1
Tasha Safira Putri , 2Nurul Mutiah, 3Dian Prawira
1,2,3
Jurusan Sistem Informasi, Fakultas MIPA Universitas Tanjungpura
Jalan Prof Dr. H. Hadari Nawawi Pontianak
Telp/Fax.: (0561)577963
e-mail: 1tashasafiraa25@student.untan.ac.id, 2nurul@sisfo.untan.ac.id,
3
dianprawira@sisfo.untan.ac.id
Abstrak
Penerapan teknologi informasi yang tepat dapat memberikan dampak baik pada proses bisnis
perusahaan maupun instansi pemerintah. Teknologi informasi membuat proses bisnis menjadi efektif
dan efisien, sehingga menghasilkan keuntungan lebih besar, salah satu instansi pemerintah yang
menerapkan teknologi informasi sebagai kegiatan operasional sehari-hari adalah Badan Pusat
Statistik (BPS) Kalimantan Barat. BPS Kalimantan Barat berperan sebagai penyedia data dan
informasi lengkap, berkualitas, akurat dan relevan bagi pengguna data, namun BPS Kalimantan Barat
belum melakukan manajemen risiko pada setiap aset informasi dan belum mempunyai dokumen
perancangan sistem manajemen keamanan informasi untuk memantau dan menanggapi ancaman
risiko. Maka dari itu, penelitian ini dilakukan guna menganalisis dan menilai risiko keamanan
informasi serta kesenjangan pengamanan aset informasi menggunakan metode NIST Cybersecurity
Framework Dan ISO/IEC 27001:2013. Metode NIST Cybersecurity berfokus ke business drivers untuk
memandu kegiatan keamanan siber dan mempertimbangkan risiko keamanan siber sebagai bagian
manajemen risiko. ISO/IEC 27001:2013 terkandung persyaratan untuk mengontrol keamanan
informasi yang disesuaikan dengan kebutuhan. Hasil penelitian berupa pemaparan gap keamanan
informasi, gap tertinggi dari perwakilan setiap fungsi NIST Cybersecurity, yaitu: penilaian risiko,
keamanan data, anomali dan peristiwa, mitigasi, dan perencanaan pemulihan. Berdasarkan
identifikasi dan penilaian risiko, terdapat 36 ancaman memiliki kriteria Tinggi, 29 ancaman kriteria
risiko Sedang dan 21 ancaman dengan kriteria risiko Rendah. Penelitian ini juga memberikan
rekomendasi kontrol keamanan terhadap risiko yang teridentifikasi yang dijelaskan dalam dokumen
Sistem Manajemen Keamanan Informasi (SMKI).
237
Coding : Jurnal Komputer dan Aplikasi p-ISSN : 2338-493X
Volume 10, No. 02 (2022), hal 237-248 e-ISSN : 2809-574X
238
Coding : Jurnal Komputer dan Aplikasi p-ISSN : 2338-493X
Volume 10, No. 02 (2022), hal 237-248 e-ISSN : 2809-574X
memastikan informasi tidak berubah dari profile sebelum dapat mencapai tujuan
bentuk dari aslinya. keamanan informasinya. Perbandingan profil
(Profil Saat Ini dan Profil Target) secara
2.4 National Institute of Standards and menunjukkan kesenjangan yang ada untuk
Technology Cybersecurity Framework memenuhi tujuan manajemen risiko
NIST Cybersecurity Framework adalah keamanan informasi. Berikut Gambar 3,
kerangka kerja untuk melindungi organisasi merupakan gambaran dari perbandingan
atau instansi terhadap ancaman siber. NIST profil.
