PENILAIAN MANAJEMEN RISIKO TI MENGGUNAKAN QUANTITATIVE dan QUALITATIVE RISK ANALYSIS (QRA)

PADA PT. KAGE DWIJAYA

ASSESSMENT OF IT RISK MANAGEMENT USING QUANTITATIVE and QUALITATIVE RISK ANALYSIS (QRA) AT PT.
KAGE DWIJAYA
Audia Shafarina Justy1, Rio Guntur Utomo2, Rahmat Yasirandi3
1, 2
Prodi S1Teknologi Informasi, Fakultas Informatika, Universitas Telkom
audiashafarinajusty@student.telkomuniversity.ac.id1, riogunturutomo@telkomuniversity.ac.id2
batanganhitam@telkomuniversity.ac.id3

Abstrak
Pada masa ini teknologi informasi sangat berperan penting dalam mendukung proses bisnis, mulai dari komunikasi,
manajemen pegawai, hingga pengadaan stok. PT Kage Dwijaya merupakan salah satu contoh perusahaan yang menerapkan teknologi
informasi dalam menunjang proses bisnis mereka dengan memanfaatkan penggunaan aset TI. Namun tidak dapat dipungkiri bahwa
ada risiko-risiko yang akan muncul pada aset teknologi informasi yang digunakan, pengukuran dan manajemen risiko ini berguna
untuk meningkatkan kesadaran bagi stakeholder agar dapat mengimplementasikan aset TI yang lebih maksimal .
Penelitian ini bertujuan untuk mengetahui penerapan manajemen risiko aset teknologi informasi dengan metode Quantitative
Risk Analysis (QRA) serta penilaian risiko penggunaan teknologi informasi menggunakan metode Qualitative Risk Analysis dengan
pedoman NIST 800-53.
Hasil penelitian ini menggunakan metode hybrid menunjukkan bahwa kerugian financial paling tinggi pada aset TI jenis
dekstop serta ancaman (threat) dengan kerugian financial paling tinggi yakni akibat kesalahan tidak sengaja (accidental error).
Untuk rekomendasi menggunakan pedoman NIST 800-53 dengan ancaman tertingi kesalahan tidak sengaja (accidental
error) menggunakan rekomendasi kontrol Access Control For Transmission.5Hasil analisis risiko telah dikemukakan, maka dapat
5memberikan hasil rekomendasi risiko yang akan diberikan kepada pihak departemen TIK.

Kata kunci : Teknologi Informasi, Quantitative Risk Analysis, Qualitative Risk Analysis, NIST 800-53

Abstract
At present, information technology plays an important role in supporting business processes, from communication, employee
management, to stock procurement. PT Kage Dwijaya is an example of a company that implements information technology to support
their business processes by utilizing the use of IT assets.
This study aims to determine the application of information technology asset risk management using the Quantitative Risk
Analysis (QRA) method and risk assessment of the use of information technology using the Qualitative Risk Analysis method with
NIST 800-53 guidelines. The results of this study using the hybrid method show that financial losses are highest in desktop IT assets
and threats with the highest financial losses due to accidental errors.
For recommendations using NIST 800-53 guidelines with the highest threat of accidental error using Access Control For
Transmission control recommendations. The results of the risk analysis have been put forward, then it can provide the results of risk
recommendations that will be given to the ICT department.

Keywords: Information Technology, Quantitative Risk Analysis, Qualitative Risk Analysis, NIST 800-53.

