universitas indonesia evaluasi pengelolaan risiko...

UNIVERSITAS INDONESIA

EVALUASI PENGELOLAAN RISIKO TEKNOLOGI

INFORMASI (TI) PADA INSTANSI PEMERINTAH:

STUDI KASUS DIREKTORAT JENDERAL

KEPENDUDUKAN DAN PENCATATAN SIPIL

KEMENTERIAN DALAM NEGERI

KARYA AKHIR

SIGIT SAMAPTOAJI

1206194915

FAKULTAS ILMU KOMPUTER

PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI

JAKARTA

JANUARI 2014

Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014

UNIVERSITAS INDONESIA

EVALUASI PENGELOLAAN RISIKO TEKNOLOGI

INFORMASI (TI) PADA INSTANSI PEMERINTAH:

STUDI KASUS DIREKTORAT JENDERAL

KEPENDUDUKAN DAN PENCATATAN SIPIL

KEMENTERIAN DALAM NEGERI

KARYA AKHIR

Diajukan sebagai salah satu syarat untuk memperoleh gelar

Magister Teknologi Informasi

SIGIT SAMAPTOAJI

1206194915

FAKULTAS ILMU KOMPUTER

PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI

JAKARTA

JANUARI 2014


ii


iii


iv

KATA PENGANTAR

Puji syukur saya panjatkan kepada Allah SWT, atas berkat dan rahmat-Nya,

penulis dapat menyelesaikan Karya Akhir ini yang berjudul “Evaluasi

Pengelolaan Risiko Teknologi Informasi (TI) pada Instansi Pemerintah : Studi

Kasus Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian

Dalam Negeri”. Saya menyadari bahwa, tanpa bantuan dan bimbingan dari

berbagai pihak, dari masa perkuliahan sampai pada penyusunan karya akhir ini,

sangatlah sulit bagi saya untuk menyelesaikannya. Oleh karena itu, saya

mengucapkan terima kasih kepada:

1. Bapak Yudho Giri Sucahyo, M.Kom., Ph.D., dan Bapak Ivano Aviandi,

B.Sc., M.Sc., selaku dosen pembimbing yang telah menyediakan waktu,

tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan karya

akhir ini;

2. Bapak Dr. Achmad Nizar Hidayanto, selaku Ketua Program Studi

Magister Teknologi Informasi;

3. Bapak/Ibu Pimpinan Ditjen Dukcapil yang telah memberikan kesempatan

belajar yang diberikan kepada saya;

4. Bapak Ir. Sugiharto, M.Si, Direktur Pengelolaan Informasi Administrasi

Kependudukan (DPIAK) yang telah memberikan rekomendasi, dukungan,

dan saran;

5. Bapak Dr. Ir. H. Husni Fahmi, MSEE, Bapak Drs. Bambang Supriyanto,

Bapak Erikson P. Manihuruk, S.Kom., M.Si., dan Bapak Ir. Tri Sampurno

atas dukungan yang diberikan;

6. Ibu Anny, Bapak Mudhopar, Ibu Rona, Ibu Roch, Hera, Ekos, Asep, Dyta,

serta rekan-rekan DPIAK khususnya dan Ditjen Dukcapil umumnya

terima kasih atas masukan, dukungan dan pengertiannya selama ini;

7. Segenap staf dan karyawan Magister Teknologi Informasi yang telah

membantu saya dalam penyelesaian karya akhir ini;

8. Bapak, Ibu, Ibu mertua, dan keluarga besar saya yang tiada henti

mendoakan saya;


v

9. Istri tercinta Ayudhia Paramesti, SE, dan putra tercinta saya, Ahza

Samudhia Pranaja, yang telah menjadi belahan hidup, penyemangat,

inspirasi dan tiada henti memberikan dukungan moral, semangat dan doa

untuk saya;

10. Segenap rekan-rekan MTI-UI 2012SA, terima kasih untuk kebersamaan

dan dukungan selama ini;

11. Pihak-pihak lain yang tidak bisa saya sebutkan satu persatu.

Akhir kata saya berharap agar karya akhir ini dapat memberikan manfaat,

terutama bagi Direktorat Jenderal Kependudukan dan Pencatatan Sipil,

Kementerian Dalam Negeri, instansi pemerintah lainnya dan akademisi.

Jakarta, 7 Januari 2014

Penulis


vi


vii Universitas Indonesia

ABSTRAK

Nama : Sigit Samaptoaji

Program Studi : Magister Teknologi Informasi

Judul : Evaluasi Pengelolaan Risiko Teknologi Informasi (TI) pada

Instansi Pemerintah: Studi Kasus Direktorat Jenderal

Kependudukan dan Pencatatan Sipil Kementerian Dalam

Negeri

Salah satu program flagship Dewan Teknologi, Informasi dan Komunikasi (TIK)

Nasional (DeTIKNas) berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu

Nomor Identitas Nasional (NIN). NIN ini merupakan komponen inti pada

blueprint TIK Indonesia tentang e-Government. Pelaksana program ini adalah

Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil),

Kementerian Dalam Negeri. Nomor Induk Kependudukan (NIK) merupakan

bentuk pelaksanaan program NIN. Pada tahun 2011-2012 dilaksanakan pelayanan

penerapan KTP Elektronik (e-KTP) di seluruh wilayah Indonesia. Ditjen Dukcapil

tidak terlepas dari penggunaan Teknologi Informasi (TI) untuk menghasilkan

informasi dan memberikan pelayanan TIK yang berkualitas.

