REVIEW JURNAL disusun untuk memenuhi tugas matakuliah Pengantar Sistem Keamanan dan Teknologi Informasi
Oleh : LELAH, S.T. NIM : L 25 015 0001
PROGRAM STUDI MAGISTER TEKNIK INFORMATIKA UNIVERSITAS LANGLANGBUANA BANDUNG 2016
1
REVIEW JURNAL : Manajemen Risiko Sistem Informasi Perpustakaan dengan Menggunakan
Judul
Framework NIST SP 800-30 (Studi Kasus di Universitas Gajah Mada Yogyakarta) Volume & Halaman
: x no 2
Tahun
: 2014
Penulis
: Arif Nurrohman UGM
Reviewer
: Lelah
Tanggal
: Maret 2016
Metode yang digunakan : Framework NIST SP 800-30 :
Tujuan Penelitian
untuk mengetahui
factor-faktor
yang
mempengaruhi
pelaksanaan
manajemen risiko sistem informasi perpustakaan. Latar Belakang : Pada perpustakaan UGM sistem dan asset informasi perpustakaan yang dilayankan
kepada pemustaka menjadi tulang punggung karena adanya teknologi informasi.
Penerapan sistem informasi perpustakaan yang berkembang pesat menimbulkan risiko yang dapat mengancam, hal tersebut disebabkan kegagalan pustakawan dalam menilai s umber ancaman dan risiko. Untuk mengurangi dan menghilangkan dampak risiko itu sendiri dilakukanlah kegiatan peringatan resiko dengan memindahkan risiko berupa server sistem informasi perpustakaan ke PSDI.
Kegiatan
evaluasi
ini
terus
menerus
dilakukan
sampai
pada
tahap
diterima
oleh
perpustakaan. Masalah :
Belum
dilakukannya
manajemen
risiko
sistem
informasi
perpuatakaan,
pada
perpustakaan UGM. Kesimpulan a.
:
dari jurnal tersebut dapat disimpulkan :
Proses penilaian risiko (risk assessment) mendeskripsikan profil ri siko yang mengancam sistem informasi perpustakaan berdasarkan rangking level risiko meliputi jenis risiko teknis dan risiko manusia. Risiko teknis sendiri terdiri dari backup server hang dengan level risiko tinggi, listrik level yang lebih tinggi, keamanan (security) dengan level risiko yang lebih tinggi, password dengan level risiko yang lebih tinggi
dan orientasi
hak akses level yang sedang. Jenis risiko manusia
teridentifikasi profil risiko dengan ranking sedang. Perpustakaan UGM Belum memiliki dokumentasi penilaian risiko sebagai standar kegiatan dalam proses penanganan sumber ancaman yang menghambat sistem informasi perpustakaan. Penilaian risiko hanya berdasarkan kejadian yang bersifat incidental yang diantisifikasi dengan memaksimalkan peran IT support dan kesadaran dari pustakawan dalam mengantisipasi berbagai ancaman risiko sistem informasi. 2
b. Mitigasi risiko atau penanganan risiko di perpustakaan UGM dilaksanakan dengan cara memindahkan server sistem informasi perpustakaan PSDI sebagai lembaga yang berwenang dan memiliki kompetensi dalam merawat asset sistem informasi di lingkungan UGM. Pemindahan risiko pada PSDI terkait dengan kebijakan lembaga induk yang memfasilitasi pengelolaan
sistem
informasi
dalam satu
wadah
sebagai
upaya
untuk
memudahkan
pengawasan. Persepsi dari pimpinan perpustakaan tentang kemampuan sumber daya manusia yang masih terbatasdan delegasi kewenangan bidang teknologi informasi bukan kewenangan bagi perpustakaan menyebabkan pimpinan perpustakaan mengambil kebijakan mentrasfer risiko kepada lembaga yang memiliki kompetensi, disamping adanya jaminan perawatan untuk kelangsungan sistem informasi perpustakaan. c.
