan RMF yang didorong oleh dampak
risiko keamanan CC pada tujuan bisnis organisasi yang
mengadopsi teknologi CC. Kerangka manajemen risiko
keamanan informasi yang ada dijelaskan di bawah ini.
QUIRC: dampak kuantitatif dan metodologi penilaian
risiko untuk proyek CC yang dikembangkan untuk menilai
risiko keamanan yang terkait dengan platform CC [8].
Kerangka kerja ini menggunakan definisi risiko sebagai
kombinasi dari kemungkinan peristiwa ancaman keamanan
dan tingkat keparahannya, yang diukur sebagai dampaknya.
Enam kriteria keamanan utama (Kerahasiaan, Integritas,
Ketersediaan, Kepercayaan multipihak, Kemampuan audit,
dan Kegunaan) diidentifikasi untuk platform cloud, mereka
disebut sebagai kerangka kerja CIAMAU, dan ditunjukkan
bahwa sebagian besar vektor serangan tipikal dan peristiwa
dipetakan di bawah satu dari enam kategori tersebut.
QUIRC menggunakan pendekatan kuantitatif yang
memberi vendor, pelanggan, dan lembaga regulasi
kemampuan untuk menilai secara komparatif ketahanan
relatif dari penawaran dan pendekatan vendor cloud yang
berbeda dengan cara yang dapat dipertahankan.
Keterbatasan dari pendekatan ini meliputi bahwa hal itu
memerlukan pengumpulan data input yang cermat untuk
kemungkinan kejadian, yang membutuhkan input industri
kolektif.
Halaman www.ijacsa.thesai.org
No. 12, 2019
OPTIMS: kerangka penilaian risiko yang efektif dan
efisien untuk penyediaan layanan cloud [1, 2]. Empat
kategori risiko, yaitu hukum, teknis, kebijakan, dan umum
diidentifikasi. Kerangka kerja ini bermanfaat bagi pengguna
akhir dan Penyedia Layanan (SP) yang mendekati cloud
untuk menerapkan dan menjalankan layanan, serta
Penyedia Infrastruktur (IP) untuk menerapkan dan
mengoperasikan layanan tersebut. Manfaat ini termasuk
mendukung berbagai pihak untuk membuat keputusan
berdasarkan informasi mengenai perjanjian kontrak.
Kerangka kerja penilaian risiko terintegrasi penuh dalam
toolkit OPTIMIS, yang menyederhanakan manajemen
mandiri cloud, mengoptimalkan siklus hidup layanan cloud,
dan mendukung berbagai arsitektur cloud. Namun,
penilaian risiko dinamis SP terbatas karena kurangnya
dukungan untuk alat pemantauan sisi konsumen layanan
dan terbatasnya ketersediaan data pemantauan bersama dari
IP.
CARAM: adalah model penilaian risiko kualitatif dan
relatif yang membantu CSC memilih CSP yang paling
sesuai dengan profil risiko mereka [9]. Ini terdiri dari alat
yang melengkapi berbagai rekomendasi ENISA [33] dan
CSA [40]. Alat ini termasuk kuesioner untuk CSC,
algoritme untuk mengklasifikasikan jawaban Kuesioner
Inisiatif Penilaian Cloud (CAIQ) ke nilai diskrit, model
yang memetakan jawaban kedua kuesioner ke nilai risiko,
dan pendekatan keputusan multikriteria yang
memungkinkan untuk cepat dan andal membandingkan
beberapa CSP. Namun, ada batasan yang dapat
memengaruhi keakuratan hasil terutama yang berasal dari
data masukan yang dianalisis seperti: Perumusan jawaban
CAIQ yang tidak jelas yang diberikan oleh CSP yang
dianalisis, Kemungkinan kesalahan informasi yang
disengaja dalam CAIQ, dan Implementasi kontrol
keamanan yang tidak efektif oleh CSP yang dianalisis.
CRAMM: analisis risiko dan metode manajemen yang
mencakup rangkaian lengkap alat penilaian risiko yang
sepenuhnya sesuai dengan ISO27001 dan menangani tugas-
tugas seperti: pemodelan ketergantungan aset,
mengidentifikasi dan menilai ancaman dan kerentanan,
menilai tingkat risiko, dan mengidentifikasi kontrol yang
diperlukan [14 ,22]. Ini memberikan pendekatan bertahap
dan disiplin yang mencakup aspek keamanan teknis
(misalnya perangkat keras dan perangkat lunak) dan non-
teknis (misalnya fisik dan manusia). Kelemahan utama
dalam CRAMM adalah: 1) penilaian risiko kuantitatif tidak
dapat diberikan. Oleh karena itu, ada kebutuhan untuk
memperluas metodologi ini ke arah ini dan 2) tidak secara
jelas berbicara tentang atribut keamanan misalnya
Confidentiality, Integrity, dan Availability [23].
COBRA: model penilaian risiko yang terdiri dari
serangkaian alat analisis risiko, konsultatif dan tinjauan
keamanan yang dikembangkan sebagian besar sebagai
pengakuan atas perubahan sifat TI dan keamanan, dan
tuntutan yang ditempatkan oleh bisnis pada area ini [39].
Proses penilaian risiko default biasanya terdiri dari tiga
tahap: pembuatan kuesioner, survei risiko, dan pembuatan
laporan. Kelemahan utama COBRA adalah 1) teknik
penilaian risiko tidak disebutkan dengan jelas; karenanya,
metodologi ini perlu diperluas ke arah ini dan 2) ancaman
188|
 (IJACSA) Jurnal Internasional Ilmu dan Aplikasi Komputer Tingkat Lanjut,
dan kerentanan memainkan peran yang sangat penting
dalam proses penilaian risiko; tapi bagaimana ini
dipertimbangkan, tidak jelas diberikan di COBRA [23].
