BAB I

PENDAHULUAN

1.1 Latar Belakang

Perkembangan teknologi yang kini semakin maju dan canggih mendorong

terciptanya terobosan-terobosan baru di bidang teknologi . Manusia kini dapat

lebih mudah mengakses dan berbagi informasi di seluruh dunia berkat kemajuan

teknologi dan penemuan internet. Setiap bidang mendapat manfaat dari

kemudahan yang disediakan. Tentu saja, berbagai fasilitas yang ditawarkan

disertai dengan risiko bahaya yang dibawanya karena berbagai faktor. Ancaman

digital tentunya dapat berdampak pada sistem secara keseluruhan, khususnya

website yang dapat diakses secara online.

Penggunaan internet di Indonesia yang semakin mudah membuat

masyarakat hidup berdampingan dengan internet. Statistik pengguna internet di

Indonesia berdasarkan hasil survei yang dilakukan oleh Asosiasi Penyelenggara

Jasa Internet Indonesia (APJJI) mengalami kenaikan setiap tahunnya. Pada tahun

2021-2022 pengguna internet di Indonesia mencapai 77,02 % dari populasi

penduduk Indonesia atau setara 210```,026.769 juta pengguna. Kenaikan

pengguna internet pada tahun 2021-2022 sebesar 3,32 % atau setara 82,12 juta

dibandingkan pada tahun 2019-2020 (APJJI, 2022).

Dengan semakin bertambahnya pengguna internet di Indonesia menandakan

bahwa kini masyarakat Indonesia lebih banyak mendapatkan informasi melalui

internet. Terlepas dari apakah server web yang dibangun aman dari gangguan

1
atau tidak, banyak individu dan organisasi membangun sistem server web karena

kemudahan aksesnya. Serangan MaliciousCode atau malware adalah contoh dari

gangguan ini. Jenis serangan yang paling lazim terhadap Situs web adalah

MaliciousCode, atau malware(Dirgahayu et al., 2015).

Masalah keamanan sistem sering kali kurang mendapatkan perhatian dari

pada stakeholder dan pengelola sistem. Permasalahan ini biasanya mendapatkan

perhatian apabila sudah terjadi sebuah ancaman yang menimbulkan kerugian

terhadap sebuah instansi itu sendiri. Dari ancaman yang muncul tersebut

stakeholder atau pengelola sistem baru mulai melalukan Tindakan pencegahan

dan perbaikan terhadap keamanan sistem. Hal tersebut dapat menyebabkan

pengeluaran ekstra untuk melakukan pengamanan terhadap sistem dan perbaikan

atas ancaman yang sudah terjadi(Budi, 2005).

Website adalah dokumen dengan banyak tautan yang menghubungkannya ke

dokumen lain. Hanya dengan menggunakan browser, situs web dapat diakses dari

komputer atau smartphone kapan saja. Dengan demikian, situs ini adalah

keputusan paling ideal untuk disandingkan dengan pekerjaan sehari-hari manusia.

Tetapi dibalik kemudahan yang kita peroleh, banyak juga website-website yang

belum diuji tingkat keamanannya. Sehingga dapat menyebabkan Website sering

diserang oleh berbagai pihak yang tidak bertanggung jawab yang dikenal dengan

hacker atau peretas. Peretas mencari celah di situs web dengan berbagai alasan

dengan maksud untuk memperoleh informasi suatu perusahaan dan organisasi

untuk tujuan yang merugikan pihak lain. (Elanda & Buana, 2020).

2
 Sebagai salah satu perguruan tinggi di Toraja, Perguruan Tinggi UKI Toraja

telah menerapkan sistem informasi berbasis Web, salah satunya Sistem Informasi

Mahasiswa, Sebagaimana telah dipaparkan sebelumnya, sebuah sistem informasi

yang berbasis Web memiliki celah keamanan yang dapat dimanfaatkan dengan

menggunakan akses Internet, sehingga timbul kekhawatiran akan terjadinya

eksploitasi celah keamanan sistem informasi tersebut Berangkat dari fakta yang

terjadi, Perguruan Tinggi UKI Toraja selaku client meminta mahasiswanya untuk

melakukan evaluasi untuk aplikasi web Sistem Informasi Mahasiswa yang mereka

miliki . Maka dilakukan penelitian berupa evaluasi dengan input dari pengujian

celah keamanan yang disebut dengan metode Open Web Application Security

Project atau OWASP Web Application Security Testing difokuskan hanya pada

keamanan aplikasi web, dimana prosesnya melibatkan analisis secara aktif

terhadap aplikasi web, untuk menemukan kelemahan, kecacatan teknis, dan

kelemahan. Masalah-masalah keamanan yang telah ditemukan akan diberikan

kepada pemilik sistem, yang disertakan dengan laporan yang berisi informasi

tentang perkiraan dampak yang timbul dan juga solusi-solusi teknik untuk

masalah-masalah tersebut.

