ASSESSMENT OF IT RISK MANAGEMENT USING QUANTITATIVE and QUALITATIVE RISK ANALYSIS (QRA) AT PT.
KAGE DWIJAYA
Audia Shafarina Justy1, Rio Guntur Utomo2, Rahmat Yasirandi3
1, 2
Prodi S1Teknologi Informasi, Fakultas Informatika, Universitas Telkom
audiashafarinajusty@student.telkomuniversity.ac.id1, riogunturutomo@telkomuniversity.ac.id2
batanganhitam@telkomuniversity.ac.id3
Abstrak
Pada masa ini teknologi informasi sangat berperan penting dalam mendukung proses bisnis, mulai dari komunikasi,
manajemen pegawai, hingga pengadaan stok. PT Kage Dwijaya merupakan salah satu contoh perusahaan yang menerapkan teknologi
informasi dalam menunjang proses bisnis mereka dengan memanfaatkan penggunaan aset TI. Namun tidak dapat dipungkiri bahwa
ada risiko-risiko yang akan muncul pada aset teknologi informasi yang digunakan, pengukuran dan manajemen risiko ini berguna
untuk meningkatkan kesadaran bagi stakeholder agar dapat mengimplementasikan aset TI yang lebih maksimal .
Penelitian ini bertujuan untuk mengetahui penerapan manajemen risiko aset teknologi informasi dengan metode Quantitative
Risk Analysis (QRA) serta penilaian risiko penggunaan teknologi informasi menggunakan metode Qualitative Risk Analysis dengan
pedoman NIST 800-53.
Hasil penelitian ini menggunakan metode hybrid menunjukkan bahwa kerugian financial paling tinggi pada aset TI jenis
dekstop serta ancaman (threat) dengan kerugian financial paling tinggi yakni akibat kesalahan tidak sengaja (accidental error).
Untuk rekomendasi menggunakan pedoman NIST 800-53 dengan ancaman tertingi kesalahan tidak sengaja (accidental
error) menggunakan rekomendasi kontrol Access Control For Transmission.5Hasil analisis risiko telah dikemukakan, maka dapat
5memberikan hasil rekomendasi risiko yang akan diberikan kepada pihak departemen TIK.
Kata kunci : Teknologi Informasi, Quantitative Risk Analysis, Qualitative Risk Analysis, NIST 800-53
Abstract
At present, information technology plays an important role in supporting business processes, from communication, employee
management, to stock procurement. PT Kage Dwijaya is an example of a company that implements information technology to support
their business processes by utilizing the use of IT assets.
This study aims to determine the application of information technology asset risk management using the Quantitative Risk
Analysis (QRA) method and risk assessment of the use of information technology using the Qualitative Risk Analysis method with
NIST 800-53 guidelines. The results of this study using the hybrid method show that financial losses are highest in desktop IT assets
and threats with the highest financial losses due to accidental errors.
For recommendations using NIST 800-53 guidelines with the highest threat of accidental error using Access Control For
Transmission control recommendations. The results of the risk analysis have been put forward, then it can provide the results of risk
recommendations that will be given to the ICT department.
Keywords: Information Technology, Quantitative Risk Analysis, Qualitative Risk Analysis, NIST 800-53.
1. Pendahuluan
Teknologi informasi pada masa sekarang sangat berperan penting dalam mendukung segala rencana dan proses bisnis [1].
Hampir setiap sektor, besar atau kecil, menggunakan teknologi informasi sebagai alat untuk mendukung semua kegiatan. Peranan TI
dapat meningkatkan kualitas layanan untuk mencapai tujuan bisnis [2]. Pada kenyataannya, setiap sektor memiliki aset,5termasuk
perangkat keras dan perangkat lunak yang digunakan secara bersamaan.5
Tuntutan yang terus berubah ini lah yang mendorong para pebisnis ritel untuk memanfaatkan teknologi yang dapat
mengefisiensikan waktu dan biaya. Seperti halnya pada PT. Kage Dwijaya, teknologi informasi berperan penting dalam alur bisnis,
komunikasi, manajemen pegawai, hingga pengadaan stock yang wajib dipastikan dapat berjalan dengan baik. Dampak dari
penggunaan aset TI membuat perusahaan lebih efisien karena memiliki pola proses bisnis yang lebih teratur dan lebih cepat. Akan
tetapi, tidak dapat dipungkiri bahwa ada risiko-risiko yang akan muncul pada aset teknologi informasi yang digunakan, seperti risiko
network loss yang membutuhkan kontrol lebih lanjut sebagai prioritas. Karena pada dasarnya segala sesuatu memiliki risiko. Apalagi
aset TI yang sangat rentan dalam penggunaannya. Selain itu, untuk perawatan ataupun pemeliharaan aset TI juga harus dilakukan
dengan baik dan hati-hati [3].