1. Pendahuluan
Teknologi informasi pada masa sekarang sangat berperan penting dalam mendukung segala rencana dan proses bisnis [1].
Hampir setiap sektor, besar atau kecil, menggunakan teknologi informasi sebagai alat untuk mendukung semua kegiatan. Peranan TI
dapat meningkatkan kualitas layanan untuk mencapai tujuan bisnis [2]. Pada kenyataannya, setiap sektor memiliki aset,5termasuk
perangkat keras dan perangkat lunak yang digunakan secara bersamaan.5
Tuntutan yang terus berubah ini lah yang mendorong para pebisnis ritel untuk memanfaatkan teknologi yang dapat
mengefisiensikan waktu dan biaya. Seperti halnya pada PT. Kage Dwijaya, teknologi informasi berperan penting dalam alur bisnis,
komunikasi, manajemen pegawai, hingga pengadaan stock yang wajib dipastikan dapat berjalan dengan baik. Dampak dari
penggunaan aset TI membuat perusahaan lebih efisien karena memiliki pola proses bisnis yang lebih teratur dan lebih cepat. Akan
tetapi, tidak dapat dipungkiri bahwa ada risiko-risiko yang akan muncul pada aset teknologi informasi yang digunakan, seperti risiko
network loss yang membutuhkan kontrol lebih lanjut sebagai prioritas. Karena pada dasarnya segala sesuatu memiliki risiko. Apalagi
aset TI yang sangat rentan dalam penggunaannya. Selain itu, untuk perawatan ataupun pemeliharaan aset TI juga harus dilakukan
dengan baik dan hati-hati [3].
Berdasarkan hasil wawancara yang dilakukan kepada Staff TIK permasalahan yang terjadi adalah jarangnya pergantian
sparepart sehingga mengakibatkan memperlambat proses kinerja pada staff. Permasalah lain yang muncul adalah kurangnya perhatian
 terhadap antivirus pada perangkat. PT Kage Dwijaya sendiri belum memiliki standar nasional ataupun ISO, sehingga kemungkinan
risiko yang terjadi pada PT. Kage Dwijaya sangatlah tinggi.5Oleh karena hal tersebut, perlu dilakukan pengukuran risiko untuk
mengetahui tingkat 2 ancaman yang mungkin timbul dalam aset dan mengakibatkan kerugian yang dimiliki oleh PT. Kage Dwijaya. L

2. Dasar Teori dan Metode Penelitian

2.1 Aset
Definisi aset menurut PSAK (Pernyataan Standar Akuntansi Keuangan) selaku standar ilmu akuntansi yang berlaku di Indonesia
adalah sumber daya yang dikuasai oleh entitas yang berasal dari kegiatan dimasa 6 lalu, dapat digunakan dalam aktivitas produksi dan
tidak untuk dijual karena memiliki manfaat ekonomi yang mungkin diperoleh di masa depan. Di dalam PSAK 16, aset berwujud yang
dimiliki dan digunakan dalam produksi atau pengadaan barang dan jasa, untuk direntalkan kepada pihak lain atau untuk tujuan
administratif [4].

2.2 PT. Kage Dwijaya

PT. Kage Dwijaya atau dikenal dengan Diamond Supermarket salah satu perusahaan swasta yang tengah berkembang
bergerak dibidang supermarket dan departement store. PT Kage Dwijaya menyediakan kebutuhan sehari-hari terutama makanan,
minuman, peralatan rumah tangga, produk bayi, farmasi, kosmetik, aksesoris dan aneka barang lainnya. PT Kage Dwijaya mendirikan
Diamond supermarket Kelapa Gading Plaza dan memiliki beberapa cabang sejauh ini.
2.3 Manajemen Risiko
Manajemen Risiko adalah sebuah aktivitas yang bertujuan untuk mencapai keseimbangan antar efisiensi, meminimalkan kesalahan
serta kerugian dan memaksimalkan keuntungan. Manajemen Risiko adalah kegiatan yang perlu dilakukan secara berkelanjutan
sehingga dapat menilai dan menemukan kelemahan manajemen risiko sendiri.

2.4 Quantitative Risk Analysis

Analisis risiko kuantitatif berusaha untuk menetapkan komponen penilaian risiko dan target independen nilai moneter untuk menilai
potensi kerugian. J.W. Merrit menjelaskan tahapan analisis risiko kuantitatif.

2.5 NIST SP 800 53

5NIST (National Institute of Standard and Technology) Special Publication (SP) 800553 merupakan panduan untuk proses
pengelolaan kontrol keamanan yang dapat diimplementasikan dalam sistem informasi atau organisasi lainnya.