Penggunaan TI selain meningkatkan kecepatan dan keakuratan informasi serta

pelayanan TIK, juga meningkatkan berbagai jenis risiko. Tingginya tingkat

ketergantungan organisasi terhadap layanan TIK untuk menjalankan Tugas Pokok

dan Fungsi menjadi hal penting diperlukannya manajemen risiko TI untuk

mengurangi dan menanggulangi risiko-risiko yang mungkin terjadi sehingga

kerugian bisnis organisasi dapat diminimasi.

Pada karya akhir ini, peniliti mencoba menyusun profil risiko TI, langkah-langkah

mitigasi dan penanggulangan risiko TI pada pelayanan penerapan e-KTP. Standar

manajemen risiko TI yang digunakan framework RiskIT.

Hasil dari penelitian ini berupa profil risiko TI, langkah mitigasi beserta

rekomendasi pengendalian terhadap risiko tersebut dan prosedur penanggulangan

risiko TI yang sudah terjadi.

Kata Kunci: Risiko TI, Manajemen Risiko, RiskIT


viii Universitas Indonesia

ABSTRACT

Nama : Sigit Samaptoaji

Program Studi : Magister of Information Technology

Judul : Evaluation of IT Risk Management In Government

Agencies: Case Study of Directorate General of Population

and Civil Registration Ministry of Home Affairs

One of the flagship programs Dewan Teknologi, Informasi dan Komunikasi (TIK)

Nasional (DeTIKNas) by the Keputusan Presiden No. 20 Tahun 2006 is National

Identity Number (NIN). NIN is a core component of the Indonesian Information

and Communication Technology (ICT) blueprint on e-Government. Implementing

this program is Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen

Dukcapil), Ministry of Home Affairs. Nomor Induk Kependudukan (NIK) is a

form of program implementation NIN. Implemented in 2011-2012 Electronic

Identity Card application services (e-KTP) in all parts of Indonesia. Ditjen

Dukcapil is inseparable from the use of Information Technology (IT) to generate

information and provide a quality ICT services.

The use of IT in addition to improving the speed and accuracy of information and

ICT services, also increases the risk of various types . The high level of

dependence on ICT services organization to run the main tasks and functions

become important need for IT risk management to reduce and mitigate the risks

that may occur so that the organization's business losses can be minimized.

At the end of this work, researchers try to construct profiles of IT risk, mitigation

measures and mitigation of IT risks in the implementation of e-ID card service. IT

risk management standards used RiskIT framework.

The results of this study in the form of IT risk profile, mitigation measures and

recommendations to control the risk and IT risk management procedures that have

been happening.

Keywords: IT Risks, IT Risk Management, RiskIT


ix Universitas Indonesia

DAFTAR ISI

HALAMAN PERNYATAAN ORISINALITAS ................................................ ii

HALAMAN PENGESAHAN .............................................................................. iii

KATA PENGANTAR .......................................................................................... iv

HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA

AKHIR UNTUK KEPENTINGAN AKADEMIS ............................................. vi

ABSTRAK ........................................................................................................... vii

ABSTRACT ........................................................................................................ viii

DAFTAR ISI ......................................................................................................... ix

DAFTAR GAMBAR ............................................................................................ xi

DAFTAR TABEL ............................................................................................... xii

DAFTAR LAMPIRAN ...................................................................................... xiii

BAB 1 PENDAHULUAN ................................................................................... 1 1.1 Latar Belakang ......................................................................................... 1

1.2 Perumusan Masalah .................................................................................. 4

1.3 Ruang Lingkup Masalah .......................................................................... 6

1.4 Tujuan Penelitian ...................................................................................... 7

1.5 Manfaat Penelitian .................................................................................... 7

1.6 Sistematika Penulisan ............................................................................... 7

BAB 2 TINJAUAN PUSTAKA ......................................................................... 9

2.1 Risiko TI ................................................................................................... 9

2.2 Manajemen Risiko TI ............................................................................. 10

2.3 Profil Risiko TI ....................................................................................... 11

2.4 RiskIT ..................................................................................................... 12

2.4.1 Prinsip RiskIT ................................................................................ 15

2.4.2 Identifikasi Risiko RiskIT ............................................................. 16

2.4.3 Analisis Risiko RiskIT .................................................................. 20

2.4.4 Respon Risiko TI ........................................................................... 22

2.4.5 Mendeskripsikan dan Mengkespresikan Risiko ............................ 23

2.4.6 Mengekspresikan Frekuensi .......................................................... 24

2.4.7 Mengekspresikan Dampak ............................................................ 24

2.4.8 Risk map dan Risk Register ........................................................... 25

2.5 Kerangka Kerja COBIT .......................................................................... 26

2.6 Kerangka Kerja NIST Special Publication 800-300 .............................. 28

2.7 Perbandingan Kerangka Kerja ................................................................ 31

2.8 Penelitian Studi Kasus (Case Study Research) ...................................... 32

2.9 Perbandingan Penelitian Sebelumnya .................................................... 33

2.10 Kerangka Penelitian ............................................................................... 35

BAB 3 METODOLOGI PENELITIAN ......................................................... 37 3.1 Metode Pengumpulan Data .................................................................... 37