Berdasarkan hasil wawancara yang dilakukan kepada Staff TIK permasalahan yang terjadi adalah jarangnya pergantian
sparepart sehingga mengakibatkan memperlambat proses kinerja pada staff. Permasalah lain yang muncul adalah kurangnya perhatian
terhadap antivirus pada perangkat. PT Kage Dwijaya sendiri belum memiliki standar nasional ataupun ISO, sehingga kemungkinan
risiko yang terjadi pada PT. Kage Dwijaya sangatlah tinggi.5Oleh karena hal tersebut, perlu dilakukan pengukuran risiko untuk
mengetahui tingkat 2 ancaman yang mungkin timbul dalam aset dan mengakibatkan kerugian yang dimiliki oleh PT. Kage Dwijaya. L
3. Metode Penelitian
3.1 Quantitative Risk Analysis
Quantitative Risk Analysis adalah metode yang bertujuan untuk menganalisis risiko dengan melakukan perhitungan dan fokus
pada perawatan aset untuk mengidentifikasi risiko dan ancaman yang memerlukan perhatian khusus dan paling penting. Metode
analisis risiko kuantitatif ini dapat dibagi menjadi tujuh tahap (J.W. merit) sebagai berikut. Langkah pertama adalah menentukan ruang
lingkup (scope statement), pada penelitian aset teknologi informasi kantor PT. Kage Dwijaya, aset teknologi informasi yang akan
diteliti berdasarkan pada data aset yang masih digunakan. Langkah kedua menentukan harga (price) sesuai dengan tipe dan version
aset teknologi informasi yang dianalisa dari sumber database aset teknologi informasi kantor PT. Kage Dwijya. Selanjutnya
penetapan5risiko (risk) dan ancaman5(threat)5bertujuan untuk mengidentifikasi5 penyebab potensi ancaman dan membuat “ daftar
yang”menjelaskan penyebab5potensi5ancaman sehingga dapat diterapkan pada sistem pemeliharaan aset TI5yang5saat ini”sedang
dievaluasi. Pada langkah 5keempat, penentuan faktor “dampak (exposure/impact”factor). “Identifikasi kerentanan”dalam aset
teknologi informasi “terhadap risiko tertentu, atau yang”sama sekali5tidak rentan terhadap risiko5.5Hal ini dilakukan
dengan5mengkategorikan dampak terhadap aset teknologi informasi5berdasarkan tingkat5kerentanan (vulnerability atau kelemahan)
dari aset TI tersebut. Analisis Kerentanan (5vulnerability analysis) aset5 teknologi informasi, Analisis kerentanan5dilakukan untuk
mengetahui potensi5kerugian suatu aset, yang dikenal dengan istilah 5exposure factor (EF5), yaitu persentase kerugian yang
disebabkan oleh ancaman terhadap aset tersebut [2].
5Evaluasi kelompok (group evaluation) untuk5 memeriksa 5ancaman (threat) dan5faktor“dampak EF (exposure”coefficient)
untuk aset teknologi informasi. Kelompok ini terdiri dari kepala departemen TIK dan penanggung jawab seksi (pengembangan, staf
TIK) [2].”5Melakukan perhitungan (calculation)”analisis dampak “(perhitungan dampak dari” pelanggaran5keamanan)5berupa Single
Loss Expectancy (SLE) dan Annualized Loss Expectancy (ALE). Single Loss Expectancy (SLE)5adalah5nilai moneter yang hilang
pada satu kali5dalam insiden pelanggaran5keamanan informasi5,”sedangkan5Annualized loss expectancy (ALE) adalah nilai moneter
yang hilang5dari suatu aset dalam satu tahun karena gangguan keamanan, Berikut adalah rumus dalam mencari SLE dan ALE:
SLE = Aset Value x EF
5Dimana :
Asset value, Nilai keuangan setiap aset teknologi informasi, yang nilainya ditentukan oleh harga aset pada tahap kedua.
