K e l o m p o k 8

Manajemen Risiko Teknologi Informasi

pada Bank Mandiri

Mata Kuliah
Manajemen Resiko
Kelompok 8

Muh Andhika fahrezzy

21051214045
Aulia Anisa Puji Rhayu Aliyah Alfita
21051214017 21051214013
1
Pendahuluan
Latar Penggunaan teknologi informasi memiliki
peran penting dalam proses bisnis suatu

Belakang industri yaitu mendukung efisiensi

operasional, pengambilan keputusan dan
keberlanjutan bisnis.

Bank Mandiri merupakan salah satu bank

yang terkemuka di Indonesia yang telah
menggunakan teknologi informasi dalam
proses bisnisnya. Namun seiring dengan
ketergantungan bank terhadap teknologi
informasi, terdapat risiko tinggi yang
harus dihadapi.
RUMUSAN MASALAH
Bagaimana Bank Mandiri menerapkan prinsip-prinsip Triad CIA
dalam manajemen risiko teknologi informasi?
Bagaimana hasil identifikasi risiko pada Bank Mandiri KCP
Sidoarjo dengan metode FMEA dan OCTAVE
Bagaimana strategi mitigasi risiko pada KCP Mandiri Sidoarjo?
BATASAN MASALAH
Menyelidiki bagaimana proses bisnis di Bank Mandiri terkait dengan manajemen
risiko teknologi informasi, termasuk identifikasi, penilaian, dan pengendalian
risiko.
Identifikasi aset kritis yang berfokus pada , Meninjau bagaimana Bank Mandiri
menerapkan prinsip Keamanan Informasi (Confidentiality, Integrity, Availability)
dalam manajemen risiko teknologi informasi.
Identifikasi risiko yang dapat mengancam keamanan dan keberlanjutan
operasional Bank Mandiri.
Pada penelitian ini kami menggunakan metode pengukuran risiko yaitu metode
FMEA dan OCTAVE mengidentifikasi dan menganalisis ancaman.
Strategi mitigasi risiko teknologi informasi yang diimplementasikan pada KCP
Bank Mandiri Sidoarjo.
 Tujuan
Mengidentifikasi dan memahami risiko-risiko yang dapat mengancam
keamanan dan keberlanjutan operasi Bank Mandiri, termasuk risiko terkait
dengan kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan
(availability) data dan layanan.
Menganalisis risiko-risiko yang telah diidentifikasi dengan pendekatan FMEA
dan OCTAVE, dengan fokus pada dampak dan probabilitas terjadinya risiko.
Menentukan risiko-risiko mana yang harus diatasi lebih dahulu berdasarkan
tingkat urgensi dan dampaknya pada CIA Triad.
 Manfaat
Dengan fokus pada CIA Triad, Bank Mandiri dapat memastikan bahwa data nasabah dan
informasi rahasia terlindungi, mencegah akses yang tidak sah, modifikasi, atau hilangnya
data.
Memastikan integritas data dan proses operasional melindungi Bank Mandiri dari
ancaman yang dapat merusak proses bisnis dan keberlanjutan operasional.
Mengidentifikasi risiko yang dapat mengganggu ketersediaan layanan bank dan
mengambil tindakan untuk meminimalkan downtime yang tidak direncanakan.
2
Tinjauan Pustaka
Manajemen dan Analisis Resiko
Manajemen dan Analisis Risiko merupakan aspek krusial dalam operasi perbankan, terutama di lembaga keuangan
seperti Bank Mandiri. Risiko yang terkait dengan teknologi informasi memiliki implikasi signifikan pada keamanan
dan keberlanjutan bisnis. Bank Mandiri telah membangun proses bisnis yang terstruktur dan terintegrasi untuk
mengatasi risiko ini. Dalam studi oleh Supranto (2019), dijelaskan bahwa Bank Mandiri telah mengadopsi
pendekatan holistik dalam manajemen risiko, termasuk risiko teknologi informasi, dengan memadukan aspek
keuangan dan non-keuangan.