Untuk mengamankan webserver dari serangan hacker maka sebaiknya para

pemilik webserver melakukan selftest terhadap server mereka sendiri. Melalui

selftest ini, para pemilik webserver akan mengetahui letak kerentanan dari sistem

yang ada. Salah satu metode selftest ini adalah penetration test. Metode ini sama

dengan aktivitas hacking namun dilakukan secara legal. Penetration test (pentest)

3
merupakan metode yang efektif untuk menguji kerentanan sistem. Dengan

demikian penetration test adalah proses mencoba untuk mendapatkan akses ke

dalam sebuah sistem tanpa ada pengetahuan tentang username, password dan

akses lainnya. Jika fokusnya adalah pada sumber daya komputer, maka contoh

dari penetrasi yang sukses akan mendapatkan atau menghancurkan dokumen-

dokumen rahasia, basis data dan informasi lain yang dilindungi. Pengujian

terhadap aplikasi web dengan metode penetration testing merupakan metode yang

komprehensif mengidentifikasi kerentanan system (Dirgahayu et al., 2015).

Dalam pengujian penetration testing ada beberapa metode yang sering

dipakai diantaranya PTest, Information Systems Security Assesment

Framework (ISSAF), OSSTMM, Open Web Application Security Project

(OWASP) Top 10. Penelitian ini menggunakan Metode Open Web Application

Security Project (OWASP) Top 10 2017, karena Open Web Application Security

Project (OWASP) Top 10 2017 adalah metode pengecekan kemanan web

terkemuka yang sangat baik sebagai solusi untuk memecahkan masalah keamanan

situs web dan metode ini bersifat opensource, diperbolehkan untuk digunakan

oleh setiap orang yang ingin mengetahui kelemahan dari aplikasi web dan juga

peneliti ingin mengetahui hasil penerapan metode tersebut untuk pengecekan

keamanan sistem.

Berdasarkan permasalahan yang telah diuraikan diatas, maka penulis tertarik

untuk meneliti lebih jauh tentang permasalahan tersebut, serta bagaimana

pemecahan masalahnya, dan kemudian penulis tuangkan kedalam bentuk skripsi

4
 dengan judul “Analisis Keamanan Sistem Informasi Simatra Akademik

Universitas Kristen Indonesia Toraja Menggunakan Metode OWASP (Open

Web Application Security Project)”

1.2 Rumusan Masalah

Berdasarkan Latar belakang diatas, rumusan masalah pada penelitian ini

adalahvBagaimana cara menganalisis dan mengecek kerentanan keamanan sistem

informasi Simatra Akademik Universitas Kristen Indonesia Toraja dengan

menggunakan metode Open Web Application Security Project (OWASP) Top 10

2017?

1.3 Tujuan Penelitian

Berdasarkan permasalahan yang timbul dari rumusan masalah diatas maka

penelitian ini bertujuan untuk menganalisis dan mengecek kerentanan keamanan

sistem informasi Simatra Akademik Universitas Kristen Indonesia Toraja dengan

menggunakan metode Open Web Application Security Project (OWASP) Top 10

2017.

1.4 Batasan Masalah

Agar tugas akhir ini dapat mengarah pada tujuan dan untuk menghindari

terlalu kompleksnya permasalahan yang muncul, maka perlu adanya batasan-

batasan masalah yang sesuai dengan judul dari tugas akhir ini. Adapun batasan

masalah adalah:

a. Objek penelitian ini dilakukan pada Simatra Akademik Universitas Kristen

Indonesia Toraja

5
 b. Penelitian dilakukan terbatas pada pengujian keamanan website dengan

menggunakan metode Open Web Application Security Project (OWASP) Top

10 2017

1.5 Manfaat Penelitian

Penelitian ini diharapkan dapat memberikan manfaat bagi pihak-pihak yang

membutuhkan, baik secara teoritis maupun praktis, diantaranya:

a. Manfaat Teoritas

Penelitian ini diharapkan dapat menambah wawasan dan pengetahuan

mengenai analisis keamanan sistem informasi Simatra Akademik Universitas

Kristen Indonesia Toraja dengan menggunakan metode Open Web

Application Security Project (OWASP) Top 10 2017.

b. Manfaat Praktis

1) Bagi Penulis

Penelitian ini diharapkan dapat menjadi sarana yang bermanfaat dalam

menganalisis keamanan sistem informasi Simatra Akademik Universitas

Kristen Indonesia Toraja dengan menggunakan metode Open Web

Application Security Project (OWASP) Top 10 2017.

2) Bagi peneliti selanjutnya

Penelitian ini diharapkan dapat memberikan kontribusi dalam

pengembangan teori mengenai analisis keamanan sistem informasi

Simatra Akademik Universitas Kristen Indonesia Toraja dengan

6
 menggunakan metode Open Web Application Security Project (OWASP)

Top 10 2017.

BAB II

TINJAUAN PUSTAKA

2.1 Penelitian Terkait

Dalam penelitian ini, penulis mengacu kepada penelitian lain sebagai

referensi. Salah satu penelitian yang dilakukan oleh Pada penelitian sebelumnya

yang dilakukan oleh (Agus Rochman dkk, 2021) dengan judul “Analisis

keamanan website dengan Information System Security Assessment Framework

(ISSAF) Dan Open Web Application Security Project (OWASP) Di Rumah Sakit

XYZ” mempunyai tujuan yaitu untuk mengetahui keamanan website rumah

sakit xyz dan untuk mengetahui kerentanan yang terdapat pada website rumah

sakit xyz menggunakan metode Information System Security Assessment

Framework (Issaf) Dan Open Web Application Security Project (Owasp).

