bab 2 tinjauan pustakalibrary.binus.ac.id/ecolls/ethesisdoc/bab2/bab 2...yang telah dirangkum atau...
TRANSCRIPT
7
BAB 2
TINJAUAN PUSTAKA
2.1. Data
James O‟Brien (2006) data yaitu fakta atau observasi mentah,
yang biasanya mengenai fenomena fisik atau transaksi bisnis
Rainer dan Cegielski dalam Introduction to Information Systems
Enabling and Transforming Business (2011, p 10 ) data adalah deskripsi
dasar mengenai sesuatu, peristiwa, aktivitas, dan transaksi yang dicatat,
diklasifikasikan, dan disimpan tetapi belum diolah sehingga tidak
mempunyai maksud atau nilai tertentu. Data dapat berupa angka, teks,
figur, suara atau gambar.
McLeod mengatakan bahwa data adalah fakta-fakta dan angka
yang relatif tidak berarti untuk pemakai.
2.2. Aset
Menurut Hidayat (2011) pengertian aset adalah barang atau benda
yang bergerak dan juga tidak bergerak, baik yang
berwujud (tangible) maupun yang tidak berwujud (intangible), dimana
keseluruhan hal tersebut mencakup aset atau harta aset dari suatu
organisasi, instansi, badan usaha, ataupun perorangan.
Epstein dan Jermakowics dalam Wiley International Financical
Reporting Standards (2008, p 56) menyebutkan aset adalah sumber daya
yang diatur oleh perusahaan sebagai hasil dari kejadian masa lalu yang
akan menjadi arus keuntungan ekonomi perusahaan di masa depan.
7
8
Dari penjelasan diatas dapat disimpulkan aset adalah berbagai
bentuk kekayaan perusahaan yang didapat dari arus ekonomi perusahaan
dan diharapkan bisa memberikan keuntungan di masa mendatang untuk
kepentingan arus kas perusahaan di masa depan.
2.3 Informasi
Rainer dan Cegielski dalam Introduction to Information Systems
Enabling and Transforming Business (2011, p 10), informasi adalah data
yang telah diolah sehingga mempunyai maksud dan nilai tertentu bagi para
penggunanya.
Menurut Sawyer dan Williams (2007, p25), informasi adalah data
yang telah dirangkum atau dimanipulasi dalam bentuk lain untuk tujuan
pengambilan keputusan. Misalnya, jumlah suara untuk sebuah kandidat
yang dipakai dalam penentuan pemenang pemilu. Menurut (Mardi, 2011,
p. 4), informasi adalah hasil proses atau hasil pengolahan data, meliputi
hasil gabungan, analisis, penyimpulan dan pengolahan sistem informasi
komputerisasi.
2.4 Sistem Informasi
Pearlson dan Saunders dalam Strategic Management of
Information Systems (2009, p 15-16), Sistem Informasi adalah kombinasi
teknologi, manusia, dan proses di dalam perusahaan untuk memproduksi
dan mengelola informasi.
Menurut Gelinas, Dull, Wheeler (2012: 14) Information System is
a man made system that generally consist of an integrated set of computer
9
based components and manual components established to collect, store,
and manage data, and to provide output information to users.
Sistem informasi merupakan sistem buatan manusia yang secara
umum terdiri dari sekumpulan komponen berbasis komputer yang
terintegrasi dan komponen manual yang ditetapkan untuk mengumpulkan,
menyimpan, dan mengelola data, serta menyediakan keluaran (output)
informasi kepada user.
2.5 Teknologi Informasi
Rainer dan Cegielsky dalam Introduction to Information Systems
Enabling and Transforming Business (2011, p 30), teknologi informasi
adalah alat berbasis komputer yang digunakan oleh manusia untuk
bekerja dengan informasi dan mendukung pengolahan informasi yang
dibutuhkan di dalam organisasi.