IV. KERANGKA KERJA YANG DIUSULKAN _ _
Kami mengusulkan Cloud Security Risk Management
Framework (CSRMF) yang menyiratkan metode untuk
mengidentifikasi, menganalisis, mengevaluasi, menangani,
dan memantau risiko keamanan di seluruh siklus hidup
layanan cloud. Dalam konteks ini, aset mencakup data yang
dihosting di cloud, node fisik, mesin virtual, dan sumber
daya cloud lainnya serta Perjanjian Tingkat Layanan (SLA),
risiko adalah potensi ancaman keamanan yang menyerang
aset di platform CC yang menyebabkan hilangnya kepuasan
organisasi. tujuan. CSRMF yang diusulkan bertujuan untuk:
• Mengidentifikasi risiko yang menghadirkan
ancaman terhadap cloud dalam konteks kepentingan
organisasi.
• Menganalisis dan mengevaluasi risiko yang
teridentifikasi sehubungan dengan tujuan dan
sasaran organisasi.
• Menerapkan tindakan perawatan terbaik untuk
mengurangi kemungkinan dan/atau dampak dari
risiko ini.
• Memantau perkembangan risiko yang teridentifikasi
secara teratur untuk memastikan bahwa tindakan
pengobatan valid.
• Membangun hubungan yang dinamis antara
organisasi dan CSP selama proses manajemen risiko
untuk memastikan kepatuhan terhadap SLA.
Gambar 3 menunjukkan komponen utama dari kerangka
kerja yang diusulkan. Pada subbab berikut, kita akan
membahas masing-masing komponen tersebut.
Halaman www.ijacsa.thesai.org
Vol. 10, No. 12, 2019
SEBUAH. Mengidentifikasi Tujuan Bisnis Organisasi
Tujuan organisasi adalah tujuan jangka pendek dan
jangka menengah yang ingin dicapai oleh organisasi.
Pencapaian tujuan ini membantu organisasi mencapai
tujuan strategisnya secara keseluruhan. Oleh karena itu,
kerangka kerja yang diusulkan, CSRMF, digerakkan oleh
tujuan tingkat tinggi organisasi. Tujuan organisasi
ditetapkan melalui pemahaman keseluruhan budaya internal
(misalnya visi, misi, dll.) organisasi dan sejumlah analisis
lingkungan yang mencakup identifikasi kendala dan
peluang lingkungan operasi.
Untuk menetapkan tujuan organisasi, CSRMF
mengusulkan untuk melakukan analisis SWOT [41] di
mana organisasi mengidentifikasi Kekuatan dan Kelemahan
internal mereka serta Peluang dan Ancaman eksternal.
Informasi ini memungkinkan CEO untuk mengembangkan
tujuan dan strategi yang relevan dan realistis untuk
organisasi mereka. Dalam CSRMF, tujuan organisasi harus
mengikuti model SMART (yakni Spesifik, Measurable,
Attainable, Relevan, dan Time bound). Untuk menerapkan
model SMART, CEO harus bertanya pada diri sendiri
pertanyaan-pertanyaan berikut saat menetapkan tujuan
organisasinya:
• Spesifik – Jenis perusahaan apa yang Anda inginkan
untuk menjadi yang terbaik? Pada skala apa Anda
ingin bersaing? Apakah Anda ingin menjadi
perusahaan terbaik di wilayah Anda atau di dunia?
• Terukur–Bagaimana Anda tahu kapan Anda telah
mencapai tujuan Anda? Tolok ukur apa yang akan
Anda gunakan untuk mengukur kesuksesan Anda?
• Dapat Dicapai–Apakah tujuan ini dapat dicapai
dengan sumber daya Anda? Hambatan apa yang
akan Anda temui dan dapatkah Anda melewati
rintangan tersebut?
• Relevan–Seberapa relevan tujuan ini bagi
perusahaan dan karyawannya? Apakah ini akan
menguntungkan organisasi Anda?
• Batas waktu – Kapan Anda ingin mencapai tujuan
ini?
Contoh tujuan organisasi yang baik adalah: mencapai
kesuksesan finansial, meningkatkan angka penjualan,
meningkatkan sumber daya manusia, mempertahankan
karyawan berbakat, berfokus pada layanan pelanggan, dan
membangun kesadaran merek.
B. Identifikasi resiko
189|
 (IJACSA) Jurnal Internasional Ilmu dan Aplikasi Komputer Tingkat Lanjut, Vol. 10,
No. 12, 2019

Tahap kedua dalam CSRMF adalah mengidentifikasi daftar ini tidak mencerminkan tujuan organisasi atau
risiko yang kemungkinan akan mempengaruhi pencapaian mengungkapkan kelas aplikasi bisnis tertentu.
tujuan organisasi. Identifikasi risiko keamanan yang
memengaruhi layanan cloud dalam organisasi yang
mengadopsi CC merupakan langkah paling penting dalam

manajemen risiko. Semakin baik mengidentifikasi dan

memahami risiko ini, semakin berarti dan efektif proses
manajemen risiko. Metode identifikasi risiko yang sesuai
akan tergantung pada area aplikasi (yaitu, sifat kegiatan dan
kelompok bahaya), sifat proyek dalam organisasi, sumber
daya yang tersedia, persyaratan keteraturan dan persyaratan
klien untuk tujuan, hasil yang diinginkan dan tingkat detail
yang diperlukan . Namun, tidak ada satu pun metode ilmiah
yang menjamin identifikasi semua risiko [10].