3. Metode Penelitian
3.1 Quantitative Risk Analysis
Quantitative Risk Analysis adalah metode yang bertujuan untuk menganalisis risiko dengan melakukan perhitungan dan fokus
pada perawatan aset untuk mengidentifikasi risiko dan ancaman yang memerlukan perhatian khusus dan paling penting. Metode
analisis risiko kuantitatif ini dapat dibagi menjadi tujuh tahap (J.W. merit) sebagai berikut. Langkah pertama adalah menentukan ruang
lingkup (scope statement), pada penelitian aset teknologi informasi kantor PT. Kage Dwijaya, aset teknologi informasi yang akan
diteliti berdasarkan pada data aset yang masih digunakan. Langkah kedua menentukan harga (price) sesuai dengan tipe dan version
aset teknologi informasi yang dianalisa dari sumber database aset teknologi informasi kantor PT. Kage Dwijya. Selanjutnya
penetapan5risiko (risk) dan ancaman5(threat)5bertujuan untuk mengidentifikasi5 penyebab potensi ancaman dan membuat “ daftar
yang”menjelaskan penyebab5potensi5ancaman sehingga dapat diterapkan pada sistem pemeliharaan aset TI5yang5saat ini”sedang
dievaluasi. Pada langkah 5keempat, penentuan faktor “dampak (exposure/impact”factor). “Identifikasi kerentanan”dalam aset
teknologi informasi “terhadap risiko tertentu, atau yang”sama sekali5tidak rentan terhadap risiko5.5Hal ini dilakukan
dengan5mengkategorikan dampak terhadap aset teknologi informasi5berdasarkan tingkat5kerentanan (vulnerability atau kelemahan)
dari aset TI tersebut. Analisis Kerentanan (5vulnerability analysis) aset5 teknologi informasi, Analisis kerentanan5dilakukan untuk
mengetahui potensi5kerugian suatu aset, yang dikenal dengan istilah 5exposure factor (EF5), yaitu persentase kerugian yang
disebabkan oleh ancaman terhadap aset tersebut [2].
5Evaluasi kelompok (group evaluation) untuk5 memeriksa 5ancaman (threat) dan5faktor“dampak EF (exposure”coefficient)
untuk aset teknologi informasi. Kelompok ini terdiri dari kepala departemen TIK dan penanggung jawab seksi (pengembangan, staf
TIK) [2].”5Melakukan perhitungan (calculation)”analisis dampak “(perhitungan dampak dari” pelanggaran5keamanan)5berupa Single
Loss Expectancy (SLE) dan Annualized Loss Expectancy (ALE). Single Loss Expectancy (SLE)5adalah5nilai moneter yang hilang
pada satu kali5dalam insiden pelanggaran5keamanan informasi5,”sedangkan5Annualized loss expectancy (ALE) adalah nilai moneter
yang hilang5dari suatu aset dalam satu tahun karena gangguan keamanan, Berikut adalah rumus dalam mencari SLE dan ALE:
SLE = Aset Value x EF
5Dimana :
Asset value, Nilai keuangan setiap aset teknologi informasi, yang nilainya ditentukan oleh harga aset pada tahap kedua.
EF (Exposure factor) adalah persentase kerugian karena ancaman aset.
5ALE = SLE x ARO5
5 5SLE (Single loss expectancy) merupakan kerugian” secara5 finansial pada setiap aset TI yang disebabkan oleh setiap ancaman
(threat).
 5ARO (Annualized rate occurrence) merupakan5persentase potensial dari setiap ancaman untuk setiap aset TI dalam satu tahun.
Langkah terakhir adalah”analisis yang dapat menghasilkan dan menentukan aspek mana yang”layak untuk”mendapatkan
pengendalian.” Ada dua metode analisis5yaitu5Analysis Across Asset5dan5Analysis Across Risk.5Analysis Across
Asset5merupakan5cara menjumlahkan nilai dampak masing-masing5aset TI dari”seluruh ancaman pada tahap perhitungan
danmenentukan skala prioritas jenis aset TI yang memerlukan 5pengendalian sedangkan Analysis Across Risk”merupakan cara
menjumlahkan nilai dampak5dari setiap ancaman terhadap seluruh aset TI pada tahapperhitungan dan penentuan skala prioritas jenis
ancaman (risiko) yang perlu dikendalikan [2].

3.2 Metode Qualitative Risk Analysis dengan pedoman NIST SP 800 53

5Metode Qualitative Risk Analysis yang digunakan adalah metode NIST SP 800 53. 5Metode dipilih karena NIST SP 8005 53
yang dapat memberikan pengelolaan kontrol keamanan [8].

4. Hasil dan Pembahasan

4.1 Quantitative Risk Analysis
Menentukan ruang lingkup merupakan tahap awal analisis. Lokasi penelitian adalah kantor PT Kage Dwijaya di Tangerang,
Banten. Aset TI yang dianalisis adalah aset TI yang dimiliki dan sudah di upgrade pada tahun 2022 meliputi Dekstop, Printer,
Scanner, Laptop, dan Server. Obyek Penelitian yang merupakan perangkat-perangkat yang berada di kantor PT. Kage Dwijaya.