2.6 Risiko
Hery (2015, p 100) Risiko adalah pengaruh dari ketidakpastian
terhadap sasaran atau tujuan perusahaan.ISO 31000 (2015), risiko adalah
pengaruh ketidakpastian terhadap pencapaian sasaran atau target
perusahaan. Pengaruh didefinisikan sebagai ketidaksesuaian terhadap
sesuatu yang terlah diperkirakan. Bisa positif dan negatif. Sedangkan
ketidakpastian didefinisikan sebagai kurangnya informasi terkait dengan
suatu peristiwa
Dari penjelasan diatas dapat disimpulkan risiko adalah sebuah
pengaruh dari ketidakpastian yang dapat mempengaruhi suatu kegiatan
10
saat ini atau yang datang yang disebabkan kurangnya suatu informasidari
kegiatan tersebut.
2.7 Manajemen Risiko
Peltier (2005, p 7) manajemen risiko adalah proses yang
memungkinkan manajer bisnis untuk menyeimbangkan biaya operasional
dan ekonomi dengan mengambil langkah-langkah perlindungan dan
mencapai keuntungan dalam misi untuk melindungi proses bisnis yang
mendukung tujuan bisnis atau misi perusahaan. Tujuan dilakukannya Risk
Management adalah untuk mengurangi dampak dari suatu risiko agar bisa
ditangani oleh kemampuan perusahaan.
Dalam penjelasan diatas dapat disimpulkan Risk Management
merupakan suatu elemen penting pada perusahaan dan harus dibentuk dan
dilaksanakan oleh perusahaan agar perusahaan dapat mengambil langkah
untuk menangani risiko.
2.8 Analisa Risiko
Dalam proses untuk melaksanakan Risk Management ada proses
yang disebut Risk Analysis. Menurut Peltier (2005, p 15) pengertian Risk
Analysis atau analisa risiko adalah teknik untuk mengidentifikasi dan
menilai faktor yang dapat menghalangi sebuah projek untuk mencapai
tujuannya. Teknik ini juga dapat membantu mendefinisikan perhitungan
untuk sebuah pencegahan yang dapat mengurangi kemungkinan faktor itu
terjadi dan mengidentifikasi langkah penanganan ketika hal ini terjadi.
11
Dari penjelasan di atas, dapat disimpulkan Risk Analysis
merupakan salah satu langkah yang harus dilakukan dalam Risk
Management. Perusahaan harus melaksanakan tahap ini agar bisa
mendefinisikan risiko dan menilai seberapa besar tingkat risiko akan
terjadi agar bisa dibuat suatu analisa untuk membuat langkah pencegahan
atau mengurangi kemungkinan risiko itu terjadi.
2.9 Metode Penilaian Risiko menggunakan OCTAVE
OCTAVE adalah penilaian strategis berbasis risiko dan teknik
perencanaan untuk keamanan informasi. Hal ini mengarahkan diri sendiri,
yang berarti bahwa orang-orang dari dalam organisasi bertanggung jawab
untuk menetapkan strategi keamanan organisasi. Pendekatan ini
memanfaatkan pengetahuan masyarakat yang berhubungan dengan
keamanan praktek organisasi mereka dan proses untuk menangkap
keadaan saat praktek keamanan dalam organisasi. Risiko terhadap aset
yang paling penting yang digunakan untuk memprioritaskan bidang
perbaikan dan mengatur strategi keamanan untuk organisasi. Berbeda
dengan penilaian teknologi yang berfokus yang ditargetkan pada risiko
teknologi dan fokus pada isu-isu taktis, OCTAVE ditargetkan pada risiko
organisasi dan terfokus pada strategi, praktik-isu terkait. Ini adalah
evaluasi fleksibel yang dapat disesuaikan untuk sebagian besar
organisasi. Ketika menerapkan OCTAVE, sebuah tim kecil dari unit
operasional atau bisnis dan departemen TI bekerja bersama untuk
12
membentuk tim analisis dan kebutuhan keamanan organisasi yang
bertugas
a. Mengidentifikasi aset informasi penting
b. Fokus pada kegiatan analisis risiko atas aset kritis
c. Mempertimbangkan hubungan antara aset kritis, ancaman
terhadap aset- aset dan kerentanan (baik organisasi dan
teknologi) yang dapat mengekspos aset untuk ancaman