Berdasarkan pengujian pencarian celah keamanan (vulnerability testing) dan

pengujian celah keamanan (penetration testing) yang telah dilakukan oleh

penulis website rumah sakit xyz ditemukan beberapa kelemahan yang dapat

diexploitasi hingga database target dapat diakses oleh pihak yang tidak

berwenang atau tidak memiliki hak akses.beberapa kelemahan yang ditemukan

diantaranya :

7
 Website target masih mengaktifkan notifikasi error apabila ada kesalahan

pada penulisan kode program. Hal ini memungkinkan adanya celah untuk

mengakses database target.

Penelitian yang dilakukan oleh (Syarif & Jatmiko, 2019) dengan judul

“Analisis perbandingan metode Web Security Ptes, Issaf Dan Owasp di Dinas

Komunikasi dan Informasi Kota Bandung”. Dalam penelitian ini diperoleh hasil

menurut penulis bahwa Framework yang tepat untuk digunakan pada

DISKOMINFO kota Bandung ialah Framework Penetration Testing Execution

Standard (PTES) dan Open Web Application Security Project (OWASP),

dikarenakan penilaian pada framework ini menggunakan level-level yang dapat

dimengerti oleh user yang bukan hanya orang yang berpengalaman dengan

Penetration Testing, tetapi dapat juga dimengerti oleh user yang juga tidak

memiliki pengalaman di bidang Penetration Testing. Sedangkan framework

Information System Security Assesment Framework (ISSAF) hanya dapat

dimengerti oleh user yang berpengalaman pada bidang Penetration Testing,

dikarenakan reporting pada framework ini tidak memiliki level-level seperti

pada kedua framework yang lain. Saran yang dapat peneliti berikan adalah

Memberikan format laporan mengenai kerentanan - kerentanan berdasarkan

ketiga Framework, Penetration Testing Execution Standard (PTES), Information

System Security Assesment Framework (ISSAF), dan Open Web Applicatin

Security Project (OWASP) yang bisa digunakan untuk penelitian dimasa yang

8
akan dating dan Menjaga website dengan menggunakan acuan dari hasil laporan

yang telah dilakukan dan berharap dapat mencegah kerentanan yang akan

dating.

Penelitian yang dilakukan oleh (Rosalia et al., 2021) dengan judul

“Pengujian Celah Keamanan Website Menggunakan Teknik Penetration Testing

dan Metode OWASP TOP 10 pada Website SIM xxx” Pada penelitian ini

dinyatakan bahwa metode OWASP TOP 10 efektif dijadikan sebagai standar

keamanan untuk melakukan uji penetrasi terhadap suatu website. Hal itu

disebabkannnya dengan standard keamanan yang dimiliki OWASP lengkap dan

detail dilihat dari konfigurasi halaman website maupun konfigurasi server.

Pada penelitian ini juga melakukan testing terhadap 10 standard

keamanan yang ada pada OWASP TOP 10 yaitu Injection menggunakan

SQLMap, Broken Authentication menggunakan hydra, Sensitive Data Exposure

menggunakan Dirb, Broken Access Control menggunakan Burpsuite, XXE (XML

External Entities) menggunakan Burpsuite, Security Misconfiguration

menggunakan SSLScan dan Heartbleed Bug, XXS (Cross Site Scripting)

menggunakan script manual dan burpsuite, Insecure Deserialization

menggunakan Burpsuite, Using Components with known vulnerabillities

menggunakan metasploit framework, insufficient logging and monitoring

menggunakan Metasploit Framework. celah keamanan yang ditemukan adalah

Broken Authentication, Sensitive Data Exposure, dan Security Misconfiguration.

9
 Adapun celah lain yang ditemukan namun tidak termasuk dalam TOP 10

keamanan OWASP yaitu Clickjacking.

2.2 Landasan Teori

1. Analisis Keamanan Sistem Informasi

a. Pengertian Analisis

Menurut Riyanti & Sutejo (2018) analisis adalah aktivitas yang

memuat sejumlah kegiatan seperti mengurai, membedakan, sesuatu yang

digolongkan dan dikelompokkan kembali menurut kriteria tertentu

kemudian dicari kaitannya dan mengtafsirkan maknanya. Dalam

menganalisis sikap atau perhatian terhadap sesuatu (benda, fakta,

fenomena) sampai menguraikan menjadi bagian-bagian, serta mengenal

kaitan antar bagian tersebut dalam keseluruhan.

Karismawati (2017) menyatakan bahwa analisis adalah aktivitas

yang memuat sejumlah kegiatan seperti mengurai, membedakan, sesuatu

untuk digolongkan dan dikelompokkan kembali menurut kriteria tertentu

kemudian dicari kaitannya dan di tafsirkan maknanya.