Bank Mandiri juga memperhatikan prinsip Triad CIA dalam manajemen risiko teknologi informasi, yaitu memastikan
kerahasiaan (Confidentiality), integritas (Integrity), dan ketersediaan (Availability) dari data dan sistem informasi.
Dalam penelitian oleh Soekarno et al. (2020), diungkapkan bahwa Bank Mandiri telah membangun infrastruktur
teknologi yang kokoh dan mengimplementasikan kontrol keamanan yang ketat untuk memenuhi prinsip Triad CIA.

Namun, risiko operasional tetap merupakan tantangan yang perlu diperhatikan oleh Bank Mandiri. Menurut Lutfi et
al. (2018), risiko operasional di lembaga keuangan dapat berdampak pada keberlanjutan bisnis dalam jangka
panjang jika tidak ditangani dengan tepat. Faktor internal seperti kebijakan internal dan keterampilan SDM, serta
faktor eksternal seperti peraturan pemerintah dan perubahan teknologi, dapat mempengaruhi keberhasilan
implementasi strategi mitigasi risiko di Bank Mandiri.
Failure Failure Mode and Effect Analysis

Mode (FMEA) merupakan salah satu

metode analisis risiko yang

and digunakan untuk

mengidentifikasi ancaman dan

Effect potensi kegagalan proses bisnis,

produk, sistem dan menganalisis

Analysis kualitas keamanan dan kinerja

secara keseluruhan pada suatu

(FMEA) industri.
Failure
FMEA pertama kali dikenalkan
oleh departemen pertahanan

Mode
Amerika Serikat saat perang
dunia 2 untuk menganalisis

and
potensi kegagalan pada
peralatan militer.

Effect Konsep Utama FMEA :

Analysis
1. Mengidentifikais kegagalan
2. Penilaian dampak

(FMEA)
3. Penilaian kemungkinan
4. Penilaian deteksibilitas
5. Perhitungan skor risiko
 Triad CIA
1. Confidentiality (Kerahasiaan) Kerahasiaan sangat penting
dalam perbankan, terutama untuk melindungi informasi
keuangan dan pribadi nasabah

2. Integrity (Integritas) Integritas berkaitan dengan

memastikan bahwa data dan informasi dalam sistem bank
tidak dimanipulasi atau diubah secara tidak sah.

3.Availability (Ketersediaan) Ketersediaan sangat penting dalam

perbankan karena nasabah harus dapat mengakses layanan
perbankan mereka setiap saat, terutama dalam transaksi yang
bersifat kritis.
 Operationally Critical Threat, Assets
and Vulnerability Evaluation (OCTAVE)
Metode OCTAVE (Operationally Critical Threat, Assets and Vulnerability Evaluation)
adalah metode penilaian risiko yang digunakan untuk mengidentifikasi, menganalisis,
dan mengambil tindakan mitigasi terhadap risiko keamanan informasi. Secara umum
metode OCTAVE menggunakan pendekatan tiga tahap yaitu Membangun Profil
Ancaman berdasarkan Aset (Build Asset-Based Threat Profile), Mengidentifikasi
Kerentanan Infrastruktur (Identify Infrastructure Vulnerabilities), dan Mengembangan
Rencana dan Strategi Keamanan (Develop Security Strategy and Plan).
3
Metodologi
Analisis Risiko dengan FMEA
1. Identifikasi risiko
Mendefinisikan dan mengidentifikasi potensi risiko yang terkait dengan manajemen risiko teknologi informasi
di Bank Mandiri.
Menganalisis proses bisnis untuk mengidentifikasi titik-titik potensial yang dapat mengakibatkan risiko
kegagalan atau ketidakpastian.