Cybersecurity menyediakan bahasa yang
umum untuk memahami, mengelola, serta
mengungkapkan risiko keamanan siber baik
kepada pemangku kepentingan internal
maupun eksternal[2]. Terdapat tiga komponen
utama dalam Cybersecurity Framework,
antara lain[2]:
1. Framework Core
Pada kerangka inti terdiri dari aktifitas
dan kontrol keamanan siber organisasi dengan
menyesuaikan hasil yang dinginkan dan Gambar 3 Perbandingan Current dan Target
tindakan yang akan dilakukan untuk Profile[6]
mengurangi risiko yang akan dialami pada
sistem yang sudah berjalan. Gambar 2 berikut 2.5 Langkah-langkah Implementasi NIST
merupakan struktur dari kerangka inti, yaitu: Cybersecurity Framework
Dalam mengimplementasikan program
keamanan informasi tersedia tujuh langkah
yang dapat diulang untuk terus meningkatkan
kemampuan keamanan siber, yaitu[2]:
1. Prioritas dan cakupan
Organisasi menentukan tujuan, misi
bisnis dan prioritas organisasi. Setelah
informasi didapat, maka organisasi dapat
membuat strategi keputusan terkait
Gambar 2 Framework Core Structure[2] implementasi kemananan dan menentukan
2. Framework Implementation Tier ruang lingkup sistem dan aset yang
Pada kerangka implementasi tier mendukung proses bisnis.
(tingkatan) menggambarkan bagaimana
proses mengukur keamanan siber untuk 2. Orientasi
mengurangi risiko pada sistem yang ada. Tiers Dalam fase ini organisasi juga dapat
juga memberikan gambaran tentang mengidentifikasi ancaman dan kerentanan
karakteristik tingkat kematangan pada berlaku untuk sistem dan aset tersebut.
manajemen risiko. Adapun empat tingkatan Berikut Tabel 1 merupakan peninjauan
dalam kerangka, yaitu: partial (Tingkatan 1), kemungkinan skenario terjadi[7].
risk-informed (Tingkatan 2), repeatable Tabel 1 Kriteria Kemungkinan
(Tingkatan 3), adaptive (Tingkatan 4).
Score Kemungkinan Deskripsi
3. Framework Profile
Profil menggambarkan bagaimana Sangat Jarang Hampir tidak
keamanan informasi ditangani dalam 1
(Rare) pernah terjadi
organisasi, baik current profile dan target 2 Jarang (Unlikely) Jarang Terjadi
profile. Kerangka ini dapat menyediakan hasil Mungkin Mungkin Bisa
3
keamanan informasi organisasi, serta (Possible) Terjadi
kewajiban dan persyaratan keamanan, 4 Sering (Likely) Sering Terjadi
sehingga organisasi memerlukan pemahaman Sangat Sering Hampir
5
yang kuat terkait current profile dan target (Almost Certain) Sering Terjadi
239
Coding : Jurnal Komputer dan Aplikasi p-ISSN : 2338-493X
Volume 10, No. 02 (2022), hal 237-248 e-ISSN : 2809-574X
240
Coding : Jurnal Komputer dan Aplikasi p-ISSN : 2338-493X
Volume 10, No. 02 (2022), hal 237-248 e-ISSN : 2809-574X
241
Coding : Jurnal Komputer dan Aplikasi p-ISSN : 2338-493X
Volume 10, No. 02 (2022), hal 237-248 e-ISSN : 2809-574X
242
Coding : Jurnal Komputer dan Aplikasi p-ISSN : 2338-493X
Volume 10, No. 02 (2022), hal 237-248 e-ISSN : 2809-574X
4.3 Menentukan Current Profile dan tertinggi sebesar 1,9 dibandingkan kategori
Target Profile lainnya pada fungsi Protect. Kesenjangan
Dengan mengombinasikan ketiga tersebut diakibatkan masih minimnya
komponen kerangka (core, tier, profile) akan pengetahuan pengamanan data dari sisi
membantu BPS Kalimantan Barat mengetahui pegawai pada BPS Kalimantan Barat, baik
kesenjangan penanganan keamanan informasi data perusahaan maupun data pribadi
dalam aktivitas keseharian. Kerangka inti sehingga kategori keamanan data memiliki
pada NIST Cybersecurity terdapat 5 fungsi, 23 kesenjangan tertinggi walaupun sudah
kategori dan 108 subkategori. Masing-masing ditetapkan kebijakan keamanan data.