EF (Exposure factor) adalah persentase kerugian karena ancaman aset.
5ALE = SLE x ARO5
5 5SLE (Single loss expectancy) merupakan kerugian” secara5 finansial pada setiap aset TI yang disebabkan oleh setiap ancaman
(threat).
5ARO (Annualized rate occurrence) merupakan5persentase potensial dari setiap ancaman untuk setiap aset TI dalam satu tahun.
Langkah terakhir adalah”analisis yang dapat menghasilkan dan menentukan aspek mana yang”layak untuk”mendapatkan
pengendalian.” Ada dua metode analisis5yaitu5Analysis Across Asset5dan5Analysis Across Risk.5Analysis Across
Asset5merupakan5cara menjumlahkan nilai dampak masing-masing5aset TI dari”seluruh ancaman pada tahap perhitungan
danmenentukan skala prioritas jenis aset TI yang memerlukan 5pengendalian sedangkan Analysis Across Risk”merupakan cara
menjumlahkan nilai dampak5dari setiap ancaman terhadap seluruh aset TI pada tahapperhitungan dan penentuan skala prioritas jenis
ancaman (risiko) yang perlu dikendalikan [2].
Dekstop 60
Printer 20
Scanner 9
Laptop 5
Server 1
Menentukan Resiko dan Acaman dengan menentukan nilai Annualize Rate Occurrence (ARO) untuk setiap jenis ancaman.
ARO didapatkan dari nilai persentase potensial dari setiap ancaman untuk setiap aset TI dalam satu tahun terakhir di PT. Kage
Dwijaya yang tercatat.
Tabel 3. Sumber: Hasil penelitian yang diolah
3 Data integrity 2
5 Virus Komputer 1
8 Mencoba akses sistem yang tidak sah oleh pihak luar 0.27
14 Fire 0.01
15 Earthquake 0.01
5Menentukan koefisien dampak5 pada 5tingkat vulnerability (kerentanan)5 aset 5TI, dengan nilai kerentanan antara 0-100%.
Nilai koefisien dampak5 pada aset TI diperoleh dari Merrit (2000).
Nilai Deskripsi
0 Aset tahan terhadap ancaman dan tidak ada kerusakan yang diakibatkan oleh realisasi
ancaman tersebut.
0.3 Ketika ancaman terjadi, biasanya tidak ada kerusakan yang terjadi tetapi ada
kemungkinan bahwa akan terjadi kerusakan besar yang membutuhkan penggantian
total.
0.5 Ketika ancaman terjadi, kemungkinan besar tidak ada kerusakan yang terjadi atau
penggantian total penggantian total akan diperlukan.
0.7 Setelah ancaman berhasil dieksekusi, sistem yang terkena dampak biasanya akan
membutuhkan penggantian
4 Kesalahan tidak sengaja (Accidental Error) 0.70 0.10 0.20 0.70 0.10 0.20
6 Penyalahgunaan hak akses oleh karyawan 0.40 0.10 0.10 0.40 0.20 0.30
8 Mencoba akses sistem yang tidak sah oleh pihak luar 0.20 0.10 0.10 0.20 1.00 0.00
9 Pencurian atau perusakan Sumber Daya Komputasi 1.00 1.00 1.00 1.00 1.00 1.00
11 Penyalahgunaan hak akses oleh Pengguna Resmi 0.00 0.00 0.00 0.00 0.00 0.00
12 Berhasil Akses sistem tidak sah oleh Orang Luar 0.80 0.15 0.30 0.80 0.60 0.20
Terdapat 2 step dalam perhitungan, antara lain yaitu (1) menginput value dari aset TI yang diperoleh pada tabel 2 yakni
5penetapan harga aset TI (asset pricing5) pada sumbu vertikal ke dalam spreadsheet. Lalu menginput value threat yang diperoleh
pada tabel 3 yakni ancaman selama 1 tahun pada sumbu horizontal. Kemudian di input juga nilai koefesien dampak (value exposure
factor (EF)) yakni antara lain value asset TI serta value threat. Menginput value exposure factor (EF) yang diperoleh pada tabel 5,
sedangkan untuk deskripsi dari spreadsheet yang berisi value asset TI, value threat dan value exposure factor terdapat di tabel 6. (2)
Menginput nilai hasil kali antara value asset TI, value threat, dan value exposure factor ke dalam spreadsheet berbeda dengan hasil
kali yang ada di tabel 7 yakni kalkulasi value exposure factor dalam value financial.