2. Penilaian risiko (severity)

Menilai Dampak (Severity). Yaitu menentukan dampak atau konsekuensi dari setiap risiko teridentifikasi
terhadap proses bisnis dan aset kritis di Bank Mandiri. Penilaian disajikan dengan pemberian skor yaitu
antara 1 hingga 10, angka 1 untuk mewakili tingkatan tidak terjadi dampak, dan angka 10 mewakili dampak
yang berbahaya tanpa peringatan hingga berpotensi kerusakan sistem.
 Analisis Risiko dengan FMEA
3. Penilaian kemungkinan kejadian (occurrence)
Mengukur kemungkinan terjadinya setiap risiko,mempertimbangkan faktor-faktor seperti frekuensi, sejarah
kejadian, dan perubahan lingkungan. Penilaian disajikan dengan pemberian skor antara 1 hingga 10. Kriteria yang
paling sering terjadi kegagalan yang tidak dapat dihindari dan probabilitas kegagalannya dalam 1 tahun sebanyak
lebih dari 300 dapat diberi skor antara 9 dan 10. Sedangkan jika kemungkinan kegagalan tidak pernah terjadi
dengan probabilitas dalah satu tahun kurang dari 1 dapat diberi skor 1.

4. Penilaian Deteksi Risiko (detection)

Mengevaluasi kemampuan untuk mendeteksi atau mengidentifikasi risiko sebelum atau saat terjadinya. Penilaian
deteksi risiko disajikan dengan range skor antara 1 hingga 10. Nilai 10 mewakili resiko yang tak terdeteksi karena
tidak adanya metode keamanan, dan nilai 1 mewakili deteksi risiko yang hampir pasti dapat terdeteksi dengan
waktu yang cukup.
 Analisis Risiko dengan FMEA
3. Pemrioritasan nilai risiko
Menghitung Skor Risiko, Menggunakan skala atau metode penilaian untuk menghitung skor risiko dengan
mengalikan dampak, kemungkinan, dan deteksi. persamaannya sebagai berikut:
RPN = Severity * Occurrence * Detection
Risk Priority Number (RPN), yaitu memprioritaskan risiko berdasarkan skor risiko yang dihasilkan menggunakan
metode Risk Prioritization Number (RPN) yang ada pada FMEA. Hasil perhitungan skor risiko sebelumnya dapat
menentukan level risiko berdasarkan FMEA.
Nilai RPN Level Risiko

<20 Rendah

<80 Sedang

<120 Tinggi

<200 Sangat Tinggi

 OCTAVE
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
Evaluation) adalah sebuah metode yang dikembangkan oleh Software
Engineering Institute (SEI) pada tahun 2001. Metode ini digunakan
untuk mengidentifikasi risiko keamanan informasi dalam organisasi.
Tujuannya adalah untuk mengidentifikasi dan merencanakan strategi
keamanan informasi berdasarkan pemahaman tentang praktek
keamanan yang ada dan risiko yang mungkin terjadi pada aset
informasi kritis organisasi.
 FASE 1 Identifikasi Aset Kritis dan Ancaman

Fase pertama dalam proses keamanan informasi adalah mengidentifikasi aset kritis dan
ancaman terhadap aset tersebut. Proses ini dilakukan dengan cermat dan melibatkan
berbagai tingkatan manajemen, mulai dari tingkat puncak hingga operasional.Tujuan
fase ini adalah Mengklasifikasikan aset yang penting bagi organisasi dan Menentukan
keamanan yang diperlukan
Langkah-langkah yang dapat diambil dalam fase ini adalah:
1. Identifikasi Aset Kritis
2. Identifikasi Kebutuhan Keamanan Aset Kritis
3. Identifikasi Ancaman Aset Kritis
4. Identifikasi Keamanan yang Sudah Diterapkan
5. Identifikasi Kelemahan Organisasi
FASE 2 Kerentanan dan Kelemahan Infrastruktur TI
Fase kedua dalam proses keamanan informasi adalah mengidentifikasi kerentanan dan
kelemahan dalam infrastruktur TI. Proses ini bertujuan untuk menilai komponen penting
dalam sistem TI dan mengidentifikasi kelemahan yang mungkin ada. Hasil dari tahap ini
akan digunakan untuk memperjelas profil ancaman terhadap aset TI yang telah
diidentifikasi sebelumnya.

Langkah-langkah yang dapat diambil dalam fase ini adalah:

1.Identifikasi Komponen Utama
2. Identifikasi Kelemahan Teknologi yang sudah ada
FASE 3 PENGEMBANGAN RENCANA DAN STRATEGI KEAMANAN INFORMASI
Fase ketiga dalam proses keamanan informasi adalah mengembangkan rencana dan
strategi keamanan informasi. Proses ini didasarkan pada hasil analisis risiko yang telah
dilakukan sebelumnya. Fokus utama adalah mengambil langkah-langkah konkret untuk
melindungi aset dan data nasabah Bank Mandiri. Selain itu juga akan dibuat
perencanaan mitigasi bila terjadi accident.