d. Mengevaluasi risiko dalam konteks operasional, yaitu,
bagaimana aset penting yang digunakan untuk melakukan bisnis
organisasi dan bagaimana mereka berisiko karena ancaman
keamanan dan kerentanan
e. Menciptakan praktik berbasis strategi perlindungan untuk
perbaikan organisasi serta mitigasi resiko berencana untuk
mengurangi risiko terhadap aset kritis organisasi
Carrali, Stevens, Young, Wilson, William R. (2007, p 1)
menyatakan OCTAVE adalah suatu metodologi untuk mengidentifikasi
dan mengevaluasi risiko pada keamanan informasi dan bertujuan untuk
membantu organisasi dalam:
1. Membentuk penilaian risiko secara kualitatif dan menjelaskan
toleransi risiko pada kegiatan operasional
2. Identifikasi aset penting dan berhubungan dengan misi organisasi
3. Identifikasi kerentanan dan ancaman pada aset tersebut
4. Menentukan dan menilai konsekuensi dari kemungkinan ancaman
itu terjadi
13
Metode OCTAVE merupakan singkatan dari Operationally
Critical Threat, Asset, and Vulnerability Evaluation. Metode OCTAVE
melakukan penilaian risiko berdasarkan pada tiga prinsip dasar
administrasi keamanan, yaitu: confidentiality, integrity, availability.
Mengacu kepada tabel yang sudah dibuat oleh Stephanus (2014)
pada jurnalnya. Terdapat beberapa perbedaan dari pendekatan metode
OCTAVE dan metode lain.
Tabel 2.1 Perbedaan Antara Metode OCTAVE dan Metode Lain
Sumber: (Stephanus, 2014)
OCTAVE Metode Lain
Terdapat beberapa tingkatan dalam Tidak memiliki fase peningkatan dari
manajemen risiko sistem informasi manajemen risiko sistem informasi
(CRAMM, CORAS) (Bornman
&Labuschagne, 2006)
Terdapat prosedur formal untuk Tidak ada prosedur formal untuk proses
proses menerima risiko menerima risiko (CRAMM, CORAS)
(Bornman &Labuschagne, 2006)
Fokus kepada evaluasi risiko sistem Fokus kepada proses membangun tata
informasi kelola IT perusahaan (COBIT) (Bornman
&Labuschagne, 2006)
Menyatakan manusia merupakan aset Tidak menyatakan manusia sebagai aset
dalam mengevaluasi risiko sistem dalam mengevaluasi risiko sistem informasi
informasi (Alberts,
Dorofee, Stevens, & Woody, 2005)
Berdasarkan tabel diatas dapat disimpulkan bahwa OCTAVE
memiliki beberapa keunggulan dibanding metode manajemen risiko yang
lain. OCTAVE memiliki tingkatan yang bertahap dalam pelaksanaannya,
14
prosedur yang bisa diikuti, dan fokus untuk mengevaluasi risiko sistem
informasi. Tabel diatas juga menyatakan kalau manusia merupakan aset
yang perlu dievaluasi dalam mengelola risiko sistem informasi. Hakemi
(2014) juga menyatakan kalau metode OCTAVE merupakan metode
analisa risiko yang cocok dan bisa digunakan di tipe studi kasus apa pun.
OCTAVE mempunyai dua varian yang sering dipakai yaitu
OCTAVE S dan OCTAVE Allegro dalam melakukan penilaian risiko..
Menurut (A., Stevens, & Woody, 2005), OCTAVE-S is a variation of the
approach tailored to the limited means and unique constrains typically
found in small organizations (less than 100 people). Dapat diartikan
OCTAVE-S adalah variasi dan pendekatan OCTAVE yang
dikembangkan untuk kebutuhan organisasi yang kecil (kurang dari 100
orang). Untuk mengelola risiko terhadap keamanan sistem informasi,
maka perlu dilakukan analisa risiko untuk mengurangi kerugian-kerugian
yang mungkin terjadi. Salah satu metode analisa risiko keamanan sistem
informasi suatu organisasi atau perusahaan adalah metode OCTAVE-S
(The Operationally Critical Threat, Asset, and Vulnerability Evaluation)-
Small yang mampu mengelola risiko perusahaan dengan mengenali
risiko-risiko yang mungkin terjadi pada perusahaan dan membuat rencana
penanggulangan dan mitigasi terhadap masing-masing risiko yang telah
diketahui.