Tabel 1 Quantitative Risk Analysis

Tipe Aset TI Jumlah/ Unit Aset TI

Dekstop 60

Printer 20

Scanner 9

Laptop 5

Operation System (Windows OEM) 31

Server 1

Tabel 2 Sumber: Dokumen Aset TI PT. Kage Dwijaya

Menentukan Resiko dan Acaman dengan menentukan nilai Annualize Rate Occurrence (ARO) untuk setiap jenis ancaman.
ARO didapatkan dari nilai persentase potensial dari setiap ancaman untuk setiap aset TI dalam satu tahun terakhir di PT. Kage
Dwijaya yang tercatat.
 Tabel 3. Sumber: Hasil penelitian yang diolah

NO Ancaman (Threat) ARO

1 Kehilangan Daya Listrik (Power Loss) 1

2 Kehilangan Komunikasi (Network Loss) 1

3 Data integrity 2

4 Kesalahan tidak sengaja (Accidental Error) 0.72

5 Virus Komputer 1

6 Penyalahgunaan hak akses oleh karyawan 0.4

7 Bencana Alam 0.29

8 Mencoba akses sistem yang tidak sah oleh pihak luar 0.27

9 Pencurian atau perusakan Sumber Daya Komputasi 0.24

10 Penghancuran Data 0.17

11 Penyalahgunaan hak akses oleh Pengguna Resmi 0.09

12 Berhasil Akses sistem tidak sah oleh Orang Luar 0.08

13 Non Disaster Downtime 0.06

14 Fire 0.01

15 Earthquake 0.01
5Menentukan koefisien dampak5 pada 5tingkat vulnerability (kerentanan)5 aset 5TI, dengan nilai kerentanan antara 0-100%.
Nilai koefisien dampak5 pada aset TI diperoleh dari Merrit (2000).

Tabel 4. Sumber: J.W Merrit [9]

Nilai Deskripsi

0 Aset tahan terhadap ancaman dan tidak ada kerusakan yang diakibatkan oleh realisasi
ancaman tersebut.

0.3 Ketika ancaman terjadi, biasanya tidak ada kerusakan yang terjadi tetapi ada
kemungkinan bahwa akan terjadi kerusakan besar yang membutuhkan penggantian
total.

0.5 Ketika ancaman terjadi, kemungkinan besar tidak ada kerusakan yang terjadi atau
penggantian total penggantian total akan diperlukan.

0.7 Setelah ancaman berhasil dieksekusi, sistem yang terkena dampak biasanya akan
membutuhkan penggantian

1 Penggantian total aset yang teridentifikasi adalah satu-satunya

satu-satunya hasil yang mungkin terjadi.
 Tabel 5. Menerangkan5bahwa nilai koefisien dampak tertinggi yang terjadi pada aset TI adalah dari Threat5(Ancaman)
Pencurian atau perusakan sumber daya komputasi(Theft or destruction of Computing Resources) aset TI.

Tabel 5: Koefisien Dampak Aset TI

NO Ancaman (Threats) EF(Exposure Factor)