Langkah-langkah yang dapat diambil dalam fase ini adalah:

1.Identifikasi Risiko Aset Kritis
2. Penilaian Risiko
3. Strategi Perlindungan
 TEKNIK PENGUMPULAN DATA

Pada jurnal ini, teknik pengumpulan data yang digunakan adalah studi literatur dan
wawancara. Studi literatur dilakukan untuk mendapatkan teori-teori, konsep-konsep, dan
data-data yang relevan dengan topik penelitian. Sumber-sumber literatur yang digunakan
antara lain jurnal, artikel, skripsi, tesis, disertasi, dan laporan penelitian yang berkaitan
dengan masalah yang diteliti. Studi literatur membantu kami untuk memahami latar belakang,
rumusan masalah, tujuan, manfaat, aset perusahan, dan metodologi

Dan pada pengumpulan data yang dilakukan dengan cara wawancara melalui salah satu
pegawai yang berkaitan. Dalam proses persiapan sebelum wawancara, peneliti menyiapkan
beberapa pertanyaan yang terstruktur dalam sebuah tabel.
 TABEL PERTANYAAN
Tujuan Pertanyaan
Mengetahui dan memahami situasi umum pada
Bank Mandiri
Mengetahui informasi mengenai aset teknologi
informasi, ancaman, kerentanan atau dampak yang
ditimbulkan, serta langkah yang dilakukan untuk
menanggulangi permasalahan atau risiko.
Mengetahui informasi mengenai dampak ancaman
terhadap proses bisnis dan penentuan nilai risiko
Daftar Pertanyaan
Petugas apa saja yang berada pada frontliner Bank Mandiri
KCP Sidoarjo? Bagaimana peran dan tanggung jawab masing-
masing pegawai? Bagaimana proses bisnis yang ada pada
Bank Mandiri KCP Sidoarjo?
Apa saja aset teknologi informasi yang mencakup network,
data, hardware, software, dan people yang dimiliki?Apa saja
bentuk ancaman atau gangguan yang dapat terjadi pada
aset-aset tersebut? Seberapa sering ancaman atau gangguan
tersebut terjadi dalam satu tahun? Apakah ancaman atau
gangguan tersebut dapat dengan mudah terdeteksi
sebelumnya?
Bagaimana dampak yang dimiliki dan seberapa besar tingkat
keparahannya jika terjadi ancaman atau gangguan pada aset-
aset tersebut? Apa saja aset teknologi informasi yang
bersifat kritis, penting dan minor? Seberapa lama waktu
pemulihan terhadap proses bisnis atas terjadinya ancaman
atau gangguan?
 BAB IV
HASIL DAN ANALISIS
 Analisis Proses Bisnis
Proses bisnis yang cukup kompleks pada Bank Mandiri terbantu dengan semakin pesatnya
perkembangan teknologi informasi. Keuntungan yang diberikan dengan mengadopsi
teknologi informasi tidak hanya dalam hal profitabilitasnya yang meningkat, namun juga
memberikan manfaat dan performa tambahan bagi bank, serta memfasilitasi kegiatan
perdagangan, investasi, dan kegiatan lainnya.
Proses bisnis dari kegiatan utama yang ada pada kantor cabang Bank Mandiri
berdasarkan beberapa produk layanan yang ditawarkan Bank Mandiri yaitu sebagai
berikut.
1. Layanan Pembukaan Rekening
2. Tabungan/Simpanan
3. Pinjaman/Kredit :
 Analisis Proses Bisnis

Self Service Terminal yang dimiliki Bank mandiri merupakan layanan yang tidak
terikat dengan jam kerja kantor bank, yang artinya nasabah dapat mengakses
layanan SST ini kapan saja. Proses bisnis pada SST yang dimiliki Bank Mandiri
yaitu sebagai berikut.
1. Mesin ATM
2. e-Banking Livin’ by Mandiri
Identifikasi Aset
Kritis
No Jenis Aset Kritis Nama Aset Kritis IT