Sedangkan OCTAVE Allegro merupakan suatu metode varian
modern yang berkembang dari metode octave yang dimana berfokus
pada aset informasi. Seperti metode octave sebelumnya, octave allegro
15
bisa ditampilkan di workshop-style, collaborative setting, tetapi octave
allegro juga cocok untuk individu yang ingin menampilkan penaksiran
yang berisiko tanpa keterlibatan organisasi yang luas, keahlian, dan
masukan-masukan. Fokus utama dari octave allegro adalah aset
informasi, aset lain yang penting dari organisasi adalah identifikasi dan
penaksiran yang berdasarkan pada aset informasi yang terhubung dengan
aset-aset organisasi tersebut.
2.10 Metode Penilaian Risiko OCTAVE Allegro
Keating (2014) menyatakan metode penilaian risiko OCTAVE
Allegro dibuat oleh Carnegie Mellon University Software Engineering
Institute (SEI) yang memiliki kemampuan untuk memberikan hasil
penilaian risiko yang kuat, dengan investasi yang relatif kecil dalam
waktu dan sumber daya, bahkan untuk organisasi-organisasi yang tidak
memiliki keahlian manajemen risiko yang luas.
Menurut Macek & Ivkovic, (2011) OCTAVE Allegro dapat
dilakukan dengan panduan lembar kerja dan panduan kuesioner yang
sudah terdapat dalam lampiran OCTAVE Allegro. Salah satu kelebihan
OCTAVE Allegro selain cocok untuk digunakan oleh individu yang
ingin melakukan penilaian risiko yang komprehensif tanpa keterlibatan
yang luas dari organisasi, ahli atau sumber daya.
Caralli et.al., (2007, p 4), OCTAVE Allegro merupakan salah
satu pendekatan OCTAVE yang dapat digunakan untuk penilaian risiko
pada lingkungan operasional dengan tujuan membuat hasil yang lebih
16
kuat tanpa membutuhkan pengetahuan tentang penilaian risiko secara
berlebihan. Pendekatan ini berfokus bagaimana informasi tentang aset
ini digunakan, lokasinya, di proses, dan bagaimana aset tersebut bisa
bertemu dengan ancaman yang menghasilkan kerusakan. Kata allegro:
(al-leg-ro) berarti dalam tempo yang cepat dan lincah. Hal ini
menggambarkan kinerja OCTAVE Allegro yang lincah dan cepat.
Metode OCTAVE merupakan singkatan dari the Operationally
Critical Threat, Aset, and Vulnerability Evaluation. Metode OCTAVE
melakukan penilaian risiko berdasarkan pada tiga prinsip dasar Jurnal
Pustakawan Indonesia Volume 14 No. 1 15 administrasi keamanan,
yaitu: confi- dentiality, integrity, availability. OCTAVE mempunyai dua
varian, yaitu OCTAVE- S dan OCTAVE Allegro. Kata allegro: (al-leg-
ro) berarti dalam tempo yang cepat dan lincah. Hal ini menggambarkan
kinerja OCTAVE Allegro yang lincah dan cepat. Keating (2014)
menyatakan metode penilaian risiko OCTAVE Allegro dibuat oleh
Carnegie Mellon University Software Engineering Institute (SEI) yang
memiliki kemampuan untuk memberikan hasil penilaian risiko yang
kuat, dengan investasi yang relatif kecil dalam waktu dan sumber daya,
bahkan untuk organisasi-organisasi yang tidak memiliki keahlian
manajemen risiko yang luas. OCTAVE Allegro dapat dilaku- kan dalam
bentuk workshop, setting bersama yang didukung dengan panduan,
lembar kerja, dan kuesioner, yang terdapat dalam lampiran OCTAVE
Allegro. Salah satu kelebihan OCTAVE Allegro selain cocok untuk
digunakan oleh individu yang ingin melakukan penilaian risiko yang
17
komprehensif tanpa keterlibatan yang luas dari organisasi, ahli atau
sumber daya yang ada juga memiliki kelebihan lainnya yaitu OCTAVE
Allegro direkomendasikan untuk peniaian risiko container informasi
(Macek & Ivkovic, 2011).