Desktop Printer Scanner Laptop OS Server

1 Kehilangan Daya Listrik (Power Loss) 0.20 0.10 0.20 0.20

0.20 0.20

2 Kehilangan Komunikasi (Communication Loss) 0.20 0.10 0.20 0.10 0.10

0.10

3 Data integrity 0.00 0.00 0.00 0.00 0.00

0.00

4 Kesalahan tidak sengaja (Accidental Error) 0.70 0.10 0.20 0.70 0.10 0.20

5 Virus Komputer 0.50 0.05 0.30 0.50 0.80 0.00

6 Penyalahgunaan hak akses oleh karyawan 0.40 0.10 0.10 0.40 0.20 0.30

7 Bencana Alam 0.50 0.50 0.50 0.50 0.50 0.50

8 Mencoba akses sistem yang tidak sah oleh pihak luar 0.20 0.10 0.10 0.20 1.00 0.00

9 Pencurian atau perusakan Sumber Daya Komputasi 1.00 1.00 1.00 1.00 1.00 1.00

10 Penghancuran Data 0.00 0.00 0.00 0.00 0.00 0.00

11 Penyalahgunaan hak akses oleh Pengguna Resmi 0.00 0.00 0.00 0.00 0.00 0.00

12 Berhasil Akses sistem tidak sah oleh Orang Luar 0.80 0.15 0.30 0.80 0.60 0.20

13 Non Disaster Downtime 0.20 0.05 0.20 0.20 0.05 0.10

14 Fire 0.30 0.30 0.30 0.30 0.30 0.30

15 Earthquake 0.30 0.30 0.30 0.30 0.30 0.30

Terdapat 2 step dalam perhitungan, antara lain yaitu (1) menginput value dari aset TI yang diperoleh pada tabel 2 yakni
5penetapan harga aset TI (asset pricing5) pada sumbu vertikal ke dalam spreadsheet. Lalu menginput value threat yang diperoleh
pada tabel 3 yakni ancaman selama 1 tahun pada sumbu horizontal. Kemudian di input juga nilai koefesien dampak (value exposure
factor (EF)) yakni antara lain value asset TI serta value threat. Menginput value exposure factor (EF) yang diperoleh pada tabel 5,
sedangkan untuk deskripsi dari spreadsheet yang berisi value asset TI, value threat dan value exposure factor terdapat di tabel 6. (2)
Menginput nilai hasil kali antara value asset TI, value threat, dan value exposure factor ke dalam spreadsheet berbeda dengan hasil
kali yang ada di tabel 7 yakni kalkulasi value exposure factor dalam value financial.
 5Tabel 6 . Nilai Aset TI, Nilai Threat dan Nilai Koefisien Dampak5

Tipe Desktop Printer Scanner Laptop OS Server

Aset

Nilai Rp Rp Rp Rp Rp Rp
Aset 387,025,000 33,210,000 14,910,000 35,884,000 9,234,000 72,000,000
Threat
Resiko

Kehilangan Daya Listrik (Power

Loss) 2.00 0.20 0.10 0.20 0.20 0.20 0.20

Kehilangan Komunikasi 0.10

(Communication Loss) 2.00 0.20 0.10 0.10 0.20 0.10

Data integrity 2.00 0.00 0.00 0.00 0.00 0.00

0.00

Kesalahan tidak sengaja 0.72 0.70 0.10 0.20 0.70 0.10 0.20
(Accidental Error)

Virus Komputer 0.68 0.50 0.05 0.30 0.50 0.80 0.00

Penyalahgunaan hak akses oleh 0.40 0.40 0.10 0.10 0.40 0.20 0.30
karyawan

Bencana Alam 0.29 0.50 0.50 0.50 0.50 0.50 0.50

Mencoba akses sistem yang tidak 0.27 0.20 0.10 0.10 0.20 1.00 0.00
sah oleh pihak luar

Pencurian atau perusakan Sumber 0.24 1.00 1.00 1.00 1.00 1.00 1.00
Daya Komputasi

Penghancuran Data 0.17 0.00 0.00 0.00 0.00 0.00 0.00

Penyalahgunaan hak akses oleh 0.09 0.00 0.00 0.00 0.00 0.00 0.00
Pengguna Resmi

Berhasil Akses sistem tidak sah 0.08 0.80 0.15 0.30 0.80 0.60 0.20
oleh Orang Luar

Non Disaster Downtime 0.06 0.20 0.05 0.20 0.20 0.05 0.10

Fire 0.01 0.30 0.30 0.30 0.30 0.30 0.30

Earthquake 0.01 0.30 0.30 0.30 0.30 0.30 0.30

Tabel 7 menjabarkan mengenai ancaman yang memiliki pengaruh negatif yakni kerugian financial yang besar apabila
terjadi pada aset TI di perusahaan. Seluruh aset TI tidak terdampak oleh jenis threat data integrity, penghancuran data serta
penyalahgunaan hak akses oleh pengguna resmi.
 5Tabel 7. Kalkulasi nilai koefisien dampak dalam nilai rupiah5

Tipe Aset

Desktop Printer Scanner Laptop OS(Rp) Server(Rp)

Threat (Rp) (Rp) (Rp) (Rp)

Kehilangan Daya Listrik (Power Loss) 154,810,000 6,642,000 5,964,000 14,353,600 3,693,600 28,800,000

Kehilangan Komunikasi (Communication 154,810,000 6,642,000 5,964,000 14,353,600 1,846,800 14,400,000

Loss)

Data integrity 0 0 0 0 0 0

Kesalahan tidak sengaja (Accidental Error) 195,060,600 2,391,120 2,147,040 18,085,536 664,848 10,368,000

Virus Komputer 131,588,500 1,129,140 3,041,640 12,200,560 5,023,296 0

Penyalahgunaan hak akses oleh karyawan 61,924,000 1,328,400 596,400.00 5,741,440 738,720 8,640,000