Komputer

1. Hardware Server dan infrastruktur jaringan

Banking Server

Website User

2. Software Website Admin

Security Antivirus Kaspersky

Database

3. Data Data Keuangan

Data User

4. People Karyawan Bank Mandiri

Switch

5. Network Router

Jaringan Komputer
Identifikasi CIA
TRIAD
Aset Kritis Kebutuhan Keamanan Keterangan

Kerahasiaan(Confide
Tersedianya akses untuk pihak yang berwenang.
ntiality)

Server, Banking server, dan Integritas Server tidak diizinkan diakses oleh pihak yang tidak
infrastruktur jaringan (Integrity) berwenang.

Ketersediaan
Akses harus tersedia 24 jam.
(Availability)

Kerahasiaan(Confide
Tersedianya akses untuk pihak yang berwenang.
ntiality)

Integritas Melakukan monitoring secara berkala untuk memastikan

Komputer
(Integrity) daya kerja.

Ketersediaan
Akses harus tersedia 24 jam.
(Availability)
 Senior Management harus memastikan
bahwa karyawan tidak dapat
Kerahasiaan(Confidentiality)
membocorkan data informasi penting
kepada pihak yang tidak berwenang dan.

Karyawan Pada Bank Seluruh karyawan atau staff wajib

Mandiri (Manajer, teller, Integritas (Integrity) mengikuti pelatihan terkait keamanan
ahli IT, satpam, ) teknologi informasi.

Membuat perencanaan rotasi personil

atau shifting untuk menjaga
Ketersediaan (Availability)
ketersediaan karyawan atau staff
untuk melayani nasabah.
 Melakukan pemantauan data
Kerahasiaan(Confidentiality) pribadi nasabah agar tetap
rahasia.

Melakukan pengontrolan data guna

Integritas (Integrity) mencegah perubahan data yang
Nasabah
tidak sah.

Penggunaan teknologi dan

infrastruktur untuk mendukung
Ketersediaan (Availability)
ketersediaan adat nasabah secara
akurat dan real-time.
 Pengaturan hak akses yang
Kerahasiaan(Confidentiality) sesuai dengan wewenang setiap
peran.
Data KeuanganKeamanan
Perangkat Lunak (Website Pemantauan integritas
user, website admin, konfigurasi sistem dan
Integritas (Integrity)
antivirus) memantau pengembangan
sistem.

Ketersediaan (Availability) Akses harus tersedia 24 jam.

Daftar Ancaman
Aset TI
No Jenis Aset Kritis Penyebab Ancaman

Serangan fisik terhadap Adanya kerusakan atau pencurian

Komputer
komputer perangkat keras

Perangkat keras seperti

Server dan
server atau switch
infrastruktur Downtime sistem yang signifikan
seringkali mengalami
1. Hardware jaringan
kegagalan.

Server perbankan memiliki

Penyerangan dapat mencuri data
kerentanan keamanan yang
Banking Server keuangan nasabah, seperti rekening bank,
dapat dieksploitasi oleh
dan pencurian identitas
penyerang
 Pencurian informasi
Kerentanan
pengguna, penyalahgunaan
Website User keamanan pada
akun, serangan injeksi, atau
aplikasi web
defacing

Serangan phising Pengambilalihan akses

2. Software Website Admin terhadap admin, pencurian data, dan
kredensial admin manipulasi sistem

Kelemahan
Security Serangan siber yang
keamanan pada
Antivirus menargetkan Security
Security Antivirus
Kaspersky Antivirus Kaspersky
Kaspersky
 Kehilangan data, seperti
Kelemahan keamanan informasi pribadi, data
Database
data pada database keuangan, atau data rahasia
perusahaan

Serangan siber seperti

pencurian data, infeksi
Kehilangan data keuangan,
3. Data Data malware, atau upaya
tindak penipuan, atau dampak
Keuangan phishing yang ditujukan
finansial yang merugikan.
pada transaksi
keuangan.