Risiko disebabkan oleh ancaman keamanan yang dapat
mengeksploitasi kerentanan di platform CC untuk merusak
aset organisasi dan akibatnya mempengaruhi pencapaian
tujuannya. Oleh karena itu, untuk mengidentifikasi risiko
secara tepat, kita perlu mengidentifikasi aset, kerentanan,
dan ancaman di platform CC. Karena tidak ada satu pun
pendekatan ilmiah yang menjamin identifikasi semua
risiko, CSRMF menggunakan pendekatan hibrida yang
Gambar 4. Contoh Identifikasi Risiko ENISA CC (Risiko LOCK-
menggabungkan dua teknik untuk identifikasi risiko.
IN).
Kombinasi ini akan lebih efektif untuk cakupan risiko yang
lengkap dan memadai. Teknik identifikasi risiko yang
Teknik akuisisi pengetahuan yang terdokumentasi
digunakan oleh CSRMF adalah: akuisisi pengetahuan
merupakan prasyarat penting untuk teknik lainnya. Namun,
terdokumentasi dan brainstorming.
banyaknya dokumentasi yang tersedia dapat menyebabkan
C. B.1. Akuisisi Pengetahuan yang Didokumentasikan detail yang tidak relevan dan informasi yang ketinggalan
Teknik ini berarti mengumpulkan dan membaca zaman. Solusi efektif yang kami terapkan untuk mengatasi
dokumen tentang domain risiko CC seperti buku, survei, masalah ini adalah dengan menggunakan meta-knowledge
artikel, dan peraturan. Banyak dokumen dalam literatur (tahu apa yang perlu Anda ketahui dan apa yang tidak perlu
telah berusaha mengidentifikasi risiko dan ancaman CC Anda ketahui) untuk memangkas ruang dokumen.
[31-33, 38,40]. Salah satu dokumen yang paling berguna Pengetahuan yang diperoleh di langkah ini disimpan di
mengenai risiko CC adalah yang disediakan oleh European basis pengetahuan risiko keamanan cloud untuk digunakan
Network and Information Security Agency (ENISA) [33] di langkah berikutnya (yaitu, brainstorming).
yang memberikan daftar umum risiko untuk CC. D. B.2. Brainstorming
Contoh risiko tersebut adalah Lock-in, Kehabisan Sumber
Brainstorming kegiatan berbasis kelompok kreatif semi-
Daya, Kegagalan Isolasi, dan Orang Dalam Berbahaya,
terstruktur, paling sering digunakan dalam pertemuan bisnis
contoh risiko ini ditunjukkan pada Gambar. 4. Namun,

190|
Halaman www.ijacsa.thesai.org

ad-hoc untuk menghasilkan ide-ide baru untuk
memecahkan masalah, inovasi atau perbaikan [34].
Biasanya melibatkan kelompok, di bawah arahan fasilitator
dan menyiratkan dua tahap:
1) Generasi ide: hasilkan ide sebanyak mungkin
untuk mengatasi masalah dari setiap peserta tanpa kritik.
2) Evaluasi ide: oleh semua peserta bersama-sama
sesuai dengan kriteria yang disepakati (misalnya nilai,
biaya, kelayakan) untuk memprioritaskan ide.
Dalam CSRMF, anggota tim yang terdiri dari pakar
keamanan informasi dan berbagai kelompok pemangku
kepentingan dalam organisasi bertemu untuk
mengidentifikasi aset, kerentanan, dan potensi ancaman
organisasi. Identifikasi risiko berlangsung dalam
serangkaian lokakarya kelompok; sesi kelompok
memberikan eksplorasi masalah yang lebih luas dan cara
yang lebih kreatif untuk mengidentifikasi risiko. Kelompok
tersebut menggunakan pengetahuan yang diperoleh pada
langkah sebelumnya untuk mengidentifikasi berbagai
risiko. Hasil dari langkah ini adalah daftar risiko yang
teridentifikasi yang ditinjau oleh kelompok pemangku
kepentingan independen. Jika kepuasan tercapai, proses
manajemen risiko berlanjut ke tahap berikutnya, jika tidak
maka akan melalui putaran lain identifikasi risiko.
e. Analisis resiko
Analisis risiko melibatkan estimasi kemungkinan dan
dampak risiko. CSRMF menerapkan pendekatan kuantitatif
untuk analisis risiko dan mengasumsikan hal berikut:
• Bobot tujuan ( ): pentingnya suatu tujuan
, , =1,
• Risk Likelihood L( ): probabilitas terjadinya risiko
. , . Risiko , , dapat dianggap dapat diterima (dapat ditoleransi)
• Dampak Risiko I ( dampak
, di mana 0 berarti tidak ada kehilangan kepuasan
dalam , 1 berarti hilangnya kepuasan total dalam
, m dan n masing-masing adalah jumlah tujuan dan
risiko.
Tujuan dari fase analisis risiko adalah untuk
mengestimasi nilai dan teknik estimasi berbasis
konsensus yang diterima secara luas adalah metode Delphi
[8, 16-19]. Tiga karakteristik penting dari metode Delphi
adalah: 1) aliran informasi terstruktur dan iteratif, 2)
anonimitas peserta untuk mengurangi tekanan teman sebaya
dan kecemasan kinerja lainnya, dan 3) umpan balik iteratif
dari peserta sampai konsensus tercapai. Kami mengadaptasi
teknik Delphi untuk estimasi kemungkinan dan dampak
risiko keamanan; ini ditunjukkan pada Gambar. 5.