Bencana Alam 56,118,625 4,815,450 2,161,950 5,203,180 1,338,930 10,440,000

Mencoba akses sistem yang tidak sah oleh 20,081,168 896,670 402,570 1,937,736 2,493.180 0
pihak luar

Pencurian atau perusakan Sumber Daya 18,577,200 7,970,400 3,578,400 8,612,160 2,216,160 17,280,000
Komputasi

Penghancuran Data 0 0 0 0 0 0

Penyalahgunaan hak akses oleh Pengguna 0 0 0 0 0 0

Resmi

Berhasil Akses sistem tidak sah oleh Orang 24,769,600 398,520 357,840 2,296,576 443,232 1,152,000
Luar

Non Disaster Downtime 4,644,300 99,630 178,920 430,608 27,702 432,000

Fire 1,161,075 99,630 44,730 107,652 27,702 216,000

Earthquake 1,161,075 99,630 44,730 107,652 27,702 216,000

Total 825,524,325 32,512,590 24,482,220 83,430,300 18,541,872 91,944,000

Analisis across asset diterapkan untuk memperoleh jenis asset TI yang cocok untuk memperoleh pengendalian. Adapun cara
dari analisis across asset adalah dengan mentotalkan dan mengurutkan rangking dari5dampak SLE masing-masing5aset TI seluruh
threat pada tahapan kalkulasi yang ada di tabel 7 pada tiap aset TI agar menjadi referensi untuk menentukan rangking yang didasarkan
pada pengurutan tertinggi hingga terendah dari dampak SLE bagi value financial (rupiah) di tabel 8. Aset TI berjenis Desktop
diperlihatkan oleh tabel 8 bahwa tabel tersebut memiliki value dampak kerugian yang paling tinggi apabila seluruh ancaman (threat)
terjadi sebanyak Rp 825,524,325 serta aset TI jenis operation system yang memiliki nilai dampak kerugian paling kecil pada ancaman
(threat). Melalui analisi across asset, maka dapat dilihat bahwa aset TI berjenis apa yang harus diprioritaskan pengendaliannya dahulu
dari seluruh threat yang telah terjadi.
 Tabel 8. Nilai Across Asset

Tipe Aset TI Nilai Across Asset

Dekstop 825,524,325

Server 91,944,000

Laptop 83,430,300

Printer 32,512,590

Scanner 24,482,220

Operation System (Windows) 18,541,872

Total 1,076,435,307

Analisis across risk dilakukan untuk memperoleh jenis ancaman (threat) yang cocok untuk didapatkan pengendalian, yakni
dengan cara ditotalkan dan dirangkingkan value dampak SLE dari tiap threat bagi seluruh aset TI yakni dari tahap kalkulasi yang ada
di tabel 7 menjadi sebuah referensi dalam menentukan rangking jenis threat yang didasarkan pada nilai dampak SLE dalam value
financial yang ada di tabel 9 atau tabel rangking serta value across risk dari yang tertinggi ke terendah.

Tabel 9. Nilai Across Risk

Threat Nilai Across Risk(Rp)