Pelanggaran keamanan Pencurian informasi pribadi,

Data User pada sistem yang penyalahgunaan data, identitas
menyimpan data palsu atau penipuan
 Kekurangan kesadaran Pengungkapan
Karyawan tentang praktik keamanan informasi sensitif,
4. People
bank Mandiri atau pelanggaran pelanggaran privasi,
kebijakan privasi kerugian reputasi

Akses tidak sah ke

Konfigurasi jaringan yang
jaringan, serangan
Jaringan lemah atau
5. Network DDoS, serangan
Komputer ketidakmampuan sistem
malware,
keamanan
pengungkapan data
Praktik Keamanan
No Jenis Aset Kritis Praktik Keamanan

Menggunakan teknologi enkripsi data melindungi

Komputer
data sensitif pada komputer

Simpan server dan infrastruktur jaringan di

Server dan infrastruktur
tempat yang aman dan hanya dapat diakses oleh
jaringan
orang-orang yang berwenang.
1. Hardware

Server harus ditempatkan di area yang aman dan

terlindungi dari akses yang tidak sah. Area ini
Banking Server harus memiliki sistem keamanan fisik yang kuat,
seperti pintu dan jendela yang terkunci, sistem
alarm, dan kamera CCTV.

Beri perlindungan dari serangan DDoS untuk

Website User
website dengan menggunakan solusi anti-DDoS

Website Admin Gunakan autentikasi ganda untuk login admin

2. Software

Menjaga perangkat lunak tetap terbaru,

Security Antivirus Kaspersky mengaktifkan perlindungan aktif, dan melakukan
pemeriksaan rutin
 Menciptakan salinan cadangan data secara
Database
teratur

Lindungi transaksi keuangan dengan

Data Keuangan menggunakan protokol keamanan seperti
3. Data HTTPS

Melindungi informasi pribadi pengguna

dengan menerapkan kebijakan privasi yang
Data User
sesuai dan perlindungan data seperti
enkripsi

Lakukan pelatihan keamanan secara teratur

kepada tim pengembang, termasuk
Karyawan Bank
4. people kesadaran akan praktik keamanan,
Mandiri
pengujian keamanan kode, dan tindakan
pencegahan
 Lakukan pemeriksaan dan pemeliharaan
Switch switch secara berkala untuk memastikan
berfungsi dengan baik

Memantau dan memperbaiki sistem dan

5. Network Router perangkat secara berkala untuk
memastikan berfungsi dengan baik.

Menggunakan Firewall perangkat jaringan

Jaringan
yang berfungsi untuk melindungi jaringan
Komputer
dari serangan dari luar.
Komponen Utama
Aset Kritis Komponen Utama Aset Kritis Ancaman pada Aset Komponen Utama

Cpu Cpu tidak sudah tidak lawas

Komputer
Monitor Komponen Tidak Sudah usang

Server Serangan DDos yang membuat server tidak stabil

Server dan infrastruktur

jaringan Masalah pada satu jaringan yang membuat jaringan lain juga
Infrastruktur jaringan
bermasalah

Banking Server Server Bank Serangan Cyber Crime, perangkat keras rusak

Website User Web Serangan Cyber Crime

Website Admin Web Serangan Cyber Crime

 Antivirus Versi Antivirus kadaluarsa
Security Antivirus Kaspersky
Firewall Mendapatkan serangan virus berbahaya

Data Data diretas

Database
Penyimpanan atau
Kapasitas penyimpanan terbatas
hardisk

Data Keuangan Data Data diretas dan dimanipulasi

Data User Data Data diretas dan dimanipulasi

Karyawan Bank Mandiri Pengetahuan Menimbulkan kesalahan dalam pekerjaan

Busbar Busbar tidak berfungsi

Switch
Circuit Breaker Circuit breaker mengalami korsleting
 CPU (Central
CPU rusak
Processing Unit)

Router

RAM (Random
Kapasitas penuh
Access Memory)