Dalam teknik CSRMF Delphi, seorang moderator
digunakan untuk mengontrol dan memfasilitasi
pengumpulan informasi dari kelompok Subject Matter
Experts (SME) terpilih. UKM memiliki pengetahuan
tentang kemungkinan dan dampak risiko pada jenis bisnis
Halaman www.ijacsa.thesai.org
(IJACSA) Jurnal Internasional Ilmu dan Aplikasi Komputer Tingkat Lanjut,
Vol. 10, No. 12, 2019
tertentu organisasi. Selama proses Delphi, setiap peserta
diminta untuk memberikan perkiraan numerik terbaiknya
. Mengikuti langkah ini, moderator
mengumpulkan
perkiraan dari semua peserta dalam presentasi anonim,
bagikan dan analisis hasil gabungan dengan semua peserta.
Peserta didorong untuk secara iteratif mempertimbangkan
kembali dan memodifikasi perkiraan mereka berdasarkan
umpan balik dari diskusi sebelumnya. Ketika perkiraan
mencapai konsensus (misalnya 85% atau lebih), moderator
melaporkan perkiraan akhir untuk digunakan pada tahap
berikutnya.
F. Evaluasi Risiko
Evaluasi risiko menyiratkan perkiraan tingkat risiko
(yaitu, tingkat keparahan risiko) untuk dapat memutuskan
apakah risiko dapat ditoleransi (yaitu, dapat diterima) oleh
organisasi atau tidak. Kriteria risiko yang dapat ditoleransi
harus didefinisikan, disetujui, dan didokumentasikan oleh
komite terkait dari para ahli dan pemangku kepentingan.
Jika perkiraan tingkat risiko lebih besar dari tingkat yang
dapat ditolerir maka risiko spesifik memerlukan
penanganan atau penanggulangan yang lebih baik. Dalam
CSRMF, risiko dievaluasi dengan menggunakan
pendekatan kuantitatif, yaitu tingkat risiko ( )
diestimasi menggunakan persamaan 1.
(1)
Tingkat risiko ( berkisar antara 0 dan 1, di
mana 0 berarti tidak berpengaruh (keparahan minimum)
pada tujuan organisasi dan 1 berarti memiliki pengaruh
signifikan (keparahan maksimum) pada tujuan organisasi.
if kurang dari threshold , jika tidak
dari membutuhkan perawatan. Ambang batas ini
telah ditentukan sebelumnya oleh organisasi. Dengan
menerapkan kondisi ini suatu organisasi dapat mencapai
Tingkat Risiko Global (GRL) yang dapat diterima yang
diberikan oleh persamaan 2.
(2)
191|
 (IJACSA) Jurnal Internasional Ilmu dan Aplikasi Komputer Tingkat Lanjut, Vol. 10,
No. 12, 2019

penghindaran risiko, pengalihan risiko atau pembagian

Start risiko dengan pihak ketiga dan mitigasi (pengurangan)
Delphi risiko yang berarti mengendalikan kemungkinan terjadinya
risiko, atau mengendalikan dampaknya. konsekuensi jika
risiko tersebut terjadi.
CSRMF menggunakan pendekatan mitigasi risiko
Identify Moderator and SME untuk penanganan risiko. Tujuan utamanya adalah untuk
mengurangi GRL dengan mengurangi setiap
risiko yang tidak dapat diterima. Kemungkinan risiko,
, dapat dikurangi melalui pemeliharaan preventif, atau
jaminan kualitas dan manajemen, perubahan dalam sistem
Individual Estimate L(𝑟𝑖 ), I ( 𝑟𝑖𝑗 ) & w j
dan proses bisnis. Di sisi lain, dampak risiko dapat
dikurangi melalui perencanaan kontinjensi, meminimalkan
Develop
paparan sumber risiko atau pemisahan/relokasi suatu
Feedback for
the next round Moderator Collects and Analyzes kegiatan dan sumber daya. Tindakan mitigasi risiko dapat
Estimates ditentukan dengan menggunakan kombinasi akuisisi
pengetahuan yang terdokumentasi dan teknik
brainstorming. Contoh tindakan mitigasi risiko CC
(countermeasures) yang diadopsi dalam CSRMF
No ditunjukkan pada Tabel I.
Consensus>=85%
H. Pemantauan Risiko
Fase terakhir dalam CSRMF adalah memantau dan
Yes
mengevaluasi keefektifan penanganan risiko pilihan dan
aktivitas pengendalian saat ini. Untuk melakukan ini, kita
Report Final Estimate perlu memperkirakan pengurangan tingkat risiko setelah
menerapkan teknik penanggulangan. Seandainya
(k=1,2,3, …) adalah penanggulangan yang dapat diterapkan
untuk memitigasi risiko (yaitu, mengurangi levelnya).
Pendekatan Delphi yang dijelaskan pada bagian 4.C dapat
End digunakan untuk memperkirakan pengurangan tingkat
Delphi risiko setelah penerapan yang dilambangkan sebagai
ukuran untuk jumlah
MEJA. SAYA. CONTOH CONTOH TINDAKAN PENANGGULANGAN RISIKO YANG
DIGUNAKAN DALAM CSRMF
risiko CC Penanggulangan
-Mengidentifikasi dan mengakses panduan
Pembajakan akun atau
manajemen
layanan
Kredensial -Dinamis
-Fragmentasi Redundansi Hamburan (FRS)
Kebocoran data -Tanda tangan digital
-Enkripsi
Manipulasi data pelanggan - Pemindai aplikasi web
VM berbahaya -Melindungi perlindungan dari migrasi
langsung VM
Sniffing/spoofing
- Jaminan keamanan Jaringan Virtual
Virtual Net
Gambar 5. Proses Delphi untuk Analisis Risiko seperti yang dimana penanggulangan mengurangi (mengurangi
digunakan dalam CSRMF. tingkat) risiko . Nilainya berkisar antara 0 dan 1 (
) dimana 0 berarti tidak ada
G. Perawatan Risiko pengurangan, 1 berarti penghapusan risiko.
Setiap risiko yang tidak dapat diterima harus ditangani, Risiko Gabungan (CRR) dari risiko yang mengukur
yang berarti mengurangi tingkat risikonya menjadi kurang mitigasi yang dihasilkan (yaitu gabungan) setelah
dari ambang batas . Tujuan dari penanganan risiko adalah menerapkan serangkaian tindakan pencegahan diberikan
untuk mengembangkan opsi yang hemat biaya untuk oleh persamaan 3.