Evaluasi kegiatan manajemen risiko belum dilaksanakan dengan kegiatan backup data secara periodic dan konsistensi dari pustakawan untuk selalu mengantisifasi berbagai macam kejadian yang dapat mengancam sistem informasi perpustakaan.
d. Kerangka kerja NIST special Publication 800-30 mampu mendeskripsikan profil ancaman risiko yang mengganggu pengembangan perpustakaan berbasis teknologi web dan memberikan solusi mitigasi risiko, serta memiliki metode pengawasan secara menyeluruh melalui evaluasi pelaksanaan
manajemen
risiko
sistem
informasi
pengembangan sistem informasi.
3
perpustakaan
dalam
siklus
hidup
TUGAS REVIEW JURNAL NAMA : LELAH NRP
: l250150001
Magister Teknik Informatika
REVIEW JURNAL : Managemen Risiko Sistem Informasi Akademik Pada Perguruan Tinggi
Judul
Menggunakan Metoda Octave Allegro Volume & Halaman
: ISSN : 1907 - 5022
Tahun
: 2013
Penulis
: Deni Ahmad Jakaria, R Teduh Dirgahayu, Hendrik
Reviewer
: Lelah
Tanggal
: Maret 2016
Metode yang digunakan : OCTAVE allegro Tujuan Penelitian Informasi
Akademik
:
untuk pada
mengidentifikasi, Perguruan
mengembangkan strategi keamanan
Tinggi
menganalisis
dan
menggunakan
mengelola metoda
risiko
Octave
Sistem Allegro,
sistem informasi untuk meningkatkan keamanan sistem
informasi, membuat kebijakan manajemen risiko yang mendukung misi dan priorotas organisasi untuk mengurangi dampak kerugian akibat kerusakan sistem informasi Latar Belakang : saat ini belum banyak institusi yang melakukan risk assessment pada sistem informasi yang digunakan. Sistem informasi beserta asetnya sangat rentan terhadap risiko kerusakan fisik dan logic. Untuk itu perlu dilakukan identifikasi ancaman dan analisis risiko untuk meningkatkan keamanan dan mengurangi risiko kerusakan sistem informasi. Manajemen risiko teknologi informasi diharapkan dapat mengurangi dampak kerusakan, salah satu metoda yang digunakan untuk manajemen dan analisis risiko teknologi informasi adalah OCTAVE (Operationally Critical Threat, Assets and Vulneralibility Evaluation). Salah satunya menggunakan OCTAVE Allegro, yang menfokuskan pada asset informasi dan data yang mendukung informasi tersebut. Masalah : pihak manajemen mengalami kesulitan dalam menyampaikan pentingnya untuk menjaga sistem informasi beserta asset-asetnya dalam rangka menjaga keberlanjutan proses
4
bisnis, belum adanya kebijakan mengenai sistem informasi, belum pernah dilakukan penilaian risiko pada sistem informasi yang terdapat di universitas tersebut. Kesimpulan
: octave Allegro merupakan salah satu metoda manajemen risiko sistem informasi
yang dapat diterapkan pada perguruan tinggi tanpa memerlukan keterlibatan yang ekstensif di dalam organisasi dan difokuskan pada asset informasi yang kritis bagi keberlangsungan organisasi dalam mencapai misi dan tujuannya. Penilaian risiko dapat memberikan gambaran mengenai kemungkinan adanya ancaman pada asset kritikal dan mengambil langkah-langkah pencegahan yang tepat untuk meminimalkan kemungkinan ancaman tersebut terjadi.