Metode OCTAVE memiliki tiga jenis yaitu OCTAVE,
OCTAVE-S dan OCTAVE Allegro. OCTAVE merupakan seperangkat
peralatan, teknik dan metode untuk penilaian dan perencanaan keamanan
sistem informasi berbasis risiko. OCTAVE Allegro merupakan metode
yang disederhanakan yang fokus pada aset informasi. OCTAVE Allegro
dapat dilakukan dengan metoda workshop-style dan kolaboratif.
Penggunaan metode OCTAVE Allegro lebih ditujukan kepada
sebuah penilaian yang lebih luas terhadap lingkungan operasional dari
sebuah organisasi, dengan harapan melalui metode ini akan memperoleh
hasil yang lebih baik tanpa pengetahuan yang lebih luas dalam
melakukan proses penilian risiko. Fokus OCTAVE Allegro lebih kepada
aset informasi dalam hal bagaimana aset tersebut digunakan, disimpan,
dipindahkan dan diolah serta bagaimana aset informasi tersebut terkena
ancaman, kerentanan, dan gangguan sebagai hasil yang ditimbulkan.
OCTAVE Allegro memiliki 4 besaran aktivitas dengan 8 langkah dan 21
aktivitas. Berikut gambar aktivitas dari metode OCTAVE Allegro:
18
Gambar 2.1 Langkah – Langkah OCTAVE Allegro
19
1. Membangun Kriteria Pengukuran Risiko.
Langkah ini terdapat dua kegiatan, diawali dengan membangun
organizational drivers digunakan untuk mengevaluasi dampak
risiko pada misi dan tujuan bisnis, serta mengenali impact area
yang paling penting. Kegiatan 1 yaitu membuat definisi ukuran
kualitatif yang di dokumentasikan pada Risk Measurement
Criteria Worksheets. Kegiatan dua melakukan pemberian nilai
prioritas impact area menggunakan Impact Area Ranking
Worksheet.
2. Mengembangkan Profil Aset Informasi
Terdiri dari delapan kegiatan, diawali dengan
identifikasi aset informasi selanjutnya dilakukan penilaian
risiko terstruktur pada aset yang kritis. kegiatan tiga dan empat
mengumpulkan i nformasi mengenai information aset yang
penting di lanjutkan dengan membuat dokumentasi alasan
pemilihan aset informasi kritis. Kegiatan lima dan enam
membuat deskripsi aset informasi kritis kemudian
mengidentifikasi kepemilikan dari aset informasi kritis
tersebut. Kegiatan tujuh mengisi kebutuhan keamanan untuk
confidentiality, integrity dan availaibility. Kegiatan delapan
mengidentifikasi kebutuhan keamanan yang paling penting
untuk aset informasi.
20
3. Mengidentifikasi Kontainer dari Aset Informasi
Hanya ada satu kegiatan pada langkah tiga, perhatikan
tiga poin penting terkait dengan keamanan dan konsep dari
kontainer aset informasi yaitu cara aset informasi dilindung,
tingkat perlindungan atau pengaman aset informasi dan
kerentanan serta ancaman terhadap kontainer dari aset
informasi.
4. Mengidentifikasi Area Masalah
Kegiatan pada langkah empat yaitu diawali dengan
pengembangan profil risiko dari aset informasi dengan cara
bertukar pikiran untuk mencari komponen ancaman dari situasi
yang mungkin mengancam aset informasi. Dengan
berpedoman pada dokumen Information Asset Risk
Environment Maps dan Information Asset Risk Worksheet
maka dapat dicatat area of concern. Berpedoman pada
dokumen Information Asset Risk Worksheet lakukan review
dari kontainer untuk membuat Area of Concern dan
mendokumentasikan setiap Area of Concern.