3.2 Tahapan Penelitian ................................................................................. 37

BAB 4 PROFIL ORGANISASI ....................................................................... 41 4.1 Tugas, Fungsi dan Kewenangan Ditjen Dukcapil .................................. 41

4.2 Visi dan Misi Ditjen Kependudukan dan Pencatatan Sipil .................... 44

4.3 Tujuan Organisasi Ditjen Dukcapil ........................................................ 48

4.4 Struktur Organisasi Ditjen Dukcapil ...................................................... 49


x Universitas Indonesia

4.5 Direktorat Pengelolaan Informasi Administrasi Kependudukan ............ 49

BAB 5 PENETAPAN KONTEKS DAN SKENARIO RISIKO TI .............. 51 5.1 Menetapkan Level dan Cakupan Aset TI ............................................... 52

5.1.1 Penetapan Proses Kerja dan Aset TI Prioritas ............................... 53

5.2 Menentukan Skenario Risiko TI ............................................................. 55

5.3 Menentukan Parameter Probabilitas/Likelihood/Kecenderungan .......... 58

5.4 Menentukan Parameter Dampak ............................................................ 58

5.5 Menentukan Standar Rating Risiko ........................................................ 60

BAB 6 PENILAIAN RISIKO .......................................................................... 62 6.1 Metodologi Penilaian Risiko .................................................................. 63

6.2 Pengisian Template Risiko Aset Informasi ............................................ 64

6.3 Pengisian Form Kompilasi Analisis Risiko ........................................... 64

6.4 Pengukuran Efektivitas Kontrol ............................................................. 65

6.5 Validasi Hasil Kompilasi Analisis Risiko .............................................. 65

6.6 Analisis Hasil Kompilasi Analisis Risiko .............................................. 65

6.7 Hasil Penilaian Risiko ............................................................................ 65

6.7.1 Daftar Risiko TI ............................................................................. 66

6.7.2 Hasil Penilaian Risiko Terhadap Inherent Risk ............................. 67

6.7.3 Hasil Penilaian Risiko Terhadap Residual risk ............................. 69

BAB 7 STRATEGI DAN LANGKAH MITIGASI ........................................ 74

BAB 8 KESIMPULAN DAN SARAN ............................................................. 83 8.1 Kesimpulan ............................................................................................. 83

8.2 Saran ....................................................................................................... 84

DAFTAR PUSTAKA .......................................................................................... 85


xi Universitas Indonesia

DAFTAR GAMBAR

Gambar 1.1 Analisis Masalah dengan Diagram Fishbone ...................................... 6

Gambar 2.1 Risiko TI di dalam Hirarki Risiko Organisasi ..................................... 9

Gambar 2.2. Kerangka Kerja RiskIT .................................................................... 14

Gambar 2.3 Prinsip RiskIT ................................................................................... 16

Gambar 2.4 Pembangunan Skenario Risiko TI ..................................................... 17

Gambar 2.5 Faktor-Faktor Risiko TI .................................................................... 18

Gambar 2.6 Komponen Skenario Risiko .............................................................. 20

Gambar 2.7 Proses Analisis Risiko ....................................................................... 21

Gambar 2.8 Proses Respon Risiko ........................................................................ 22

Gambar 2.9 Inherent Risk, Current Risk dan Residual risk .................................. 24

Gambar 2.10 Skala Probabilitas ............................................................................ 24

Gambar 2.11 Skala Dampak ................................................................................. 25

Gambar 2.12 Risk map .......................................................................................... 26

Gambar 2.13 Kerangka Kerja COBIT 4.1 ............................................................ 27

Gambar 2.14 IT Governance Focus Areas ............................................................ 28

Gambar 2.15 Framework NIST Special Publication 800-30 ................................ 30

Gambar 2.16 Perbandingan dan Standar Manajemen Risiko TI ........................... 31

Gambar 2.17 Theoritical Framework ................................................................... 36

Gambar 3.1 Metodologi Penelitian ....................................................................... 38

Gambar 4.1 Struktur Organisasi DPIAK .............................................................. 50

Gambar 5.1 Jaringan Komunikasi Data Penerapan e-KTP ................................... 51

Gambar 5.2 Proses Kerja Utama Penerapan e-KTP di Ditjen Dukcapil ............... 52

Gambar 6.1 Metodologi Penilaian Risiko ............................................................. 63


xii Universitas Indonesia

DAFTAR TABEL

Tabel 2.1 Contoh Profil Risiko TI Bank ABC ...................................................... 12

Tabel 2.2 Domain RiskIT ...................................................................................... 15