Menurut (Septiani, dkk 2020) analisis adalah kegiatan untuk

berfikir menguraikan suatu keseluruhan menjadi komponen sehingga

dapat mengenal tanda-tanda, hubungannya satu sama lain dan fungsi

10
 masing-masing dalam satu keseluruhan yang terpadu dalam memecahkan

atau menguraikan sesuatu unit menjadi unit terkecil.

Dari pengertian analisis diatas dapat di simpulkan bahwa, analisis

merupakan kegiatan menguraikan masalah menjadi beberapa bagian, yang

dilakukan secara sistematis dan sungguh-sungguh sehingga mendapatkan

suatu kesimpulan berupa data yang relevan

b. Pengertian Sistem

Sistem adalah suatu jaringan kerja dari prosedur-prosedur yang saling

berhubungan, berkumpul bersama-sama untuk melakukan suatu kegiatan

atau menyelesaikan suatu sasaran tertentu, sistem di dalam suatu

organisasi yang mempertemukan kebutuhan pengolahan transaksi harian,

mendukung operasi, bersifat manajerial dan kegiatan strategi dari suatu

organisasi yang menyediakan pihak luar tertentu dengan laporan-laporan

yang diperlukan (Jogiyanto, 2005). Mendefinisikan sistem secara umum

sebagai kumpulan dari elemen-elemen yang berinteraksi untuk mencapai

suatu tujuan tertentu sebagai satu kesatuan. (Mulyanto, 2009). Sistem

informasi selalu menggambarkan, merancang, mengimplementasikan

dengan menggunakan proses perkembangan sistematis dan merancang

sistem informasi berdasarkan analisa kebutuhan (Syachbana, 2011).

Suatu sistem mempunyai beberapa karakteristik, yaitu komponen atau

elemen (component), batas sistem (boundary), lingkungan luar sistem

(environment), penghubung (interface), masukan (input), pengolah

11
(process), keluaran (output), sasaran (objective), atau tujuan (goal).

Dengan demikian pengertian sistem dapat disimpulkan sebagai suatu

prosedur atau elemen yang saling berhubungan satu sama lain dimana

dalam sebuah sistem terdapat suatu masukan, proses dan keluaran, untuk

mencapai tujuan yang diharapkan (Mulyanto, Sistem Informasi Konsep &

Bisnis, 2009).

Perkembangan teknologi yang semakin maju membuat perusahaan

sektor ekonomi baik industri maupun jasa bersaing dalam kecanggihan

sistem yang dimiliki, terlebih dalam peningkatan kinerja perusahaan.

Kecanggihan sistem yang digunakan dalam pengolahan data serta

informasi menjadi salah satu faktor penunjang aman dan akuratnya

informasi yang ada. Proses kinerja pada perusahaan sektor ekonomi saat

ini telah banyak yang diambil alih oleh sistem, banyaknya sistem terbaru

yang digunakan perusahaan saling terhubung, baik menggunakan jaringan

kabel maupun nirkabel, saling mendukung untuk meringankan tugas

kinerja manusia, kecepatan pengaksesan data dari tiap sistem dan

keakuratan data yang lebih terjamin.

Salah satu pemanfaatan dari Sistem Informasi di universitas dalam

aspek pendaftaran mahasiswa baru. Suatu universitas akan sangat terbantu

dalam proses pendaftaran jika memiliki suatu sistem yang handal,

pengumpulan data – data calon mahasiswa hingga menjadi informasi lolos

atau tidaknya calon mahasiswa tersebut menjadi lebih akurat. Mahasiswa

12
baru merupakan siswa – siswi yang baru lulus dari jenjang SMA / SMK /

sederajat yang memiliki niatan untuk belajar di jenjang yang lebih tinggi,

yaitu perguruan tinggi baik di universitas, institut atau akademi. Mereka

yang terdaftar sebagai murid di suatu perguruan tinggi dapat disebut

sebagai mahasiswa. Mahasiswa adalah seseorang yang sedang dalam

proses menimba ilmu ataupun belajar dan terdaftar sedang menjalani

pendidikan pada salah satu bentuk perguruan tinggi yang terdiri dari

akademik, politeknik, sekolah tinggi, institut dan universitas (Hartaji,

2012: 5).

Untuk menjadi seorang mahasiswa baru pada sebuah institut

pendidikan, maka siswa harus melewati tahapan pendaftaran yang

diadakan oleh pihak universitas yang diminati. Apabila calon mahasiswa

tersebut diterima oleh pihak universitas tersebut, maka calon mahasiswa

tersebut resmi menjadi mahasiswa baru. Seorang mahasiswa dikategorikan

pada tahap perkembangan yang usianya 18 sampai 25 tahun. Tahap ini

dapat digolongkan pada 19 masa remaja akhir sampai masa dewasa awal

dan dilihat dari segi perkembangan, tugas perkembangan pada usia

mahasiswa ini ialah pemantapan pendirian hidup (Yusuf, 2012: 27).