5. Mengidentifikasi Skenario Ancaman
Kegiatan satu pada langkah lima yaitu melakukan
identifikasi skenario ancaman tambahan pada aktivitas ini
dapat menggunakan Threat Scenarios Questionnaries.
21
Kegiatan dua melengkapi Information Asset Risk Worksheets
untuk setiap threat scenario yang umum.
6. Mengidentifikasi Risiko
Kegiatan satu pada langkah 6 menentukan threat
scenario yang telah di dokumentasikan di Information Asset
Risk Worksheet dapat memberikan dampak bagi instansi.
7. Menganalisis Risiko
Kegiatan harus dilakukan mengacu pada dokumentasi
yang terdapat pada Information Asset Risk Worksheet. Kegiatan
satu dimulai dengan melakukan review risk measurement
criteria dilanjutkan dengan kegiatan kedua menghitung nilai
risiko relatif yang dapat digunakan untuk menganalisis risiko
dan memutuskan strategi terbaik dalam menghadapi risiko.
8. Memilih Pendekatan Pengurangan Resiko
Kegiatan satu pada langkah delapan yaitu mengurutkan
setiap risiko yang telah diidentifikasi berdasarkan nilai
risikonya. Hal ini dilakukan untuk membantu dalam
pengambilan keputusan status mitigasi risiko tersebut.
Kegiatan dua melakukan pendekatan mitigasi untuk setiap
risiko dengan berpedoman pada kondisi yang unik di instansi
tersebut.
Berdasarkan studi yang sudah dilakukan dapat
disimpulkan bahwa OCTAVE Allegro memiliki beberapa
22
keunggulan yang dapat digunakan untuk melakukan penilaian
manajemen risiko antara lain
1. OCTAVE Allegro tidak membutuhkan keahlian atau
pengetahuan yang lebih dalam pelaksanaannya.
2. Hasil penilaian risiko yang kuat namun tidak
membutuhkan investasi besar dari sisi sumber daya dan
waktu untuk pelaksanaannya.
3. Bisa dilakukan oleh individu yang ingin melakukan
penilaian risiko yang komprehensif.
4. Berfokus untuk menilai bagaimana aset informasi itu
ditempatkan, digunakan, dan diproses sehingga
penilaian risiko bisa lebih akurat.
Disisi lain terdapat metode OCTAVE yang
dikembangkan sebelum OCTAVE Allegro. Ada metode
OCTAVE dan ada metode OCTAVE-S kedua metode ini
dikembangkan oleh Carnegie Mello University Software
Engineering Institute (SEI). Menurut Alberts (2003) metode
OCTAVE merupakan metode terstruktur untuk tim analisis yang
memerlukan pengetahuan mengenai IT dan isu keamanannya.
Metode ini juga memerlukan pikiran terbuka dan pendekatan
dengan brainstorming untuk mengumpulkan dan menganalisa
informasi. Metode OCTAVE-S menawarkan metode yang lebih
terstruktur. Konsep keamanan sudah diterapkan dalam lembar
kerja OCTAVE-S. Memungkinkan seseorang yang tidak
23
memiliki banyak pengalaman dapat menggunakan metode ini
dengan mengikuti tahapan dan panduan yang sudah dijelaskan
pada metode OCTAVE-S.