Tabel 2.3 Mapping Generic IT Risk Scenario ke Proses COBIT ......................... 19

Tabel 2.4 Perbandingan Penelitian Sebelumnya ................................................... 33

Tabel 5.1 Proses Kerja dan Aset TI Prioritas ........................................................ 53

Tabel 5.2 Hasil Pemetaan Aset TI ke Skenario Risiko TI .................................... 55

Tabel 5.3 Parameter Probabilitas/Likelihood/Kecenderungan .............................. 58

Tabel 5.4 Standar Parameter Dampak ................................................................... 58

Tabel 5.5 Matriks Risiko ....................................................................................... 60

Tabel 5.6 Matriks Nilai Risiko .............................................................................. 61

Tabel 6.1 Rekapitulasi Risiko Berdasarkan Aset .................................................. 66

Tabel 6.2 Rekapitulasi Risiko Berdasarkan Skenario Risiko TI ........................... 66

Tabel 6.3 Hasil Penilaian Risiko Inherent Risk Kategori Aset ............................. 68

Tabel 6.4 Hasil Penilaian Risiko Inherent Risk Kategori Skenario Risiko ........... 68

Tabel 6.5 Hasil Penilaian Risiko Residual risk Kategori Aset ............................. 70

Tabel 6.6 Hasil Penilaian Risiko Residual risk Kategori Skenario Risiko ........... 70


xiii Universitas Indonesia

DAFTAR LAMPIRAN

Lampiran 1 : Template Risiko Aset Informasi ...................................................... 87

Lampiran 2 : Form Kompilasi Analisis Risiko ................................................... 112

Lampiran 3 : Form Pengukuran Efektivitas Kontrol .......................................... 124

Lampiran 4 : Profil Risiko TI .............................................................................. 140

Lampiran 5 : Transkrip Wawancara .................................................................... 157


1 Universitas Indonesia

BAB 1

PENDAHULUAN

Bab ini membahas mengenai latar belakang, perumusan masalah, ruang lingkup

masalah, manfaat penelitian dan sistematika penulisan pada penelitian ini.

1.1 Latar Belakang

Pesatnya perkembangan Teknologi Informasi dan Komunikasi (TIK) di Indonesia

sangat mempengaruhi berbagai aspek kehidupan masyarakat saat ini.

Perkembangan tersebut telah banyak diimplementasikan baik di sektor korporat

maupun pemerintahan. Implementasi TIK pada sektor pemerintahan yang lebih

dikenal dengan sebutan e-Government diharapkan dapat membantu Pegawai

Negeri Sipil (PNS) dalam percepatan proses pelayanan baik kepada masyarakat

maupun kepada PNS itu sendiri.

Salah satu program flagship Dewan Teknologi, Informasi dan Komunikasi

Nasional berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu Nomor

Identitas Nasional (NIN). NIN ini merupakan komponen inti pada blueprint TIK

Indonesia tentang e-Government. Pelaksana program ini adalah Direktorat

Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil), Kementerian

Dalam Negeri. Nomor Induk Kependudukan (NIK) merupakan bentuk

pelaksanaan program NIN.

Administrasi Kependudukan adalah rangkaian kegiatan penataan dan penertiban

dalam penerbitan dokumen dan data kependudukan melalui pendaftaran

penduduk, pencatatan sipil, pengelolaan informasi administrasi kependudukan

serta pendayagunaan hasilnya untuk pelayanan publik dan pembangunan sektor

lain. Menurut Undang-Undang Dasar (UUD) 1945 Pasal 26 ayat (3) menyatakan

bahwa “Hal-hal mengenai Warga Negara dan Penduduk diatur dengan Undang-

Undang” sehingga disusun Undang-Undang (UU) No. 23 tahun 2006 tentang

Administrasi Kependudukan. Direktorat Jenderal Kependudukan dan Pencatatan

Sipil (tata nama sebelumnya Direktorat Jenderal Administrasi Kependudukan)

memiliki visi yaitu “Tertib Administrasi Kependudukan dengan Pelayanan Prima

Menuju Penduduk Berkualitas Tahun 2015.” Berdasarkan Permendagri No. 41


2

Universitas Indonesia

Tahun 2010 tentang Organisasi dan Tata Kerja Kementerian Dalam Negeri

(Kemdagri), Pasal 382 ayat (1) menyatakan bahwa Direktorat Jenderal

Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil) merupakan unsur

pelaksana Kementerian Dalam Negeri di bidang kependudukan dan pencatatan

sipil.

Pemerintah melaksanakan Program Penerapan Kartu Tanda Penduduk (KTP)

berbasis Nomor Induk Kependudukan (juga disebut KTP Elektronik atau e-KTP)

secara nasional pada tahun 2011 dan 2012 berdasarkan Perpres No. 26 Tahun

2009 tentang Penerapan KTP Berbasis NIK Secara Nasional. Selanjutnya

diterbitkan Perpres No. 35 Tahun 2010 tentang Perubahan Atas Perpres No. 26

Tahun 2009 bahwa Penerapan e-KTP paling lambat akhir tahun 2012 dan Perpres

No. 67 Tahun 2011 tentang Perubahan Kedua Atas Perpres No. 29 Tahun 2009

bahwa e-KTP Berlaku Secara Nasional di Seluruh Wilayah Negara Kesatuan

Republik Indonesia (NKRI).