Sistem Informasi sangatlah penting dalam proses kinerja dari suatu

perusahaan, pengolahan berbagai data yang didapat menjadi suatu

informasi yang dapat dimengerti dengan mudah. Data atau yang sering

13
disebut sebagai data mentah diproses hingga menjadi suatu informasi

itulah hal penting yang dilakukan oleh suatu sistem informasi.

Penyimpanan
Data

Data Proses Informasi

Gambar 2.1 Transfomasi Data menjadi Informasi

Dalam pengumpulan data / sumber data terbagi menjadi 2 jenis,

yaitu data primer dan data sekunder, data primer adalah data yang

diperoleh peneliti secara langsung (dari tangan pertama), sementara data

sekunder adalah data yang diperoleh peneliti dari sumber yang sudah ada.

Data primer contohnya adalah data yang diperoleh dari responden melalui

kuesioner, kelompok fokus, dan panel,atau juga data hasil wawancara

peneliti dengan nara sumber. Data sekunder misalnya catatan atau

dokumentasi perusahaan berupa absensi, gaji, laporan keuangan publikasi

perusahaan, laporan pemerintah, data yang diperoleh dari majalah, dan

lain sebagainya. (Hendryadi, 2013).

Stairs (Fallah, 1992) menjelaskan bahwa suatu Sistem informasi

berbasis komputer (CBIS) memiliki 6 buah komponen pembentuk dalam

suatu organisasi untuk mendapatkan informasi dari sebuah data,

komponen – komponen tersebut ialah (Rizani, 2015):

14
1) Perangkat Keras, yaitu perangkat keras atau komponen untuk

melengkapi kegiatan memasukkan data, memproses data dan keluaran

data.

2) Perangkat Lunak, yaitu program dan instruksi yang diberikan ke

komputer.

3) Database, yaitu kumpulan data dan informasi yang diorganisasikan

sedemikian rupa sehingga mudah diakses pengguna sistem informasi.

4) Telekomunikasi, yaitu komunikasi yang menghubungkan antara

pengguna sistem dengan sistem komputer secara bersama-sama ke

dalam suatu jaringan kerja yang efektif.

5) Manusia, yaitu personel dari sistem informasi, meliputi manajer,

analis, programmer, dan operator, serta bertanggung jawab terhadap

perawatan sistem.

6) Prosedur, yakni tata cara yang meliputi strategi, kebijakan, metode,

dan peraturan-peraturan dalam menggunakan sistem informasi

berbasis komputer.

15
 Gambar 2.2 Komponen Sistem Informasi

c. Pengertian Informasi

Informasi adalah data yang diolah menjadi bentuk yang lebih berguna

dan berarti bagi yang menerimanya” Sedangkan menurut Goordon

B.Davis,”informasi ialah data yang telah diolah menjadi suatu bentuk

yang penting bagi si penerima dan mempunyai nilai yang nyata atau dapat

dirasakan dalam keputusan-keputusan sekarang atau yang akan datang.

Dari beberapa teori diatas, dapat disimpulkan bahwa informasi adalah

sekumpulan data yang telah mengalami proses pengolahan sehingga

menjadi bentuk yang lebih berguna bagi yang menerimanya.

d. Keamanan Sistem Informasi

Keamanan sistem informasi bertujuan untuk melindungi kerahasiaan

informasi berupa data seperti dokumen, foto, audio, video dan sebagainya

dalam suatu pelayanan sistem informasi yang diterapkan pada perusahaan

yang menyediakan jasa teknologi informasi (IT) serta bertujuan

melindungi integritas dan ketersediaan informasi tersebut. Keamanan

sistem informasi perlu diwaspadai dari ancaman yang bersifat internal dan

eksternal yaitu baik dari dalam sistem maupun diluar sistem yang akan

berdampak pada ketidakstabilan sistem. Pemicu keamanan sistem

informasi yang mengakibatkan terganggunya sistem dan dapat terjadi

16
kerusakan pada informasi berasal dari mekanisme, organisasi, kelompok,

dan individu.

Upaya dalam keamanan sistem informasi terlebih dahulu perlu

mengetahui dan memprediksi ancaman yang akan terjadi sebab tidak ada

serangan sebelum adanya ancaman, sehingga ketidakstabilan sistem akibat

serangan yang terjadi akan diminimalisirkan dengan upaya yang telah di

perkirakan sebelumnya, yaitu dengan memprediksi ancaman sebelum

terjadinya serangan. Perhitungan untuk meminimalisir ancaman tersebut

melalui metode-metode pada suatu penilaian.

Menurut G.J.Simons, keamanan informasi adalah bagaimana kita

dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi

adanya penipuan di sebuah sistem yang berbasis informasi dimana

informasinya sendiri tidak memiliki arti fisik. Sedangkan, John D.Howard

keamanan komputer adalah tindakan pencegahan dari serangan pengguna

computer atau pengakses jaringan yang tidak bertanggung jawab.

Dari beberapa pendapat para ahli dapat disimpulkan bahwa keamanan

sistem informasi pada komputer merupakan suatu upaya pencegahan

kerusakan dan gangguan sistem informasi dari serangan yang terdeteksi

pada ancaman yang tidak memiliki arti fisik.