Komputer server Perangkat keras rusak, tertular virus

Jaringan Komputer
Kabel Korslet

Switch Perangkat rusak, kebakaran

Daftar Kerentanan
Aset Kritis
No. Nama Aset Kritis Kerentanan Aset Kritis

1. Komputer Kerusakan komponen komputer.

Server dan Infrastruktur jaringan

2. Server dan infrastruktur jaringan sewaktu waktu bisa mati atau
terhambat

Menghambat akses transaksi di dalam

3. Banking Server
sistem.

Membuat user kecewa dan memilih bank

4. Website User
lain

Menghambat jalanya sebuah sistem web

5. Website Admin
yang harus divalidasi admin
 Security
Menjaga perangkat lunak tetap terbaru, mengaktifkan
6. Antivirus
perlindungan aktif, dan melakukan pemeriksaan rutin.
Kaspersky

7. Database Kapasitas penyimpanan terbatas

Kebocoran data ini bisa membuat kerugian dan merusak citra

8. Data Keuangan
bank

Data dapat menjadi sasaran bagi ancaman yang ingin

9. Data User
mengetahui atau memanipulasi informasi tentang pengguna

Karyawan tidak memahami pekerjaan sehingga menimbulkan

Karyawan Bank kesalahan
10.
Mandiri
Karyawan kurang paham tentang resiko
 Pengaturan protokol yang buruk
11. Switch dapat menyebabkan terjadinya
serangan

Harus dilakukan pemantauan

12. Router
aktivitas jaringan.

Jaringan Terpaku dengan sumber daya

13.
Komputer listrik.
Daftar Resiko TI
No. Nama Aset Ancaman Penyebab Risiko Dampak

Pencurian Kerusakan atau kecurian

Serangan fisik Gangguan layanan, kehilangan data,
komputer yang
1. Komputer terhadap kerugian finansial dan reputasi
menyebabkan kehilangan
Bencana komputer bank
dan data sensitif

Server dan Kegagalan

Hardware Downtime sistem yang Gangguan layanan, kerugian
2. infrastruktur perangkat
Failure signifikan finansial, reputasi bank.
jaringan server

Perawatan tidak
Hardware Kerusakan pada banking Sistem tidak beroperasi secara
3. Banking Server dilakukan secara
Failure server optimal
berkala

pencurian informasi,
Pelanggaran privasi, gangguan
Software Aplikasi website penyalahgunaan aplikasi
4. Website User layanan, kerugian finansial,
Failure yang rentan website, penyebaran
reputasi bank
malware

pencurian informasi,
Pelanggaran privasi, gangguan
Software Aplikasi website penyalahgunaan aplikasi
5. Website Admin layanan, kerugian finansial,
Failure yang rentan website, penyebaran
reputasi bank
malware
 Versi Antivirus Gangguan layanan, kerugian
Kurangnya kadaluarsa finansial, reputasi bank.
Security Antivirus
6. Software Failure maintenance
Kaspersky
secara berkala Mendapatkan serangan Gangguan layanan, kerugian
virus berbahaya finansial, reputasi bank.

Kurangnya Pelanggaran privasi, gangguan

maintenance Data diretas layanan, kerugian finansial,
secara berkala reputasi bank
7. Database Software Failure
Perangkat sudah
Kapasitas penyimpanan Gangguan layanan, kerugian
tidak layak
terbatas finansial, reputasi bank
beroperasi

Software Failure Pelanggaran

Pencurian informasi Pelanggaran privasi, gangguan
sistem yang
8. Data Keuangan pribadi, penyalahgunaan, layanan, kerugian finansial,
menyimpan data
penyebaran data reputasi bank
keuangan

Software Failure Pelanggaran

Pencurian informasi Pelanggaran privasi, gangguan
sistem yang
9. Data User pribadi, penyalahgunaan, layanan, kerugian finansial,
Cyber Crime menyimpan data
penyebaran data reputasi bank
user
 Keterbatasan
pengetahuan Menimbulkan
Karyawan Bank Human karyawan Pelanggaran privasi, gangguan layanan,
10. kesalahan pada
Mandiri Error kerugian finansial, reputasi bank
Terjadi kecelakaan pekerjaan
kerja