Dalam pelaksanaan tertib administrasi kependudukan, Ditjen Dukcapil telah,

sedang dan secara terus menerus mengumpulkan, mengolah dan menyimpan serta

menyajikan sejumlah informasi terkait kependudukan kepada para pemangku

kepentingan (stakeholders).

Sistem Informasi/Teknologi Informasi (SI/TI) memiliki peranan dan fungsi

strategis di Ditjen Dukcapil karena berada dari level kecamatan, kabupaten/kota,

provinsi sampai dengan Pusat, yaitu:

1. Pada aplikasi Sistem Informasi Administrasi Kependudukan (SIAK) SI/TI

berperan penting pada proses penerimaan data dari 497 kabupaten/kota ke

Pusat (Data Center Kalibata). Sedangkan pada aplikasi e-KTP SI/TI

berperan penting pada proses penerimaan data dari 6.234 kecamatan ke

Pusat (Data Center Medan Merdeka Utara);

2. SI/TI berperan dalam integrasi database antara database aplikasi e-KTP

dengan SIAK;

3. SI/TI berperan dalam penyediaan/penyajian data melalui data warehouse

(DWH) dan web service data kependudukan;


3


4. SI/TI memiliki peranan dalam menentukan tingkat keamanan dan

kerahasiaan data dan informasi. Misalnya digunakannya jaringan VPN web

service data kependudukan, penggunaan username dan password pada web

service dan DWH data kependudukan, dan Key Management System (KMS)

pada pengelolaan data e-KTP.

Berdasarkan peranan dan fungsi SI/TI tersebut di atas tidak bisa dipungkiri bahwa

ketergantungan terhadap TI sangat tinggi, TI dipergunakan untuk tersedianya

informasi dan layanan yang berkualitas. Hal tersebut digunakan oleh semua pihak

yang dilayani baik pihak internal maupun eksternal. Pihak internal adalah seluruh

unit kerja yang ada di Ditjen Dukcapil sedangkan pihak eksternal meliputi

penduduk yang melakukan perekaman di daerah (kecamatan dan kabupaten/kota)

dan kementerian/lembaga (K/L) yang memanfaatkan data kependudukan.

Berdasarkan Undang-Undang No. 23 Tahun 2006 Pasal 1 ayat (22) menyatakan

bahwa Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat,

dan dijaga kebenaran serta dilindungi kerahasiaannya. Risiko kebocoran informasi

menyebabkan kehancuran reputasi organisasi dan berimplikasi pada pidana.

Risiko tersebut bisa saja berasal dari TI karena peranan TI sangat penting dalam

proses pengelolaan data dan informasi.

Penggunaan TI selain meningkatkan kecepatan dan keakuratan informasi serta

pelayanan TIK, juga meningkatkan berbagai jenis risiko yang dapat berpengaruh

negatif terhadap pencapaian target organisasi. Ketergantungan organisasi terhadap

TI semakin memperbesar dampak risiko TI bagi organisasi sehingga dapat

dikatakan bahwa risiko terkait TI merupakan hal yang harus dijalani dan dipahami

sebagai risiko organisasi itu sendiri. Risiko yang timbul sebagai akibat dari

implementasi TI dapat menyebabkan proses kerja yang tidak optimal, kerugian

finansial, menurunnya reputasi organisasi, atau bahkan hancurnya organisasi.

Direktorat Pengelolaan Informasi Administrasi Kependudukan (DPIAK)

merupakan direktorat dalam bidang TI yang memiliki peranan penting untuk

mencapai keberhasilan implementasi fungsi SI/TI dengan melaksanakan kegiatan

pengembangan, pengelolaan, dan pengendalian kualitas operasional, infrastruktur,

layanan, dan keamanan TI. Dalam melaksanakan kegiatan mendukung dan


4


memberi nilai tambah proses kerja, tidak pernah bebas dari dan harus selalu

berhadapan dengan kemungkinan timbulnya berbagai macam gangguan TI.

Apabila gangguan tersebut tidak ditangani secara serius, selain menimbulkan

risiko operasional, juga mempengaruhi risiko reputasi dan berdampak pada

menurunnya tingkat kepercayaan publik. Oleh sebab itu, perlu dilakukan

pengelolaan terhadap risiko tersebut.

Untuk pengelolaan risiko TI diperlukan Kerangka Kerja Manajemen Risiko TI (IT

Risk Management Framework), RiskIT sebagai salah satu kerangka kerja

manajemen risiko bisa dipertimbangkan dan diterapkan oleh Ditjen Dukcapil yang

serius dalam memanfaatkan TI sebagai salah satu komponen penting untuk

mencapai tujuan organisasi.