Keamanan sistem informasi diterapkan pada komputer dan jaringan

yang bertujuan untuk mencegah penipuan dan sebagai perlindungan

sumber daya sistem agar tidak terjadi modifikasi dan interupsi dari pihak

17
 yang tidak berwenang serta mendeteksi adanya usaha kriminal dalam

dunia teknologi informasi di sebuah sistem berbasis informasi yang

merupakan asset pada nilai bisnis. Keamanan informasi terdiri dari

perlindungan sebagai berikut:

1) Confidentiality (kerahasiaan) merupakan aspek yang memberikan

jaminan kerahasiaan data dan informasi, dan memastikan bahwa

informasi hanya dapat di akses oleh orang yang berwenang dan

menjamin kerahasiaan data yang dikirim, diterima dan disimpan.

2) Authenticity merupakan jaminan informasi tersebut asli.

3) Integrity (integritas) aspek yang menjamin bahwa data tidak dapat

dirubah melainkan izin dari berwenang (authorized), menjaga

keakuratan dan keutuhan informasi serta metode prosesnya untuk

menjamin aspek integrity ini.

4) Availability (ketersediaan) aspek yang menjamin bahwa data yang

akan tersedia pada saat data dibutuhkan, akan memastikan user yang

berhak dapat menggunakan informasi dan perangkat terkait (asset

yang berhubungan bilamana di perlukan).

5) Non-repudiation yaitu merupakan jaminan pihak pengguna yang tidak

dapat meragukan keaslian pada tanda tangan digital pada suatu

dokumen atau tempat pada jaringan tersebut

e. Ancaman Keamanan Informasi

18
 Ancaman (threat) sangat berpotensi besar dalam kegagalan

pengoperasian bisnis atau organisasi yang memberikan kerugian.

Ancamanancaman SI/IT tersebut antara lain:

1) Compromises to intellectual property yaitu ancaman terhadap

pembajakan dan pelanggaran hak cipta

2) Espionage yaitu pelanggaran terhadap akses dalam pengumpulan data

yang didapat.

3) Forces of nature merupakan ancaman akibat bencana alam seperti

kebakaran, banjir, gempa, petir yang menyebabkan gangguan.

4) Human error or failure yaitu ancaman dari suatu kecelakaan dari

kesalahan karyawan

5) Information extortion (blackmail of information disclosure)

6) Ancaman terhadap infrastruktur perangkat lunak dan perangkat keras

pada keamanan fisik.

7) Ancaman dari dalam yaitu kurangnya kebijakan yang efektif, masalah

pelatihan dan privasi.

f. Penetration Testing

Penetration Testing (pentest) merupakan kegiatan yang dilakukan

untuk melakukan pengujian terhadap keamanan sebuah sistem. Pengujian

ini dilakukan untuk menemukan celah keamanan yang terdapat pada

sistem tersebut. Hasil pengujian ini digunakan untuk memperbaiki sisi

19
 keamanan dari sistem. Yang dicari dari pentest ini adalah apakah terdapat

celah keamanan yang dapat disalahgunakan (exploitable vulnerability).

Pentest melibatkan simulasi serangan nyata untuk menilai risiko

yang terkait dengan pelanggaran keamanan potensial. Pada pentest

(sebagai lawan dari penilaian kerentanan), penguji tidak hanya

menemukan kerentanan yang dapat digunakan oleh penyerang tetapi juga

mengeksploitasi kerentanan, dimana memungkinkan untuk menilai apa

yang penyerang dapat peroleh setelah eksploitasi sukses.

Tujuan pentest diantaranya adalah untuk menentukan dan

mengetahui serangan-serangan yang bisa terjadi terhadap kerentanan yang

ada pada sistem, mengetahui dampak bisnis yang diakibatkan dari hasil

ekpoitasi yang dilakukan oleh penyerang.

2. Metode Open Web Application Security Project (OWASP)

Open Web Application Security Project (OWASP) merupakan suatu

organisasi internasional yang didirikan oleh OWASP foundation pada

tanggal 21 April 2004. Open Web Application Security Project (OWASP)

bersifat non-profit yang berfokus pada peningkatan keamanan perangkat lunak

yang akan didedikasikan sehingga memungkinkan organisasi dalam

mengembangkan, memperoleh, mengoperasikan, memelihara aplikasi untuk

menjamin keamananaplikasi. OWASP adalah vendor yang bersifat netral yang

tidak berafiliasi dengan teknologi manapun serta tidak mendukung dan

merekomendasikanproduk dan layanan komersial.

20
 Sejauh ini OWASP sudah melakukan proyek yang dibuat dan

dipublikasikan sebanyak 363 proyek yang seluruhnya berkaitandengan

keamanan aplikasi diantaranya yaitu OWASP Top Ten Project, OWASPASVS

Assessment tool, OWASP Zed Attack Proxy Project, OWASP Testing Guide.