5
REVIEW JURNAL : Manajemen Risiko Kemanan Informasi dengan Menggunakan Metode
Judul Octave Volume & Halaman
: 2
no. 1
Tahun
: 2009
Penulis
: Bambang Suprandono
Reviewer
: Lelah
Tanggal
: Maret 2016
Metode yang digunakan : OCTAVE : Untuk mengetahui
Tujuan Penelitian
resiko yang mungkin timbul
dari risiko keamanan
informasi. : Dengan meningkatnya tingkat ketergantungan organisasi pada sistem
Latar Belakang
informasi sejalan dengan risiko yang timbul salah satunya adalah risiko keamanan informasi, untuk itu perlu dilakukannya manajemen risiko keamanan informasi, untuk mengamankan asset informasi yang sangat penting. : meningkatnya tingkat ketergantungan organisasi pada sistem informasi
Masalah
sejalan dengan risiko yang timbul salah satunya adalah risiko keamanan informasi, untuk itu perlu dilakukannya manajemen risiko keamanan informasi. Pembahasan
: Aset informasi (hardware, software, sistem,informasi dan manusia) merupakan
aset yang penting bagi suatu organisasi yang perlu dilindungi dari risiko keamanannya baik dari pihak luar dan dalam organisasi. Dimana keamanan informasi tidak bisa hanya disandarkan pada tools atau teknologi keamanan informasi, melainkan perlu adanya pemahaman dari organisasi tentang apa yang harus dilindungi dan menentukan secara tepat solusi yang dapat menangani permasalahan kebutuhan keamanan informasi). Untuk itu butuh pengelolaan keamanan informasi yang sistemik dan komprehensif.
Untuk mengelola risiko keamanan. informasi adalah mengenali apakah risiko
organisasi yang menerapkannya. Setelah risiko diidentifikasi, organisasi dapat membuat rencana penanggulangan dan mengurangi risiko terhadap masing-masing risiko yang telah diketahui. Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) yang dikembangkan Software Engineering
Institute,
Carnegie
Mellon University, 1999 memungkinkan organisasi
melakukan hal di atas. OCTAVE adalah sebuah pendekatan terhadap evaluasi risiko keamanan informasi yang komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun dalam satu set 6
kriteria yang mendefinisikan elemen esensial dari evaluasi risiko keamanan informasi. Kriteria OCTAVE memerlukan eveluasi yang harus dilakukan oleh sebuah tim interdisipliner yang terdiri dari personil teknologi informasi dan bisnis organisasi. Anggota tim bekerjasama untuk membuat keputusan berdasarkan risiko terhadap aset informasi kritis organisasi. Pada akhirnya, kriteria OCTAVE memerlukan katalog informasi untuk mengukur praktek organisasi, menganalisa ancaman, dan membangun strategi proteksi dan catalog ini menjadikan sumber database pengetahuan. Katalog ini meliputi: •
catalog of practices – sebuah koleksi strategi dan praktek keamanan informasi
•
generic threat profile – sebuah koleksi sumber ancaman secara umum
•
catalog of vulnerabilities – sebuah koleksi dari kelemahan berdasarkan platform dan apli kasi Dengan menggunakan pendekatan tiga tahapan, metode OCTAVE menguji isu-isu organisasi dan teknologi terhadap penyususnan masalah-masalah keamanan informasi sebuah organisasi.
TAHAPAN OCTAVE : • Tahap Persiapan • Tahap 1: Membangun Aset Berbasis Ancaman Profil 7
yang komprehensif berdasarkan kebutuhan
• Tahap 2: Identifikasi Infrastruktur Vulnerabilities • Tahap 3: Mengembangkan Strategi Keamanan dan Perencanaannya ANALISAN DAN PEMBAHASAN 1.
Tahap I Membangun Aset Berbasis Ancaman Profil : Pada metode OCTAVE sumber-sumber ancaman terhadap aset-aset indormasi dalam 4 sumber yakni :
Tidakan sengaja oleh manusia (Deliberate Action by People) baik dari dalam (inside) maupun dari luar (outside).
Tindakan tidak sengaja oleh manusia (Accidental Action by people) baik dari dalam (inside) maupun dari luar (outside).
Sistem yang bermasalah (systems ploblem) meliputi hardware dan software yang cacat, kode berbahaya (virus worm, trojan, back door).
Masalah-masalah lain (other problems) seperti padamnya arus listrik, ancaman bencana alam, ancaman lingkungan, gangguan telekomunikasi.
2.
Tahap II Identifikasi Infrastruktur Vulnerabilities : Tahap kedua melakukan evaluasi kelemahan (vulnerability) terhadap jaringan infrastruktur komputasi yang digunakan oleh organisasi. Dilakukan dengan cara menseleksi komponen-komponen penting yang dapat mempengaruhi kinerja jaringan sistem komputer.