1.2 Perumusan Masalah

Beberapa program kegiatan DPIAK dalam Renstra Ditjen Dukcapil adalah

sebagai berikut:

1. Terbangunnya dan beroperasinya SIAK dan database kependudukan

berbasis nomor induk kependudukan (NIK) nasional di Kabupaten/Kota,

Provinsi dan Nasional secara online dan real time database kependudukan

SIAK yang tersambung (online) dengan provinsi dan nasional;

2. Terhubungnya instansi/lembaga yang sistem database-nya relasional

dengan database kependudukan melalui koneksitas NIK; dan

3. Terekamnya foto dan sidik jari dan penerapan Kartu TP berbasis NIK secara

Nasional (e-KTP) bagi penduduk wajib KTP.

Kegiatan pelayanan TI tidak dapat terhindar dari gangguan atau kerusakan yang

disebabkan oleh alam maupun manusia misalnya terjadi gempa bumi, kebakaran,

banjir, listrik, serangan virus komputer, kesalahan teknis, kelalaian manusia dan

sebagainya. Kerusakan yang terjadi tidak hanya berdampak pada kemampuan

teknologi yang digunakan, tetapi juga berdampak pada kegiatan operasional

pelayanan.

Beberapa kejadian yang pernah terjadi terkait operasional pada tahun belakangan

ini antara lain:

1. Kegagalan Listrik;


5


Pada tahun 2012 sudah terjadi kegagalan listrik dari PLN yang tidak bisa

mensuplai ke UPS sehingga dukungan listrik pada Data Center (DC) e-KTP

di Medan Merdeka Utara (MMU) terganggu yang menyebabkan beberapa

server dimatikan sehingga layanan TI untuk sementara waktu tidak

berfungsi. Hal ini menyebabkan tersendatnya aliran data hasil perekaman e-

KTP dari kecamatan ke Pusat (DC MMU).

2. Terputusnya Jaringan Komunikasi Data;

Sampai saat ini masih terdapat wilayah (kecamatan dan kabupaten/kota)

yang mengalami putus sambung terkait jaringan komunikasi data, sehingga

terjadi pengendapan data. Selain itu beberapa kementerian/lembaga terkait

koneksitas NIK masih mengalami kendala jaringan komunikasi data yang

putus sambung.

3. Virus komputer;

Serangan virus merupakan ancaman terhadap aset TI dengan probabilitas

yang cukup tinggi. Penggunaan anti virus sudah dilakukan namun

kesadaran kewaspadaan terhadap virus yang masih perlu ditingkatkan.

Adanya gangguan operasional TI mendorong pentingnya pengelolaan risiko.

Untuk pengelolaan risiko salah satunya harus memiliki daftar IT Risk Profile

(profil risiko TI). Dengan mengetahui profil risiko TI, unit kerja DPIAK dapat

mengoptimalkan manfaat dan mengurangi dampak risiko akibat penggunaan TI

dalam menjalankan tugas pokok dan fungsi (Tupoksi) mendukung proses kerja

Ditjen Dukcapil. DPIAK diharapkan dapat menyusun IT Risk Profile secara

lengkap dan mitigasi terhadap risiko tersebut sebagai salah satu langkah terpadu

untuk menjamin keberlangsungan layanan agar tetap dapat berfungsi dengan baik.

Pada saat ini, belum pernah dilakukan proses penilaian dan mitigasi risiko TI

terkait aset TI. Untuk itu perlu dilakukan evaluasi pengelolaan risiko TI agar

dampak kerugian yang ditimbulkan oleh penggunaan TI dapat diminimalisasi.

Rumusan permasalahan yang ingin diteliti adalah Apa saja profil risiko dan

langkah mitigasi terhadap risiko TI?

Analisis lebih lanjut dengan menggunakan diagram fishbone sebagai berikut:


6


Gangguan pelayanan

penerapan e-KTP

yang relatif tinggi

SDM

Kebijakan

Panduan yang kurang lengkap

Sistem

Aplikasi e-KTP masih belum

kompatibel

Belum ada SDM yang mampu

memberikan penyelesaian

yang cepat

Kurangnya pelatihan

SDM

Belum ada pengelolaan

risiko TI

Jarkomdat masih ada masalah

dan terus diperbaharui

Gambar 1.1 Analisis Masalah dengan Diagram Fishbone

Berdasarkan Gambar di atas beberapa akar masalah penyebab gangguan

pelayanan penerapan e-KTP yang relatif tinggi yaitu:

1. Kurangnya pelatihan sumber daya manusia (SDM);

2. Belum adanya SDM yang mampu memberikan penyelesaian yang cepat;

3. Aplikasi e-KTP masih ada masalah dan terus diperbaharui;

4. Jaringan komunikasi data masih ada masalah;

5. Panduan yang kurang lengkap;

6. Belum ada pengelolaan risiko TI.

Ditjen Dukcapil pada saat ini belum melakukan pengelolaan risiko TI sehingga

diharapkan Ditjen Dukcapil melakukannya dengan menggunakan standar

manajemen risiko TI yang ada. Pengelolaan risiko TI meningkatkan kinerja TI

serta dapat menurunkan dampak kerugian yang ditimbulkan oleh risiko yang ada.