menangani risiko yang tidak dapat diterima. Pilihan Nilainya berkisar antara 0 dan 1 ( )
perlakuan yang berbeda dapat digunakan, yang tidak selalu dimana 0 berarti tidak ada pengurangan, 1 berarti
saling eksklusif atau sesuai dalam semua keadaan seperti penghapusan risiko. Metrik ini digunakan untuk

192|
Halaman www.ijacsa.thesai.org
 (IJACSA) Jurnal Internasional Ilmu dan Aplikasi Komputer Tingkat Lanjut,
memutuskan apakah pengobatan untuk suatu risiko berhasil
atau tidak.
(3)
Pengurangan Risiko Global (GRR) untuk organisasi
diberikan oleh persamaan (4).
(4)
V . VALIDASI FRAMEWORK DAN E VALUATION _
Untuk memvalidasi kerangka kerja yang diusulkan
untuk kegunaan dan penerapan, kami menyediakan
skenario kasus penggunaan langkah demi langkah yang
menunjukkan bagaimana organisasi dapat memperoleh
manfaat dari kerangka kerja yang diusulkan untuk
mengelola risiko keamanan Cloud. Advanced Telecom
(AT) adalah perusahaan telekomunikasi terkemuka yang
memiliki jangkauan pelanggan yang luas, yang
menawarkan layanan komunikasi terintegrasi. Bundel
layanan AT mencakup telepon tetap, Internet, dan
komunikasi seluler. AT mempekerjakan 80 ribu karyawan,
yang tidak menyisihkan tenaga atau waktu untuk
menjangkau pelanggan dan memberikan layanan terbaik.
CEO AT berpendapat bahwa merupakan ide bagus untuk
mengembangkan beberapa aplikasi situs Intranet yang
memungkinkan karyawan di AT berbagi pengetahuan
mereka. Dia juga berpikir akan masuk akal untuk membuat
beberapa informasi tersedia bagi klien perusahaan.
Misalnya, perusahaan dapat menyediakan iklan tentang
produk, artikel, tautan ke situs lain, dan fitur Ask the Expert
untuk membantu membangun hubungan dengan klien saat
ini dan di masa mendatang. Dia telah mendengar tentang
teknologi CC mutakhir dan berpikir bahwa mungkin
merupakan ide bagus untuk mengadopsi teknologi Cloud di
perusahaannya untuk mendukung proyek Intranet; namun,
dia mengkhawatirkan risiko keamanan yang terkait dengan
teknologi tersebut. Karena AT menekankan pentingnya
proyek dengan bayaran tinggi, dia ingin mengeksplorasi
pengelolaan risiko keamanan di lingkungan CC sebelum
mengadopsi teknologi ini di perusahaannya. Tujuan kami
adalah membantu perusahaan AT mengambil keputusan
tentang penerapan CC menggunakan CSRMF yang kami
usulkan.
SEBUAH. Fase 1: Mengidentifikasi Tujuan Organisasi
AT menggunakan analisis SWOT dan model SMART
untuk membantu mengidentifikasi tujuan bisnisnya.
Perwakilan AT akan memberikan informasi mendasar
tentang tujuan bisnis AT dan persyaratan keamanan untuk
melindungi tujuan tersebut dari risiko keamanan serta
informasi mengenai kriteria toleransi risiko. Informasi ini
disimpan dalam basis pengetahuan risiko dan digunakan
sebagai profil organisasi. Hasil dari fase ini ditunjukkan
pada
Tabel II dan III.
Halaman www.ijacsa.thesai.org
Vol. 10, No. 12, 2019
B. Fase 2: Identifikasi Risiko
Sebuah tim yang terdiri dari tujuh anggota pakar
keamanan informasi (yaitu, SME) dan berbagai kelompok
pemangku kepentingan di AT menggunakan pengetahuan
terdokumentasi seperti yang dijelaskan di bagian 4.B untuk
mengumpulkan informasi tentang risiko keamanan terkait
CC yang mungkin memengaruhi tujuan organisasi.
Informasi mengenai risiko yang teridentifikasi disimpan
dalam basis pengetahuan risiko. Tim kemudian bertemu,
melakukan sesi brainstorming, dan menggunakan
pengetahuan yang disimpan dalam basis pengetahuan risiko
untuk menyiapkan daftar akhir kemungkinan risiko. Daftar
ini ditunjukkan pada Tabel IV.
C. Fase 3: Analisis Risiko
Tim menggunakan teknik Delphi yang dijelaskan pada
bagian 4.C untuk memperkirakan bobot setiap tujuan ,
kemungkinan setiap risiko dan dampaknya
terhadap
Informasi ini ditunjukkan pada Tabel V. Sebagai contoh,
the
bobot kemungkinan adalah
sedangkan dampak pada adalah
(semuanya diarsir abu-abu).