subkategori akan dinilai dengan
menggunakan tingkatan pencapaian
berdasarkan keadaan perusahaan saat ini
(current profile) serta target kedepannya
(target profile). Untuk melihat lebih jelas gap
pada BPS Kalimantan Barat di setiap fungsi
kategori NIST Cybersecurity, akan
divisualisasi menggunakan diagram berikut:
243
Coding : Jurnal Komputer dan Aplikasi p-ISSN : 2338-493X
Volume 10, No. 02 (2022), hal 237-248 e-ISSN : 2809-574X
244
Coding : Jurnal Komputer dan Aplikasi p-ISSN : 2338-493X
Volume 10, No. 02 (2022), hal 237-248 e-ISSN : 2809-574X
245
Coding : Jurnal Komputer dan Aplikasi p-ISSN : 2338-493X
Volume 10, No. 02 (2022), hal 237-248 e-ISSN : 2809-574X
246
Coding : Jurnal Komputer dan Aplikasi p-ISSN : 2338-493X
Volume 10, No. 02 (2022), hal 237-248 e-ISSN : 2809-574X
7,R61, R35,
9,R33,
R62,R6 R37, R16, disimpulkan sebagai berikut:
3 R54,R5 1. Berdasarkan hasil analisis dan penilaian
6,R67, R39, R76
6,R57,
R58
R68,R7 R40, gap menggunakan NIST Cybersecurity,
7, R86 R81 terdapat beberapa kategori yang memiliki
R14,
gap tertinggi dari perwakilan setiap
R20,
R34, fungsinya, yaitu:
R15, a. Fungsi Identify pada kategori penilaian
R23, R13,R2 R48,
2 R74 R49,
R24 1,R25 R50,
R79 risiko yang memiliki nilai kesenjangan
R51, tertinggi sebesar 2,7.
R52,
R80, b. Fungsi Protect pada kategori keamanan
R18,R1 data yang memiliki nilai kesenjangan
R71,R7 R31,
1 R64 9,R26,
2,R73 R38
tertinggi sebesar 1,9.
R28 c. Fungsi Detect pada kategori anomali
1 2 3 4 5 dan peristiwa yang memiliki nilai
IMPACT
kesenjangan tertinggi sebesar 2.
d. Fungsi Respond pada kategori mitigasi
Hasil Tabel 8 memperlihatkan bahwa yang memiliki nilai kesenjangan
dari 86 ancaman risiko, sebanyak 36 ancaman tertinggi sebesar 2,3
memiliki kriteria risiko Tinggi, 29 ancaman e. Fungsi Recover pada kategori
dengan kriteria risiko Sedang dan 21 ancaman perencanaan pemulihan yang memiliki
dengan kriteria risiko Rendah. Maka dari itu, nilai kesenjangan tertinggi sebesar 2.
selanjutnya akan dilakukan penanganan risiko
2. Berdasarkan hasil analisis risiko terdapat
berupa mitigasi setiap ancaman yang telah
sebanyak 86 ancaman yang tersebar
dinilai untuk mencegah dan mengurangi risiko dimasing-masing aset informasi, dimana
keamanan. terdapat 36 ancaman kriteria risiko Tinggi,
29 ancaman kriteria risiko Sedang dan 21
4.6 Mitigasi Risiko Menggunakan ISO/IEC
ancaman dengan kriteria risiko Rendah.
27001:2013
3. Rancangan dokumen SMKI dibuat dengan
Mitigasi risiko bertujuan untuk dan menentukan klausul ISO/IEC 27001:2013
menentukan pemilihan mitigasi yang tepat dalam mitigasi risiko dan diperlukan 14
serta sesuai sehingga ketika risiko tersebut klausul pengendalian keamanan serta
muncul, hal tersebut dapat ditangani sesuai ISO/IEC 27002:2013 sebagai prosedur
dengan kesepaktan mitigasi yang dipilih.
penerapan dan dari ke-14 klausul tersebut.
Strategi mitigasi risiko pada Kantor Badan
247
Coding : Jurnal Komputer dan Aplikasi p-ISSN : 2338-493X
Volume 10, No. 02 (2022), hal 237-248 e-ISSN : 2809-574X
248