1.3 Ruang Lingkup Masalah

Ruang lingkup masalah pada penelitian ini adalah sebagai berikut:

1. Penelitian ini menggunakan metode penelitian studi kasus yang

dilaksanakan pada Ditjen Dukcapil, Kementerian Dalam Negeri;

2. Penelitian ini menggunakan kerangka kerja RiskIT sebagai acuan di dalam

menyusun IT Risk Profile pada Direktorat Pengelolaan Informasi


7


Administrasi Kependudukan (DPIAK). Domain RiskIT yang digunakan

Risk Evaluation (RE) dan Risk Response (RR);

3. Penelitian ini hanya berfokus pada risiko aset untuk pelayanan penerapan e-

KTP khususnya Data Center e-KTP di Ditjen Dukcapil;

4. Penelitian ini tidak mencantumkan biaya mitigasi risiko.

1.4 Tujuan Penelitian

Penelitian ini bertujuan menyusun profil risiko TI sebagai salah satu langkah

untuk melakukan pengelolaan risiko TI dengan menggunakan standar manajemen

risiko TI yang ada, sehingga dampak risiko terhadap organisasi dapat diperkecil.

Dengan penelitian ini diharapkan:

1. Memberikan kontribusi dalam alokasi dan penggunaan sumber daya yang

lebih efisien;

2. Melindungi dan meningkatkan nilai aset dan citra organisasi.

1.5 Manfaat Penelitian

Adapun manfaat dari penelitian ini sebagai berikut:

1. Bagi Ditjen Dukcapil dapat menerapkan kerangka kerja manajemen risiko

TI RiskIT untuk mengelola risiko TI secara efektif. Sehingga organisasi

dapat memastikan bahwa peluang untuk menciptakan nilai tidak hilang

karena keinginan untuk menghindari semua risiko;

2. Bagi instansi pemerintah lain dapat dijadikan usulan atau rekomendasi

sebagai kerangka kerja manajemen risiko TI di lingkungannya masing-

masing;

3. Bagi dunia pendidikan yaitu memberikan kontribusi bagi perkembangan

bidang IT Risk Management.

1.6 Sistematika Penulisan

Penulisan Karya Akhir ini ditulis secara sistematis dan terdiri atas bab-bab

sebagai berikut:

1. Pada Bab I dijelaskan tentang latar belakang, rumusan masalah, batasan

penelitian, tujuan penelitian dan manfaat penelitian;


8


2. Pada Bab II dijelaskan dasar-dasar teori, metodologi yang digunakan untuk

menjawab pertanyaan penelitian ini. Selain itu dijelaskan tinjauan pustaka

dari berbagai penelitian yang berhubungan dengan penelitian ini;

3. Pada Bab III dijelaskan tahapan-tahapan dari metodologi yang digunakan

dalam penelitian ini;

4. Pada Bab IV berisi profil organisasi Ditjen Dukcapil dan DPIAK yang

digunakan sebagai obyek penelitian;

5. Pada Bab V berisi penetapan konteks dan aset TI yang menjadi obyek

manajemen risiko TI. Aset TI yang sudah dipilih menjadi dasar untuk

menentukan skenario risiko TI organisasi;

6. Pada Bab VI menjelaskan tentang penilaian risiko pada aset yang

mendukung proses kerja utama Ditjen Dukcapil. Penilaian risiko ini

meliputi identifikasi skenario risiko, analisis dan respon terhadap risiko

tersebut. Proses penilaian risiko TI ini untuk menghasilkan profil risiko TI;

7. Pada Bab VII ini berisi tentang strategi dan langkah mitigasi pada risiko

yang diprioritaskan dengan mitigasi risiko yang memperhatikan kecukupan

aspek People, Process dan Technology (manusia, proses dan teknologi);

8. Pada Bab VIII berisi kesimpulan dan saran dari hasil penelitian yang telah

dilakukan.



BAB 2

TINJAUAN PUSTAKA

Bab ini membahas mengenai teori terkait dengan metode yang digunakan di

dalam penelitian, yaitu mengenai risiko TI, manajemen risiko TI dan model

pengujiannya.

2.1 Risiko TI

Risiko TI adalah risiko organisasi yang diakibatkan oleh penggunaan TI dalam

organisasi, terdiri atas semua kejadian terkait TI yang berpotensi memiliki

dampak pada organisasi (ISACA, 2009). Perspektif umum lingkup risiko TI

semakin berkembang, tidak hanya terkait dengan operasional organisasi tetapi

risiko secara keseluruhan pada organisasi tersebut.

Gambar 2.1 Risiko TI di dalam Hirarki Risiko Organisasi

(Sumber: ISACA, 2009, RiskIT Framework)

Risiko dan Value merupakan dua sisi mata uang yang berbeda, tetapi perusahaan

atau organisasi perlu untuk memastikan bahwa peluang (opportunity) untuk

menciptakan nilai tidak hilang karena keinginan untuk mengeliminasi seluruh

risiko, harus ada keseimbangan.