D. Fase 4: Evaluasi Risiko
Tingkat risiko yang teridentifikasi dievaluasi
menggunakan persamaan 1, hasilnya ditunjukkan pada
Tabel VI. Evaluasi ini memungkinkan organisasi untuk
memutuskan apakah risiko dapat ditoleransi (yaitu, dapat
diterima) atau tidak. Kriteria risiko yang dapat ditoleransi
telah ditetapkan, disetujui, dan didokumentasikan oleh
komite ahli dan pemangku kepentingan yang relevan di fase
1. Komite telah menyetujui bahwa tingkat risiko untuk
risiko yang dapat ditoleransi tidak boleh melebihi 0,25
(yaitu, ini berarti bahwa r 1 dan r 4 membutuhkan
penanganan untuk menurunkan tingkat risikonya di bawah
0,25 GRL (jumlah dari semua tingkat risiko) telah
diestimasi menggunakan persamaan 2.
e. Fase 5: Perlakuan Risiko
Risiko yang tidak dapat diterima (r 1 , r 4 ) memerlukan
penanganan; tujuan dari fase ini adalah untuk
mengidentifikasi tindakan pencegahan untuk mengurangi
risiko yang tidak dapat diterima. Tujuan utamanya adalah
untuk mengurangi GRL bagi organisasi. Penanggulangan
risiko diidentifikasi oleh tim menggunakan kombinasi
akuisisi pengetahuan dan teknik brainstorming.
Penanggulangan yang digunakan oleh AT untuk r 1 dan r 4
tercantum dalam Tabel VII.
MEJA. II. B USEINESS O TUJUAN UNTUK AT O ORGANISASI
Simbol Tujuan (o j )
Tingkatkan kepercayaan pelanggan dan bangun
atau 1
hubungan dengan pelanggan saat ini dan masa depan
Tingkatkan hubungan karyawan dan izinkan berbagi
o2
pengetahuan di antara mereka
193|
 (IJACSA) Jurnal Internasional Ilmu dan Aplikasi Komputer Tingkat Lanjut, Vol. 10,
No. 12, 2019

Memberikan layanan pelanggan yang sempurna dan perlakuan = 0,40, dibandingkan dengan 1,30 sebelum
atau 3 perlakuan dengan pengurangan risiko sebesar 69%, hal ini
meningkatkan kepuasan pelanggan
atau 4 Meningkatkan profitabilitas dan menurunkan biaya ditunjukkan pada Tabel IX. Pengurangan risiko global
operasional dalam organisasi AT GRR= 0.98+0.9= 1.88. Terakhir,
MEJA. AKU AKU AKU. PERSYARATAN KEAMANAN UNTUK AT O organisasi harus terus memantau terjadinya risiko yang
ORGANISASI teridentifikasi untuk memastikan bahwa tindakan
Kerahasiaan – sedang penanganan masih berlaku dan untuk mengidentifikasi
Persyaratan keamanan Integritas – tinggi risiko baru yang mungkin terjadi.
Ketersediaan – tinggi
MEJA. VIII. M ATRIKS P EDUKSI R ISK UNTUK AT O ORGANISASI
Toleransi resiko 0,25
ck
MEJA. IV. SAYA MENDENTIFIKASI RISIKO ATAS
ORGANISASI _ c1 0,8 0
Simbol Risiko c2 0,9 0
r1 Pembajakan akun c3 0 0,9
r2 Kebocoran data 0,98 0,9
r3 Penolakan layanan MEJA. IX. R ISK L EVEL BAGI AT O ORGANISASI
r4 Migrasi VM tidak aman Tingkat Risiko

r5 Sniffing/spoofing jaringan virtual

Sebelum mitigasi Setelah mitigasi
MEJA. V . R ISK I MPACT M ATRIX UNTUK AT O ORGANISASI
r 1 /0,6 r 2 /0,2 r 3 /0,5 r 4 /0,7 r5 0,46 0,01
/0,3 0,11 0,11
o 1 / 0,2 0,65 0,15 0,4 0,85 0,1
0,12 0,12
o 2 / 0,2 0,85 0,35 0,3 0,8 0,3
0,50 0,05
o 3 /0,3 0,75 0,8 0,25 0,7 0,7
0,11 0,11
o 4 /0,3 0,8 0,65 0,1 0,6 0,2
GRL 1.30 0,40
MEJA. VI. R ISK L EVEL BAGI AT O ORGANISASI
VI. KESIMPULAN DAN PEKERJAAN KE
0,46 DEPAN _
0,11 CC menawarkan banyak keuntungan bagi organisasi
dalam hal penghematan ekonomis, elastisitas, fleksibilitas,
0,12
dan usaha manajemen yang minimal. Namun, masalah
0,50 keamanan dan privasi CC selalu menjadi fokus hambatan
0,11 untuk pengadopsiannya secara luas oleh bisnis. Seiring
GRL 1.30 waktu, organisasi cenderung melonggarkan risiko
MEJA. VII. TINDAKAN PENANGGULANGAN RISIKO YANG DIKERJAKAN
keamanan yang terkait dengan CC, namun, relaksasi ini
OLEH ORGANISASI _ membutuhkan manajemen risiko keamanan yang efektif
Simbol Penanggulangan digunakan untuk Mitigasi Risiko
dan teratur. Dalam makalah ini, kami mengusulkan
mengurangi risiko kerangka kerja baru untuk manajemen risiko keamanan
cloud yang membantu organisasi dan CSP
c1 Mengidentifikasi dan mengakses panduan
manajemen
mengidentifikasi, menganalisis, mengevaluasi, dan
memitigasi risiko keamanan di platform CC mereka. Ini
c2 Kredensial dinamis
memungkinkan organisasi mana pun yang mengadopsi CC
Melindungi perlindungan dari migrasi untuk menyadari risiko keamanan cloud dan menyelaraskan