Berdasarkan studi mengenai metode OCTAVE dapat
dibuatkan suatu perbandingan sebagai berikut
Tabel 2.2 Perbandingan Metode OCTAVE, OCTAVE-S, OCTAVE Allegro
B
e
r
d
a
b
e
r
d
a
s
a
r
k
B
e
r
d
a
OCTAVE OCTAVE-S OCTAVE Allegro
Membutuhkan keahlian Menjelaskan Tidak membutuhkan
dan pengetahuan tentang konsep keamanan pengetahuan atau keahlian
IT dan keamanan IT yang sudah tentang penilaian risiko
(Alberts et,al 2003) dijelaskan dalam secara berlebihan (Caralli
panduan metode et,al 2007)
OCTAVE-S
(Alberts et,al 2003)
Membutuhkan suatu tim Membutuhkan Cocok digunakan oleh
dan membutuhkan 1 orang suatu tim dengan individu yang ingin
yang memiliki pengetahuan melakukan penilaian risiko
kemampuan untuk mendalam tentang secara komprehensif
menjalankan infrastruktur perusahaan (Alberts (Macek & Ivkovic, 2011)
IT (Alberts et,al 2003) et,al 2003)
Cocok untuk perusahaan Cocok untuk Berfokus ke bagaimana aset
yang mengelola perusahaan yang sistem informasi itu dikelola
infrastruktur IT-nya mengalih dayakan baik internal atau eksternal
sendiri (Alberts et,al fungsi IT (Alberts (Caralli et,al 2007)
2003) et,al 2003)
24
Berdasarkan tabel diatas, maka dapat disimpulkan bahwa
OCTAVE Allegro merupakan metode yang cocok untuk digunakan
untuk menganalisa risiko sistem informasi pada SIAS SMK Bina
Prestasi Balikpapan
2.11. Penelitian Sebellumnya Yang Menggunakan Metode
Octave Allegro
1. Penelitian yang dilakukan oleh Gunawan, Merry, Nelly (2011, Vol. 5,
No. 1), bertujuan mengidentifikasi risiko teknologi informasi
perusahaan, untuk menilai semua risiko, dan mengambil tindakan
keamanan untuk pemecahan masalah menggunakan OCTAVE-S.
Metode yang digunakan dengan mengumpulkan data dan metode
analisis. Pengumpulan data dilakukan dengan kajian pustaka dan studi
lapangan melalui wawancara dan observasi
2. Penilitian yang dilakukan oleh Deni, dkk (2013) membahas tentang
manajemen risiko sistem informasi Akademik pada perguruan
tinggi.Metode yang digunakan pada penelitiannya adalah metode
OCTAVE-Allegro. Penelitian yang di lakukan fokus pada analisis
risiko aset informasi pada Sistem Informasi Akademik (SIA).
Dari hasil perhitungan nilai risiko pada system informasi akademi
berdasarkan relative risk score menunjukkan bahwa kesalahan pada
jumlah data nilai yang dilakukan staff administrasi kemahasiswaan
menghasilkan nilai dari reputasi dan kepercayaan
pelanggan/mahasiswa adalah 10 (Medium), Finansial adalah 4 (Low),
25
Produktivitas adalah 9 (High), Keamanan adalah 1 (Low) dengan total
score 24
3. Penilaian Risiko Kerawanan Informasi Dengan Menggunakan Metode
Octave Allegro Rosini , Meutia Rachmaniah , Badollahi Mustafa
Mahasiswa Pascasarjana IPB Program Studi Magister Teknologi
Informasi Penelitian ini berusaha mendeskripsikan hasil kajian dari
setiap tahap atau lembar kerja yang diadopsi dari metode OCTAVE
allegro dalam menilai potensi kerawanan di Perpustakaan X. Penilaian
risiko pada dasarnya merupakan proses identifikasi terhadap aset
informasi, ancaman, dan kerawanan. Dengan menggunakan metode
OCTAVE Allegro maka hasil penilaian risiko dapat dilakukan.
Perpustakaan X memiliki 10 aset yang dianggap kritis. Tiga aset
dimiliki oleh Ka UPT Perpustakaan. Satu aset dimiliki Kasub unit
layanan administrasi yaitu Data koleksi baru. Satu aset milik Kasub
unit pengolahan. Dua aset milik Kasub unit layanan sirkulasi. Sisanya
tiga aset milik oleh Kasub Unit Referens. Pemilik aset informasi disini
merupakan para pengelola yang bertanggungjawab terhadap
kelangsungan dan keamanan aset informasi di Perpustakaan X. Pada
10 aset informasi yang ada pada Perpustakaan X terdokumentasi ada
10 aset yang memiliki integritas. Sembilan aset informasi kritis
memiliki kerahasiaan. Tujuh aset yang memiliki ketersediaan. Serta
ada dua aset yang memiliki karakteristik kepemilikan (possession).