Kesalahan tidak sengaja (Accidental Error) 228.717,144

5Kehilangan Daya Listrik (Power Loss)5 214,263,200

5Kehilangan Komunikasi 5(Communication Loss) 198,016,400

Virus Komputer 152,983,136

Bencana Alam 80,078,135

Penyalahgunaan hak akses oleh karyawan 78,968,960

Pencurian atau perusakan Sumber Daya Komputasi 58,234,320

Berhasil Akses sistem tidak sah oleh Orang Luar 29,417,768

Mencoba akses sistem yang tidak sah oleh pihak luar 26,629,506

Non Disaster Downtime 5,813,160

Fire 1,656,789

Earthquake 1,656,789

Penyalahgunaan hak akses oleh Pengguna Resmi 0

Data integrity 0

Penghancuran data 0
 TOTAL 1,076,435,307
Value dampak financial oleh ancaman (threat) sebanyak Rp 1,076,435,307 diperlihatkan oleh tabel 9 bagi aset TI perusahaan berjenis
threat kesalahan tidak sengaja (accidental error) yang memiliki value dampak kerugian yang paling tinggi yakni sebesar Rp
228.717,144 bagi seluruh jenis aset TI. Sedangkan bagi jenis threat penghancuran data (destruction of data) memiliki value dampak
kerugian yang paling rendah. Hasil dari analisis menyatakan aspek aset TI berjenis Dekstop memiliki potensi value kerugian yang
paling besar untuk PT. Kage Dwijaya yakni sebanyak Rp. 825,524,325. Hasil dari analisis itu melahirkan saran bagi para pemangku
keputusan/stakeholder yakni dalam menindak pengendalian threat bagi aspek asset TI berjenis Dekstop yang memiliki potensi value
kerugian yang paling tinggi daripada aset TI berjenis lain serta segera menindak pengendalian threat bagi aspek threat kesalahan tidak
sengaja (accidental error) yang memiliki potensi value kerugian yang paling besar daripada jenis threat lainnya

4.2 Qualitative Risk Analysis

Kontrol digunakan untuk memantau risiko untuk mengurangi kemungkinan terjadinya situasi risiko tinggi. NIST SP 800-53
adalah kontrol yang digunakan dalam penelitian ini, dan dapat dilihat pada tabel berikut.

Tabel 10 Rekomendasi Kontrol

Risiko Nama Kontrol Deskripsi

Kesalahan tidak PE-4 Access Control For Perlindungan keamanan fisik yang
sengaja (Accidental Transmission Medium diterapkan pada distribusi sistem informasi
Error) dan membantu mencegah kerusakan yang
tidak disengaja, dan gangguan fisik.

Kehilangan Daya PE-11(1) Emergency Organisasi menyediakan catu daya

Listrik (Power Loss) Power | Long-Term alternatif jangka panjang untuk sistem
Alternate Power Supply - informasi yang, mandiri dan tidak
Self-Contained bergantung pada pembangkit listrik
eksternal.

Kehilangan CP-8 Telecommunication Organisasi menetapkan layanan

Komunikasi Services telekomunikasi alternatif termasuk
(Communication perjanjian yang diperlukan.
Loss)

Virus Komputer SI-3 Malicious Code Melakukan pemindaian berkala terhadap

Protection sistem informasi, memblokir kode
berbahaya, mengkarantina kode berbahaya,
mengirim peringatan ke administrator

Bencana Alam CP-6 Alternate Storage Melakukan pemantauan bahwa tempat

Site penyimpanan alternatif menyediakan
perlindungan keamanan informasi yang
setara dengan
dengan situs utama.

Penyalahgunaan hak AC-5 Separation of Duties Melakukan pemisahan tugas mengatasi

akses oleh karyawan potensi penyalahgunaan wewenang dan
membantu mengurangi risiko aktivitas jahat
tanpa kolusi.

Pencurian atau RA-5 Vulnerability Memindai kerentanan dalam sistem

perusakan Sumber Scanning informasi dan aplikasi yang dihosting dan
Daya Komputasi memperbaiki kerentanan yang sah dalam
sesuai dengan penilaian risiko organisasi

Berhasil Akses IA-8 Identification and Memverifikasi Identitas Pribadi (PIV)

sistem tidak sah Authentication (Non- secara elektronik
oleh Orang Luar Organizational Users)
Mencoba akses PE-18 Location of Merencanakan lokasi atau tempat fasilitas
sistem yang tidak Information System di mana sistem informasi berada dengan
sah oleh pihak luar Components memperhatikan bahaya fisik dan
lingkungan dan untuk fasilitas yang sudah
ada.

Non Disaster CP-6 Alternate Storage Melakukan pemantauan bahwa tempat

Downtime Site penyimpanan alternatif menyediakan
perlindungan keamanan informasi yang
setara dengan
dengan situs utama.

Fire PE-13 Fire Protection Memelihara perangkat/sistem pencegah dan

pendeteksi kebakaran untuk sistem
informasi yang didukung oleh sumber
energi independen.

Earthquake PE-18 Location of Merencanakan lokasi atau tempat fasilitas

Information System di mana sistem informasi berada dengan
Components memperhatikan bahaya fisik dan
lingkungan dan untuk fasilitas yang sudah
ada, mempertimbangkan bahaya fisik dan
lingkungan dalam strategi mitigasi
risikonya

Penyalahgunaan hak IA-2 Identification and Organisasi memerlukan identifikasi unik

akses oleh Authentication untuk individu dalam akun grup atau untuk
Pengguna Resmi (Organizational Users) pertanggung jawaban terperinci atas
aktivitas individu

Data integrity AC-4(6) Information Melindungi dari perubahan yang tidak sah
Flow Enforcement | pada tag metadata
Metadata