5Tabel 6 . Nilai Aset TI, Nilai Threat dan Nilai Koefisien Dampak5
Nilai Rp Rp Rp Rp Rp Rp
Aset 387,025,000 33,210,000 14,910,000 35,884,000 9,234,000 72,000,000
Threat
Resiko
Kesalahan tidak sengaja 0.72 0.70 0.10 0.20 0.70 0.10 0.20
(Accidental Error)
Penyalahgunaan hak akses oleh 0.40 0.40 0.10 0.10 0.40 0.20 0.30
karyawan
Mencoba akses sistem yang tidak 0.27 0.20 0.10 0.10 0.20 1.00 0.00
sah oleh pihak luar
Pencurian atau perusakan Sumber 0.24 1.00 1.00 1.00 1.00 1.00 1.00
Daya Komputasi
Penyalahgunaan hak akses oleh 0.09 0.00 0.00 0.00 0.00 0.00 0.00
Pengguna Resmi
Berhasil Akses sistem tidak sah 0.08 0.80 0.15 0.30 0.80 0.60 0.20
oleh Orang Luar
Non Disaster Downtime 0.06 0.20 0.05 0.20 0.20 0.05 0.10
Tabel 7 menjabarkan mengenai ancaman yang memiliki pengaruh negatif yakni kerugian financial yang besar apabila
terjadi pada aset TI di perusahaan. Seluruh aset TI tidak terdampak oleh jenis threat data integrity, penghancuran data serta
penyalahgunaan hak akses oleh pengguna resmi.
5Tabel 7. Kalkulasi nilai koefisien dampak dalam nilai rupiah5
Tipe Aset
Kehilangan Daya Listrik (Power Loss) 154,810,000 6,642,000 5,964,000 14,353,600 3,693,600 28,800,000
Data integrity 0 0 0 0 0 0
Kesalahan tidak sengaja (Accidental Error) 195,060,600 2,391,120 2,147,040 18,085,536 664,848 10,368,000
Penyalahgunaan hak akses oleh karyawan 61,924,000 1,328,400 596,400.00 5,741,440 738,720 8,640,000
Mencoba akses sistem yang tidak sah oleh 20,081,168 896,670 402,570 1,937,736 2,493.180 0
pihak luar
Pencurian atau perusakan Sumber Daya 18,577,200 7,970,400 3,578,400 8,612,160 2,216,160 17,280,000
Komputasi
Penghancuran Data 0 0 0 0 0 0
Berhasil Akses sistem tidak sah oleh Orang 24,769,600 398,520 357,840 2,296,576 443,232 1,152,000
Luar
Analisis across asset diterapkan untuk memperoleh jenis asset TI yang cocok untuk memperoleh pengendalian. Adapun cara
dari analisis across asset adalah dengan mentotalkan dan mengurutkan rangking dari5dampak SLE masing-masing5aset TI seluruh
threat pada tahapan kalkulasi yang ada di tabel 7 pada tiap aset TI agar menjadi referensi untuk menentukan rangking yang didasarkan
pada pengurutan tertinggi hingga terendah dari dampak SLE bagi value financial (rupiah) di tabel 8. Aset TI berjenis Desktop
diperlihatkan oleh tabel 8 bahwa tabel tersebut memiliki value dampak kerugian yang paling tinggi apabila seluruh ancaman (threat)
terjadi sebanyak Rp 825,524,325 serta aset TI jenis operation system yang memiliki nilai dampak kerugian paling kecil pada ancaman
(threat). Melalui analisi across asset, maka dapat dilihat bahwa aset TI berjenis apa yang harus diprioritaskan pengendaliannya dahulu
dari seluruh threat yang telah terjadi.
Tabel 8. Nilai Across Asset
Dekstop 825,524,325
Server 91,944,000
Laptop 83,430,300
Printer 32,512,590
Scanner 24,482,220
Total 1,076,435,307
Analisis across risk dilakukan untuk memperoleh jenis ancaman (threat) yang cocok untuk didapatkan pengendalian, yakni
dengan cara ditotalkan dan dirangkingkan value dampak SLE dari tiap threat bagi seluruh aset TI yakni dari tahap kalkulasi yang ada
di tabel 7 menjadi sebuah referensi dalam menentukan rangking jenis threat yang didasarkan pada nilai dampak SLE dalam value
financial yang ada di tabel 9 atau tabel rangking serta value across risk dari yang tertinggi ke terendah.