3.
Tahap III Mengembangkan Strategi Keamanan dan Perencanaannya : Dari tahap I dan II diperoleh profil ancaman dan kelemahan infrastruktur sistem jaringan informasi. Pada tahap III ditindaklanjuti dengan merangkum kegiatan sebelumnya menjadi bentuk profil risiko dengan tingkat ukuran risiko (secara kualitatif) yang dikaitkan dengan dampaknya bagi perusahaan serta rencana mitigasi risiko. Pada level pengukuran resiko ditentukan secara subyektifitas asumsi yang dimilki organisasi terhadap level risiko.
8
Gambar Hubungan sumber ancaman dan pengaruhnya terhadap aset.
Dari kondisi diatas metode OCTAVE mendiskripsikan dalam bentuk diagram pohon seperti di bawah ini untuk memudahkan pemetaan sumber ancaman dan pengaruhnya.
Dimana
properti ancaman terdiri dari aset, akses (cara memperoleh informasi), Aktor (pelaku yang berasal dari dalam dan luar), motif (alasan mengakses informasi sengaja atau tidak disengaja) dan
outcome
(pengungkapan informasi, perubahan, perusakkan dan penghilangan serta
gangguan akses informasi).
Gambar Diagram pohon profil ancaman 9
Kesimpulan : Metode ini merupakan metode sangat sederhana yang dirancang untuk memberikan ringkasan yang luas tentang resiko keamanan komputer dan sistem informasi. Metode OCTAVE memberikan panduan secara sistemik dan komprehensif dalam manajemen risiko keamanan informasi. Metode ini lebih menekankan pengelolaan risiko berbasis ancaman (threat) dan kelemahan (vulnerability) terhadap aset-aset informasi organisasi meliputi perangkat keras, lunak, sistem, informasi dan manusia.
10
PERBANDINGAN : Dari ketiga jurnal di atas ada beberapa kesimpulan yang akan menjadi perbandingan : 1. Ketiga jurnal sama-sama mengamati manajemen resiko, hanya saja dari ketiga jurnal tersebut memiliki sasaran yang berbeda-beda, untuk jurnal yang pertama yang menjadi masalahnya pihak manajemen mengalami kesulitan dalam menyampaikan pentingnya untuk menjaga sistem informasi beserta asset-asetnya dalam rangka menjaga keberlanjutan proses bisnis, belum adanya kebijakan mengenai sistem informasi, belum pernah dilakukan penilaian risiko pada sistem informasi yang terdapat di universitas tersebut. Jadi untuk jurnal yang pertama lebih menekankan kepada yang menjadi subjek atau pelaku dari manajemen itu sendiri. Metode yang digunakan pada jurnal yang pertama adalah metode OCTAVE allegro, dalam hal ini yang menfokuskan pada asset informasi dan data yang mendukung informasi tersebut. Kemudian objek yang ditelitinya adalah sistem informasi pada perguruan tinggi. 2. Sedangkan yang ke dua, sebetulnya hampir sama. Metode yang dipakai merupakan metode sangat sederhana yang dirancang untuk memberikan ringkasan yang luas tentang resiko keamanan komputer dan sistem informasi. Metode OCTAVE memberikan panduan secara sistemik dan komprehensif dalam manajemen risiko keamanan informasi. Metode ini lebih menekankan pengelolaan risiko berbasis ancaman (threat) dan kelemahan (vulnerability) terhadap aset-aset informasi organisasi meliputi perangkat keras, lunak, sistem, informasi dan manusia 3. Sedangkan yang ketiga, penilaian risiko hanya berdasarkan kejadian yang bersifat incidental yang diantisifikasi dengan memaksimalkan
peran IT support dan kesadaran dari pustakawan
dalam mengantisipasi berbagai ancaman risiko sistem informasi. Dari ketiga Jurnal di atas, sebetulnya masing-masing memiliki objek teliti yang berbeda-beda, untuk itu, ketiga metode tersebut bias digabungkan untuk mendapatkan suatu metode yang lebih kompleks, sehingga, risiko akan dilihat dari berbagai sudut.
11