c3 langsung dari keputusan manajemen tingkat rendah mereka sesuai dengan
VM tujuan bisnis tingkat tinggi. Intinya, ini dirancang untuk
F. Fase 6: Pemantauan Risiko mengatasi dampak risiko keamanan khusus cloud ke dalam
Dengan menggunakan teknik Delphi, tim akan tujuan bisnis di organisasi tertentu. Konsekuensinya,
mengestimasi r1 dan r4 sesuai Tabel VII. Ini
organisasi dapat melakukan analisis biaya-nilai dan
diberikan dalam matriks pengurangan risiko yang mengambil keputusan yang tepat mengenai penerapan
ditunjukkan di bawah pada Tabel VIII. Untuk setiap risiko teknologi CC. Di sisi lain, CSP mampu meningkatkan
yang tidak dapat diterima, matriks pengurangan risiko produktivitas dan profitabilitas dengan mengelola risiko
menunjukkan pengurangan risiko oleh setiap tindakan terkait cloud. Kerangka kerja ini memberikan tingkat
alternatif dan memperkirakan CRR sesuai persamaan 3. kepercayaan yang memadai pada CC untuk organisasi dan
produktivitas yang andal dan hemat biaya untuk CSP. Di
Dari Tabel VIII terlihat bahwa CRR(r 1 ) = 0.98 yang masa mendatang, kami berencana untuk mengeksplorasi
berarti bahwa tingkat risiko baru r 1 setelah perlakuan teknik kuantitatif berdasarkan analisis statistik untuk
adalah 0.46*(10.98) = 0.01 < 0.25 dan CRR(r 4 ) = 0.9 yang manajemen risiko di CC sehingga kami dapat mencapai
berarti baru tingkat risiko r 4 setelah pengobatan adalah
0,50*(1-0,9) = 0,05 < 0,25. Nilai GRL baru setelah

194|
Halaman www.ijacsa.thesai.org
 (IJACSA) Jurnal Internasional Ilmu dan Aplikasi Komputer Tingkat Lanjut,
tingkat kepercayaan yang lebih tinggi terhadap teknologi
baru ini untuk organisasi.
REFERENSI _
[1] Karim Djeme, Django Armstrong, Mariam Kiran, and Ming Jiang,
“Kerangka Kerja Penilaian Risiko dan Toolkit Perangkat Lunak
untuk Layanan Cloud
Ecosystems”, Konferensi Internasional ke-2 tentang Komputasi
Awan, GRID, dan Virtualisasi, 2011.
[2] Karim Djeme, Django Armstrong, Jordi Guitart, dan Mario Macias,
"Kerangka Penilaian Risiko untuk Cloud Computing", IEEE
Transaksi pada Awan komputasi , Vol. 4 , Isu. 3 , 2016.
[3] MohemedAlmorsy, Yohanes Grundy dan Amani _ S. Ibr ahim ,
“Kerangka Manajemen Keamanan Komputasi Cloud Berbasis
Kolaborasi ”, IEEE 4 Internasional Pertemuan pada Awan komputasi
, Washington, DC, AS, 2011.
[4] Drissi S., Houmani H. dan Medromi H, “Survei: Penilaian Risiko
untuk
Cloud Computing”, Jurnal Internasional Ilmu Komputer Tingkat
Lanjut dan Aplikasi (IJACSA), Vol. 4, No.12, 2013.
[5] Xuan Zhang , NattapongWuwong , Hao Li dan Xuejie _ Zhang ,
“Kerangka Manajemen Risiko Keamanan Informasi untuk Cloud
Lingkungan Komputasi”, 10 IEEE Internasional Pertemuan pada
Komputer dan Informasi Teknologi , Bradford, Inggris, 29 Juni-1
Juli 2010.
[6] Rana Alosaimi dan Mohamed Alnum, “Manajemen Risiko yang
Diusulkan
Framework for Cloud Computing Environment”, Jurnal Internasional
Ilmu Komputer dan Keamanan Informasi, Vol. 14, No.8, 2016.
[7] Rana Alosaimi dan Mohamed Alnum, “Risk Management
Framework for Cloud Computing: A Critical Review”, Jurnal
Internasional Ilmu Komputer dan Teknologi Informasi, Vol.8, No.4,
2016.
[8] Prasad Saripalli dan _ Ben Walters , “QUIRC: Dampak Kuantitatif
dan
Kerangka Penilaian Risiko untuk Keamanan Cloud”, IEEE 3
Internasional Pertemuan pada Awan komputasi , Miami, FL, AS, 5-
10 Juli 2010.
[9] Erdal Cayirci, Alexandr Garaga, Anderson Santana dan Yves
Roudier, “Model Penilaian Risiko untuk Memilih Penyedia Layanan
Cloud”, Jurnal Komputasi Cloud: Kemajuan, Sistem, dan Aplikasi,
5:14, 2016.
[10] Heinz-Peter Berg, "Manajemen Risiko: Prosedur, Metode dan
Pengalaman", RT&A, Vol. 1, No. 2(17), 2010.
[11] BlessonVarghese dan Rajkumar Buyya , "Komputasi awan generasi
berikutnya: Tren baru dan arah penelitian", Masa depan Generasi
Komputer sistem , Vol. 79, Bagian 3 , hal hal. 849-861, Februari
2018.
[12] Keiko Hashizume, David G Rosado, Eduardo Fernández-Medina,
and Eduardo B Fernandez, “An analysis of security issues for cloud
computing”, Jurnal dari Internet Jasa dan Aplikasi , 4:5, 2013.