OWASP Top 10 merupakan suatu framework yang melakukan pengujian

terhadap web dengan celah keamanan atau kerentanan yang diperoleh serta

melakukan pengujian yang mengacu pada literatur yang sudah ada. Menurut

(Pacey & Purnell, 2017) OWASP Top10 2017 memiliki 10 celah keamanan

yang perlu diperhatikan antara lain:

a. Injection

Injection merupakan serangan yang dilakukan dengan cara menginjeksi

Script ke dalam suatu website.

b. Broken Authentication

Kelemahan pada sistem login bisa memberikan celah keamanan bagi

seorang hacker melakukan akses ke dalam akun pengguna

c. Sensitive Data Exposure

Ancaman keamanan ini terjadi ketika website tidak melindungi dengan

baik mengenai informasi yang sensitif atau sangat penting.

d. XML External Entities (XEE)

Serangan XML adalah jenis serangan terhadap website dengan mem-

parsing input XML.

21
e. Broken Access Control

Kontrol akses ini mengacu kepada sistem kontrol yang mengakses

informasi dan fungsionalitasnya.

f. Security Misconfiguration

Kesalahan konfigurasi keamanan dapat didefinisikan sebagai kegagalan

buntuk mengimplementasikan semua kontrol keamanan untuk

sebuahvwebsite.

g. Cross-Site Scripting (XSS)

Serangan ini termasuk serangan jenis injeksi, dimana malicious code di

injeksikan ke dalam suatu website

h. Insecure Deserialization

Insecure Deserialization merupakan kerentanan terhadap data yang tidak

dapat dipercaya atau tidak dikenal yang digunakan untuk menimbulkan

serangan Denial of Service(DOS), execute code, bypass authentication.

i. Using Components with Known Vulnerabilities

Beberapa hacker biasa mencari kelemahan pada komponen seperti

libraries dan frameworkyang digunakan pada website agar mereka dapat

melakukan penyerangan.

j. Insufficient Logging & Monitoring

Merupakan kerentanan yang terjadi ketika serangan tidak dicatat

22
 dengan benar dan sistem tidak memantau kejadian

2.3 Kerangka Pikir

Berdasarkan kajian teori tersebut, maka dapat dibuat kerangka pikir

seperti pada bagan 2.1

Masalah
Lemahnya Keamanan Sistem Informasi
Simatra Akademik Universitas Kristen
Indonesia Toraja

Solusi
Menganalisis Sistem Keamanan Informasi
Simatra Akademik UKI Toraja dengan metode
OWASP

Pendekatan
Melakukan pengklasifikasian data dengan
menggunakan metode OWASP

Implementasi
Menerapkan metode OWASP

23

Hasil
Analisis Sistem Keamanan Informasi Simatra
 Toraja menggunkana metode OWASP

Bagan 2.1 Kerangka Pikir

Pada gambar 2.3 menjelaskan diagram kerangka pikir yang akan

dilakukan dalam pengerjaan tugas akhir ini. Dimana masalah pada penelitian

ini adalah lemahnya Lemahnya Keamanan Sistem Informasi Simatra

Akademik Universitas Kristen Indonesia Toraja. Adapun solusi pada

penelitian ini yaitu untuk Menganalisis Sistem Keamanan Informasi Simatra

Akademik UKI Toraja dengan metode OWASP. Kemudian pendekatannya

yaitu melakukan pengklasifikasian data dengan menggunakan metode

OWASP. Setelah itu implementasi atau menerapkan metode OWASP dan

kemudian yang terakhir adalah hasil dari penelitian yaitu Analisis Sistem

Keamanan Informasi Simatra Akademik Universitas Kristen Indonesia Toraja

menggunkana metode OWASP.

24
 BAB III

METODE PENELITIAN

3.1 Waktu dan Lokasi Penelitian

a. Waktu Penelitian

Pelaksanaan penelitian ini dilakukan dalam waktu 3 (tiga) bulan,

mulai dari bulan Juli sampai Agustus 2023.

b. Lokasi Penelitian

Penelitian ini dilaksanakan di Kampus 2 UKI Toraja yang beralamat

di Jl. Pasar Bolu Rantepao, Tallunglipu Matalo, Kec. Tallunglipu,

Kabupaten Toraja Utara, Sulawesi Selatan 91833.

3.2 Instrumentasi (Alat dan Bahan) Penelitian

Adapun instrumentasi yang digunakan dalam penelitian ini yaitu:

a. Alat Penelitian (Perangkat Keras)

Dalam analisis ini menggunakan beberapa perangkat keras yaitu:

25
 1) Simatra UKI Toraja

2) Laptop

b. Bahan Penelitian

Adapun bahan penelitian yang digunakan dalam analisis ini adalah

OWASP

3.3 Tahaan Penelitian

Tahapan penelitian yang dituangkan dalam diagram alir ini.