Mencoba akses sistem yang tidak sah oleh pihak luar 26,629,506
Fire 1,656,789
Earthquake 1,656,789
Data integrity 0
Penghancuran data 0
TOTAL 1,076,435,307
Value dampak financial oleh ancaman (threat) sebanyak Rp 1,076,435,307 diperlihatkan oleh tabel 9 bagi aset TI perusahaan berjenis
threat kesalahan tidak sengaja (accidental error) yang memiliki value dampak kerugian yang paling tinggi yakni sebesar Rp
228.717,144 bagi seluruh jenis aset TI. Sedangkan bagi jenis threat penghancuran data (destruction of data) memiliki value dampak
kerugian yang paling rendah. Hasil dari analisis menyatakan aspek aset TI berjenis Dekstop memiliki potensi value kerugian yang
paling besar untuk PT. Kage Dwijaya yakni sebanyak Rp. 825,524,325. Hasil dari analisis itu melahirkan saran bagi para pemangku
keputusan/stakeholder yakni dalam menindak pengendalian threat bagi aspek asset TI berjenis Dekstop yang memiliki potensi value
kerugian yang paling tinggi daripada aset TI berjenis lain serta segera menindak pengendalian threat bagi aspek threat kesalahan tidak
sengaja (accidental error) yang memiliki potensi value kerugian yang paling besar daripada jenis threat lainnya
Kontrol digunakan untuk memantau risiko untuk mengurangi kemungkinan terjadinya situasi risiko tinggi. NIST SP 800-53
adalah kontrol yang digunakan dalam penelitian ini, dan dapat dilihat pada tabel berikut.
Kesalahan tidak PE-4 Access Control For Perlindungan keamanan fisik yang
sengaja (Accidental Transmission Medium diterapkan pada distribusi sistem informasi
Error) dan membantu mencegah kerusakan yang
tidak disengaja, dan gangguan fisik.
Data integrity AC-4(6) Information Melindungi dari perubahan yang tidak sah
Flow Enforcement | pada tag metadata
Metadata
REFERENSI
[1] Fernandes, Adji Achmad Rinaldo. "The effect of organization culture and technology on motivation, knowledge asset and
knowledge management." International journal of Law and Management (2018).
[2] Muslim, Buhori. "Quantitative risk analysis of asset information technology at STT Pagaralam." Prosiding STTA
Yogyakarta (Senatik 2018), STTA (2018): 501-509.
[3] Maulida, Lailatul. Analisis risiko aset teknologi informasi menggunakan metode quantitative risk analys (QRA). Diss.
UIN Sunan Ampel Surabaya, 2021.
[4] Putra, Trio Mandala. "Analisis penerapan akuntansi aset tetap pada CV. Kombos Manado." Jurnal EMBA: Jurnal Riset
Ekonomi, Manajemen, Bisnis dan Akuntansi 1.3 (2013).
[5] Yanto, Musli, et al. "Peramalan Penjualan Pada Toko Retail Menggunakan Algoritma Backpropagation Neural
Network." JURNAL MEDIA INFORMATIKA BUDIDARMA 2.3 (2018).
[6] DWIJAYA, PROFITABILITAS PADA PT KAGE, and SEKOLAH TINGGI ILMU EKONOMI MULIA PRATAMA.
"ANALISIS KAS DAN PERPUTARAN PERSEDIAAN TERHADAP (2021)."
[7] Yulianto, Agung, Awalludiyah Ambarwati, and Cahyo Darujati. "Analisis Manajemen Risiko TI Pemeliharaan Aset
Menggunakan Quantitative Risk Analysis (QRA) pada PT. HMS." Prosiding Seminar Nasional Teknologi dan Rekayasa
Informasi Tahun. Vol. 2016. 2016.
[8] Force, Joint Task, and Transformation Initiative. "Security and privacy controls for federal information systems and
organizations." NIST Special Publication 800.53 (2013): 8-13.
[9] J. W. Meritt, “A Method for Quantative Risk Analysis,” Proc. 22nd Natl. Inf. Syst. Secur. Conf., 1999.