[13] SaurabhSingh ,Young - SikJeong, dan Jong Taman Hyuk, “Survei
tentang
Keamanan Cloud Computing: Masalah, Ancaman, dan Solusi”,
Jurnal dari Jaringan dan Komputer Aplikasi , Vol. 75, hlm. 200-222,
2016.
[14] CRAMM: Perangkat Penilaian Risiko Keamanan Informasi, [online]
Tersedia: http://www.cramm.com.
[15] https://www.theirm.org/media/4709/arms_2002_irm.pdf.
[16] HA Linstone, Metode Delphi: Teknik dan Aplikasi, Addison-
Wesley, 1975.
[17] LM Stuter, "Teknik Delphi: Apa itu?", Jaringan Pendidikan dan
Penelitian Lynn, Maret 1996.
[18] RAND Corporation 2007, “Kumpulan publikasi RAND pada metode
Delphi”, Jan 2010.
Halaman www.ijacsa.thesai.org
Vol. 10, No. 12, 2019
[19] E. Teijlingen, E. Pitchfork, C. Bishop, E. Russell, "Metode Delphi
dan teknik kelompok nominal dalam penelitian keluarga berencana
dan kesehatan reproduksi", Journal of Family Planning and
Reproductive Health Care, Vol. 31, No.2, hlm.132-135, 2005.
[20] Umesh Kumar Singh dan Chanchala Joshi, "Studi Perbandingan
Kerangka Penilaian Risiko Keamanan Informasi", Jurnal
Internasional Aplikasi Komputer, Vol. 2, Edisi 8, 2018.
[21] Filipe Macedo dan Miguel Mira da Silva, “Studi Komparatif Model
Penilaian Risiko Keamanan Informasi”, tersedia online:
https://fenix.tecnico.ulisboa.pt/downloadFile/395139415147/resumo.
pdf
[22] Ahmad Amini dan Norziana Jamil, “Kajian Komprehensif tentang
Model Penilaian Risiko yang Ada di Cloud Computing”, Jurnal dari
Fisika : Pertemuan Seri , Volume 1018 , 201 8.
[23] SK Pandey dan K. Mustafa, “Studi Komparatif Risiko
Metodologi Penilaian Sistem Informasi”, Buletin Teknik Elektro dan
Informatika, Vol.1, No.2, hlm. 111-122, Juni 2012.
[24] Mohammed Alnuem, HalaAlrumaih dan Halah Al-Alshaikh, “A
Studi Perbandingan Kerangka Kerja Manajemen Risiko Keamanan
Informasi dalam Komputasi Awan”, Konferensi Internasional
Keenam tentang Komputasi Awan, GRID, dan Virtualisasi,
KOMPUTER CLOUD 2015.
[25] Neeta Shukla dan Sachin Kumar, “Studi Komparatif tentang
Informasi
Praktik Analisis Risiko Keamanan ”Jurnal Internasional Komputer
Aplikasi, Edisi Khusus tentang Isu dan Tantangan dalam Teknologi
Jaringan, Intelijen, dan Komputasi, 2012.
[26] MounaJouinia, Latifa Ben ArfaRabaia, “Studi Komparatif Model
Penilaian Risiko Keamanan Informasi untuk sistem Cloud
Computing”, The 6th International Symposium on Frontiers in
Ambient and Mobile Systems, Procedia Computer Science 83, hlm.
1084 – 1089, 2016.
[27] Vivek Agrawal, "Sebuah Studi Perbandingan Metode Analisis Risiko
Keamanan Informasi", Jurnal Komputer, Vol. 12, No. 1, Januari
2017.
[28] Nada Mannane, Youssef Bencharhi, BrahimBoulafdour dan
BoubkerRegragui , _ "Survei: Model penilaian risiko untuk
komputasi awan: Kriteria evaluasi", 3 Internasional Pertemuan dari
Awan Komputasi Teknologi dan Aplikasi , Rabat, Maroko, 24-26
Oktober 2017.
[29] KVDKiran, SaikrishnaMukkamala, AnudeepKatragadda dan
LSSReddy, “Kinerja Dan Analisis Penilaian Risiko
Metodologi Dalam Keamanan Informasi”, International Journal of
Tren dan Teknologi Komputer (IJCTT), Vol. 4, Edisi 10, Oktober
2013.
[30] https://www.forbes.com/sites/louiscolumbus/2017/10/18/cloud
computing - pasar - diproyeksikan - untuk - mencapai - 411b - pada -
2020/#1317df7078f2 .
[31] https://www.idc.com/ . [32] https://www.nist.gov/ .
[33] https://www.enisa.europa.eu/publications/cloud - computing -
penilaian risiko .
[34] https://www.mindtools.com/brainstm.html .
[35] Ahmed E. Youssef, “Menjelajahi Layanan Cloud Computing dan
Applications", Journal of Emerging Trends in Computing and
Information Sciences, VOL. 3, TIDAK. 6 Juli 2012.
[36] https://www.forbes.com/sites/louiscolumbus/2018/01/07/83 -
perusahaan - beban kerja - akan - berada - di - cloud - pada - 2020
/ # 6ae3cce76261 .
[37] https://www.iso.org/standard/43170.html .
[38] "Risiko Keamanan Siber Teratas", Laporan Institut SAN,
September 2009.
[39] COBRA: Pengantar Analisis Risiko Keamanan. Tersedia di:
http://www.security - risk - analysis.com/ .
[40] https://cloudsecurityalliance.org/ .
[41] https://www.min dtools.com/pages/article/newTMC_05.htm .
195|
(IJACSA) Jurnal Internasional Ilmu dan Aplikasi Komputer Tingkat Lanjut, Vol. 10,
No. 12, 2019

196|
Halaman www.ijacsa.thesai.org