Menggambarkan proses penelitian yang akan ditempuh sekaligus

menggambarkan penelitian secara keseluruhan. Tahapan yang akan ditempuh

yaitu:

a. Pengumpulan Data

Dalam penelitian ini pengumpulan data dilakukan dengan cara

observasi dan dokumen serta Tinjauan kepustakaan dalam hal dilakukan

telaah dan studi literatur mengenai analisis Sistem Keamanan Informasi

Simatra Akademik Universitas Kristen Indonesia Toraja menggunkana metode

OWASP.

b. Pre – processing

Pre – processing merupakan salah satu tahapan dalam melakukan

mining data. Sebelum menuju tahap pemprosesan data mentah akan diolah

26
 terlebih dahulu. Data processing atau praproses data biasanya dilakukan

dengan cara eliminasi data yang tidak sesuai. Selain itu dalam proses ini data

akan diubah dalam bentuk yang akan lebih muda dipahami oleh sistem.

c. Transformasi Data

Transformasi Data adalah upaya yang dilakukan dengan tujuan utama

untuk mengubah skala pengukuran data asli menjadi bentuk lain sehingga data

dapat memenuhi asumsi-asumsi yang mendasari analisis ragam

d. Implementasi

Implementasi adalah pelaksanaan atau penerapan. Dalam hal ini

menerapkan metode OWASP

e. Evaluasi

Evaluasi adalah pengukuran serta perbaikan, dalam hal ini penelitian

yang telah dilaksanakan.

f. Pembuatan Laporan

Pada tahapan ini menjelaskan hasil dari proses data yang dilakukan

dengan menggunakan metode OWASP kemudian menarik kesimpulan dari

hasil penelitian dan memberikan saran untuk pihak yang bersangkutan agar

dapat menjadi lebih baik lagi.

27
 Mulai

Pengumpulan Data

Pre-processing

Transformasi data

Implementasi metode OWASP

Evaluasi

Pembuatan Laporan

Selesai

28
 Bagan 3.1 Tahapan Penelitian

DAFTAR PUSTAKA

APJJI. (2022). Profil Internet Indonesia 2022. Asosiasi Penyelenggara Jasa Internet
Indonesia (APJJI), June. http://apjii.or.id/v2/upload/Laporan/Profil Internet
Indonesia 2012 %28INDONESIA%29.pdf
Arifin, M., & Triono, R. A. (2012). Rekayasa dan Manajemen Jaringan WAN SMK
Alhikmah Tanon. Ijns, 2, 38–45.
Budi, R. (2005). Keamanan Sistem Informasi Berbasis Internet. In PT Insan Infonesia
(Vol. 0).
Caselli, M., & Kargl, F. (2013). D5. 1 Security Testing Methodology. Seventh
Framework Programme, 1, 1–65.
Dirgahayu, R. T., Prayudi, Y., & Fajaryanto, A. (2015). Penerapan Metode ISSAF dan
OWASP versi 4 Untuk Uji Kerentanan Web Server. Jurnal Ilmiah NERO, 1(3),
190–197.
http://nero.trunojoyo.ac.id/index.php/nero/article/download/29/27
Elanda, A., & Buana, R. L. (2020). Analisis Keamanan Sistem Informasi Berbasis
Website Dengan Metode Open Web Application Security Project (OWASP) Versi
4: Systematic Review. CESS (Journal of Computer Engineering, System and
Science), 5(2), 185.

29
Handayani, N. K. M., Sasmita, G. M. A., Agung, A. A. K., & Wiranatha, C. (2020).
Evaluation Security Web-Based Information System Application Using ISSAF
Framework ( Case Study : SIMAK-NG Udayana University ). JITTER - Jurnal
Ilmiah Teknologi Dan Komputer, 1(2).
Hidayatulloh, S., & Saptadiaji, D. (2021). Penetration Testing pada Website
Universitas ARS Menggunakan Open Web Application Security Project
(OWASP). Jurnal Algoritma, 18(1), 77–86.
Pratama, I. P. A. E., & Wiradarma, A. A. B. A. (2019). Open Source Intelligence
Testing Using the OWASP Version 4 Framework at the Information Gathering
Stage (Case Study: X Company). International Journal of Computer Network
and Information Security, 11(7), 8–12. https://doi.org/10.5815/ijcnis.2019.07.02
Rocman, A., Salman, R. R., & Maulana, S. A. (2021). ANALISIS KEAMANAN
WEBSITE DENGAN INFORMATION SYSTEM SECURITY ASSESSMENT
FRAMEWORK (ISSAF) DAN OPEN WEB APPLICATION SECURITY
PROJECT (OWASP) DI RUMAH SAKIT XYZ. 2(4), 506–519.
Rosalia, Y. T. A., Jayanta, & Hananto, B. (2021). Pengujian Celah Keamanan Website
Menggunakan Teknik Penetration Testing dan Metode OWASP TOP 10 pada
Website SIM. Senamika, 2(September), 752–761.
Sanjaya, I. G. A. S., Sasmita, G. M. A., & Arsa, D. M. S. (2020). Evaluasi Keamanan
Website Lembaga X Melalui Penetration Testing Menggunakan Framework
ISSAF. Jurnal Ilmiah Merpati (Menara Penelitian Akademika Teknologi
Informasi), 8(2), 113.
Wardhana, A. W., & Seta, H. B. (2021). Analisis Keamanan Sistem Pembelajaran
Online Menggunakan Metode ISSAF pada Website Universitas XYZ.
Informatik : Jurnal Ilmu Komputer, 17(3), 226.
https://doi.org/10.52958/iftk.v17i3.3653

30