Penghancuran data CP-9 Information System Melakukan pencadangan informasi tingkat

Backup pengguna yang terdapat dalam sistem
informasi dan melindungi kerahasiaan,
integritas, dan ketersediaan informasi
cadangan di lokasi penyimpanan
 5. Kesimpulan dan Saran
5.1 Kesimpulan
Penilaian risiko aset TI pada PT. Kage Dwijaya menggunakan metode hybrid yaitu quantitative risk analysis dan
qualitative risk analysis dengan pedoman NIST 800 53, di metode Quantitative Risk Analysis (QRA) digunakan dalam
menganalisa manajemen risiko TI sehingga mampu mengidentifikasi faktor resiko yang membutuhkan prioritas dalam
pemeliharaan dan jenis aset TI mana yang perlu perhatian khusus. Hasil dari analisis aset TI didapatkan kerugian financial
paling tinggi pada aset TI dekstop adalah sebesar Rp. 825,524,325 sehingga perlu diprioritaskan untuk pengendalian atau
perawatan aset, sedangkan analisis risiko/ancaman didapatkan jenis risiko/ancaman dengan kerugian financial paling
tinggi sebesar Rp 228.717,144 yakni akibat kesalahan tidak sengaja (accidental error) sehingga perlu diprioritaskan
untuk pengendalian atau perawatan resiko. Kontrol dan rekomendasi yang digunakan pada penelitian ini adalah NIST SP
80053. Ancaman paling tinggi adalah kesalahan tidak sengaja (accidental error) mendapatkan rekomendasi kontrol yaitu
Access Control For Transmission Medium dengan cara memberikan perlindungan keamanan fisik yang diterapkan pada
distribusi sistem informasi dan membantu mencegah kerusakan yang tidak disengaja dan gangguan fisik.
5.2 Saran
Berdasarkan penelitian yang telah dilakukan di PT. Kage Dwijaya maka saran yang dapat disampaikan adalah sebagai
berikut:
1. Dapat menjadikan referensi hasil analisis risiko pada setiap aset bahwa setiap aset yang dimiliki pasti memiliki
risiko
2. Menerapkan rekomendasi pengendalian risiko sesuai NIST SP 800 53
3. Penelitian yang telah peneliti laksanakan diharapakan dapat dilanjutkan dan dikembangkan lagi agar penelitian
baru semakin berkualitas dan bagus

REFERENSI

[1] Fernandes, Adji Achmad Rinaldo. "The effect of organization culture and technology on motivation, knowledge asset and
knowledge management." International journal of Law and Management (2018).

[2] Muslim, Buhori. "Quantitative risk analysis of asset information technology at STT Pagaralam." Prosiding STTA
Yogyakarta (Senatik 2018), STTA (2018): 501-509.
[3] Maulida, Lailatul. Analisis risiko aset teknologi informasi menggunakan metode quantitative risk analys (QRA). Diss.
UIN Sunan Ampel Surabaya, 2021.

[4] Putra, Trio Mandala. "Analisis penerapan akuntansi aset tetap pada CV. Kombos Manado." Jurnal EMBA: Jurnal Riset
Ekonomi, Manajemen, Bisnis dan Akuntansi 1.3 (2013).

[5] Yanto, Musli, et al. "Peramalan Penjualan Pada Toko Retail Menggunakan Algoritma Backpropagation Neural
Network." JURNAL MEDIA INFORMATIKA BUDIDARMA 2.3 (2018).

[6] DWIJAYA, PROFITABILITAS PADA PT KAGE, and SEKOLAH TINGGI ILMU EKONOMI MULIA PRATAMA.
"ANALISIS KAS DAN PERPUTARAN PERSEDIAAN TERHADAP (2021)."

[7] Yulianto, Agung, Awalludiyah Ambarwati, and Cahyo Darujati. "Analisis Manajemen Risiko TI Pemeliharaan Aset
Menggunakan Quantitative Risk Analysis (QRA) pada PT. HMS." Prosiding Seminar Nasional Teknologi dan Rekayasa
Informasi Tahun. Vol. 2016. 2016.

[8] Force, Joint Task, and Transformation Initiative. "Security and privacy controls for federal information systems and
organizations." NIST Special Publication 800.53 (2013): 8-13.
[9] J. W. Meritt, “A Method for Quantative Risk Analysis,” Proc. 22nd Natl. Inf. Syst. Secur. Conf., 1999.