Kurangnya
Busbar tidak Gangguan layanan, kerugian finansial,
maintenance secara
berfungsi reputasi bank
Hardware berkala
11. Switch
Failure Circuit breaker
Kebakaran pada Gangguan layanan, kerugian finansial,
mengalami
switch reputasi bank
korsleting

Kurangnya
Gangguan layanan, kerugian finansial,
maintenance secara CPU rusak
reputasi bank
Hardware berkala
12. Router
Failure Perangkat sudah
Gangguan layanan, kerugian finansial,
tidak layak Kapasitas penuh
reputasi bank
beroperasi

Kurangnya
Hardware Kerusakan pada
Maintenance secara
Jaringan Failure jaringan komputer Gangguan layanan, kerugian finansial,
13. berkala
Komputer reputasi bank
Network Jaringan tidak
Koneksi terputus
Failure terhubung
Penilaian Resiko
dengan FMEA
No Jenis Aset Kritis SEV OCC DET RPN Level RPN
Sangat
Komputer 2 2 1 4
Rendah
Hardwar
1.
e Server dan infrastruktur jaringan 4 4 4 64 Rendah
Banking Server 8 1 5 40 Rendah
Website User 3 4 5 60 Rendah
2. Software Website Admin 3 5 3 45 Rendah
Security Antivirus Kaspersky 3 8 4 96 Sedang
Database 6 1 8 48 Rendah
3. Data Data Keuangan 7 7 2 98 Sedang
Data User 4 2 4 32 Rendah
4. People Karyawan bank Mandiri 3 5 8 120 Sedang
Switch 3 7 5 105 Sedang
Router 4 4 3 64 Rendah
5. Network
Sangat
Jaringan Komputer 8 5 7 280
Tinggi
Mitigasi Resiko
Aset Risiko Level Tindakan Mitigasi

Mengenkripsi data keuangan jika

dipindahkan atau disimpan.
Memperketat mekanisme otentikasi
Data Keuangan 98 Sedang
dan otorisasi akses Mencadangkan
dan memulihkan data secara berkala
Melakukan audit secara berkala

Pemantauan jaringan secara berkala

Pembaruan perangkat lunak pada
Jaringan Komputer 120 Sedang
jaringan komputer Penggunaan
teknologi keamanan

Pemberian pelatihan Penggunaan

multi-factor authentication
Karyawan Bank Mandiri 280 Sedang
Penggunaan kebijakan keamanan
yang ketat
 Kesimpulan
Berdasarkan penelitian yang telah dilakukan pada aset teknologi informasi Bank Mandiri KCP
Sidoarjo. Evaluasi risiko ditentukan dengan menggunakan 5 kategori yaitu: sangat rendah,
rendah, sedang, tinggi dan sangat tinggi. Ditemukan terdapat 5 jenis risiko dan 17 kejadian risiko.
3 diantara 5 jenis risiko yang memiliki nilai RPN tertinggi yaitu aset data keuangan dengan nilai
RPN 98 atau sedang, Karyawan bank Mandiri dengan nilai RPN 120 atau sedang, dan aset
Jaringan komputer dengan nilai RPN 280 atau sangat tinggi.
 Daftar Pustaka
1. I. Jevon and J. Rahardjo, “Penerapan Manajemen Risiko menggunakan Metode FMEA pada Proyek
Penggalian Sumur Bor oleh CV. Tirto Kencana,” Jurnal Titra, vol. 9, no. 2, pp. 471–478, Jul. 2021.
2. Surya Andiyanto, Agung Sutrisno, and Charles Punuhsingon, “PENERAPAN METODE FMEA
(FAILURE MODE AND EFFECT ANALYSIS) UNTUK KUANTIFIKASI DAN PENCEGAHAN RESIKO
AKIBAT TERJADINYA LEAN WASTE,” Jurnal Online Poros Teknik Mesin, vol. 6, no. 1, pp. 45–57, Jan.
2017
3. Sardjono, W., & Cholik, M. I. (2018). Information Systems Risk Analysis Using Octave Allegro
Method Based at Deutsche Bank. Proceedings of 2018 International Conference on Information
Management and Technology, ICIMTech 2018, 38–42. https://doi.org/10.1109/ICIMTech.201
8.8528108.