Lima aset informasi dinyatakan integritas sebagai syarat keamanan
terpenting pada aset informmasi Mahasiswa Pascasarjana IPB Program
26
Studi Magister Teknologi Informasiasi. Sedangkan sisanya lima aset
dinyatakan ketersediaan sebagai persyaratan keamanan yang paling
penting. Area of concern merupakan salah satu ancaman bagi aset
informasi dimana terdapat sebanyak 52 area of concern yang berasal
dari 10 aset informasi. Pelaku ancaman terhadap aset informasi di
Perpustakaan X dibagi dalam 3 kategori. Kategori internal
Perpustakaan X terc Usakti ada 13 pelaku dan sisanya ada 2 pelaku
dari kategori eksternal. Skenario ancaman yang dapat menyebabkan
aset informasi menjadi terbuka (disclosure) terdapat pada 7 area of
concern, menyebabkan rusak (destruction) terdapat pada 27 area of
concern, menyebabkan perubahan (modification) ada pada 6 area of
concern, dan yang dapat menyebabkan layanan terganggu
(interruption) ada pada 34 area of concern. Peluang yang paling sedikit
adalah Kategori siding yaitu sebanyak 16 probabilitas,kategori
tinggi sebanyak 17 probabilitas, dan kategori rendah sebanyak 19
probabilitas. Ada 62 konsekuensi dari 52 area of concern jika skenario
ancaman terjadi. Konsekuensi yang terbanyak ada pada dokumen
elektronik koleksi X-ana, yaitu dari 6 area of concern menghasilkan 10
konsekuensi, Gambaran tingkat kerawanan informasi berdasarkan
matriks nilai risiko relatif berada pada kategori 3 atau tingkat cukup.
Untuk mengatasi berbagai kera- wanan informasi yang ada,
Perpustakaan X perlu menyesuaikan pengurangan risiko yang
dilakukan pada masing- masing area of concern yang disebut kontrol
atau kendali risiko. Dari hasil penilaian risiko ini, yang dapat
27
dilakukan adalah mengurangi atau menghilangkan risiko (mitigate)
sebanyak 21 area of concern, memindahkan risiko (transfer) atau
mitigate sebanyak 16 area of concern, menunda risiko (defer) sebanyak
12 area of concern, dan menerima risiko (accept) atau menunda
sebanyak 3 area of concern. atat ada 14 pelaku, kategori internal
4. Manajemen Risiko Sistem Informasi Akademik pada Perguruan Tinggi
Menggunakan Metoda Octave Allegro Deni Ahmad Jakaria , R. Teduh
Dirgahayu , Hendrik Magister Informatika, Seminar Nasional Aplikasi
Teknologi Informasi (SNATI) 2013 Yogyakarta, 15 Juni 2013
Penelitian ini akan mengamati layanan akademik berbasis web pada
salah satu Perguruan Tinggi. Penelitian ini memfokuskan pada
identifikasi, analisis dan penilaian risiko Sistem Informasi Akademik
berbasis web pada Perguruan Tinggi menggunakan metoda OCTAVE
Allegro. Saat ini belum banyak institusi yang melakukan risk
assessment pada sistem informasi yang digunakan. Di satu sisi sistem
informasi telah menjadi bagian yang sulit dipisahkan pada hampir
setiap proses bisnis di institusi tersebut. Dengan demikian jika terdapat
gangguan pada sistem informasi maka dapat mengganggu
keberlangsungan proses bisnis institusi yang bersangkutan.
OCTAVE Allegro merupakan salah satu metoda manajemen risiko
sistem informasi yang dapat diterapkan pada perguruan tinggi tanpa
memerlukan keterlibatan yang ekstensif di dalam organisasi dan
difokuskan pada aset informasi yang kritis bagi keberlangsungan
organisasi dalam mencapai misi dan tujuannya. Penilaian risiko dapat
28
memberikan gambaran mengenai kemungkinan adanya ancaman pada
aset kritikal dan mengambil langkah – langkah pencegahan yang tepat
untuk meminimalkan kemungkinan ancaman tersebut terjadi. Dari
hasil penilaian risiko maka pembuat kebijakan dapat membuat
perencanaan strategis untuk menjaga aset informasi kritikal secara
tepat serta langkah – langkah pemulihan jika skenario ancaman benar –
benar.