Menurut ISACA (2009) risiko TI dikategorikan menjadi tiga yaitu sebagai

berikut:

1. IT Benefit/Value Enablement Risk


10


Terkait dengan (hilangnya) opportunity penggunaan teknologi bagi

peningkatan efisiensi dan efektifitas proses bisnis atau sebagai enabler bagi

inisiatif bisnis baru.

2. IT Program and Project Delivery Risk

Terkait dengan kontribusi TI bagi solusi bisnis baru atau memperbaiki

solusi bisnis dalam bentuk proyek atau program.

3. IT Operations and Service Delivery Risk

Terkait dengan seluruh aspek kinerja sistem dan layanan TI, yang dapat

merusak atau mereduksi nilai organisasi atau perusahaan.

2.2 Manajemen Risiko TI

Manajemen risiko TI merupakan proses identifikasi risiko, penilaian risiko, dan

pengambilan langkah-langkah untuk menurunkan risiko sampai tingkatan yang

dapat diterima (Stoneburner, 2002).

Menurut Westerman (2007) manajemen risiko adalah proses identifikasi,

pengkajian, pengembangan strategi mitigasi dan komunikasi risiko TI yang

berpotensi merugikan atau berdampak negatif terhadap organisasi. Mekanisme

kontrol dan pengukuran kinerja manajemen risiko TI yang dilakukan oleh semua

pihak secara efektif dapat memilih risiko mana yang harus diberi perhatian dan

risiko mana yang dapat diterima pada level risiko dan organisasi memfokuskan

pada risiko yang benar-benar penting.

Sedangkan menurut IT Governance, IT Audit dan IT Security (dalam Spremic,

2008), manajemen risiko TI adalah proses untuk memahami dan memberikan

respon terhadap faktor-faktor yang dapat menyebabkan kegagalan dalam

autentikasi, non-repudiation, kerahasiaan, integritas atau ketersediaan dari sistem

informasi.

Symantec (2007) dalam laporannya yang berjudul Symantec Risk Management

Report mengatakan bahwa manajemen risiko memerlukan kompetensi dan

investasi yang tepat untuk mendukung proses di dalamya. Manajemen risiko TI

menggunakan mekanisme kontrol yang terdefinisi dengan baik, dikombinasikan


11


dengan teknologi dan proses yang saling mendukung. Hal ini tentunya perlu

didukung teknologi yang tepat.

Manajemen risiko TI bukanlah hal yang mudah, merupakan hal penting untuk

menjaga keseimbangan dalam proses manajemen risiko yang cukup sulit dan

menghabiskan banyak waktu. Memerlukan keahlian, keuletan, latihan dan

perbaikan secara terus menerus namun demikian hasil usaha yang dikerjakan pada

tahap ini, memberikan masukan yang berharga bagi perusahaan atau organisasi

dalam menghadapi tantangan bisnis masa depan. Meskipun secara umum metode

manajemen risiko yang berbeda-beda sehingga diperlukan manajemen risiko

secara khusus. Terkait dengan pemerintah yang memberikan layanan publik,

dampak dari risiko dapat diukur tidak hanya secara ekonomi, namun juga

pengaruh sosial.

Sesuai dengan kebijakan yang tertuang di dalam Permenkominfo nomor 41 tahun

2007, bahwa dalam rangka melakukan tata kelola TI oleh institusi pemerintahan

perlu dilakukan manajemen risiko yang mencakup risiko proyek, risiko atas

informasi dan risiko atas keberlangsungan layanan (Permenkominfo, 2007).

2.3 Profil Risiko TI

Profil risiko merupakan gambaran keseluruhan risiko organisasi yang berguna

untuk usulan pelaporan. Profil risiko ini mengacu pada data risk register, hasil

analisis risiko dan indikator kinerja.

Pengukuran risiko TI berguna untuk mengetahui profil risiko, analisis terhadap

risiko, kemudian melakukan respon terhadap risiko tersebut sehingga dampak

yang ditimbulkan dapat diperkecil. Profil risiko menampilkan tingkatan risiko

dalam bentuk matriks kecenderungan atau probabilitas (likelihood) dan dampak

(impact). Tugas yang harus dilakukan adalah identifikasi profil risiko (aset,

ancaman terhadap aset, kebutuhan kontrol untuk aset dan deskripsi tentang

dampak risiko terhadap organisasi) dan identifikasi informasi organisasi

(kebijakan, standar operasional prosedur, kelemahan teknologi dan organisasi saat

ini).

Tabel 2.1 merupakan contoh dari hasil risk assessment yang dilakukan bank ABC.

IT risk profile memuat key process, potensi gangguan yang mungkin terjadi (risk


12


issue) serta kontrol yang dilakukan sebagai mitigasi dari risiko terkait (control

design). Setiap risiko juga didefinisikan parameter likelihood yang

menggambarkan kemungkinan risiko terjadi dan parameter impact yang

menggambarkan seberapa besar akibat dampak risiko yang terjadi.

Tabel 2.1 Contoh Profil Risiko TI Bank ABC

Key

Process

Risk

Issue

Control

Design

Inherent Risk

Likelihood Impact Rating

1 2 3 4 5 6

Uji Coba

DRP

Kesiapan

petugas

level

operasiona

l saat

terjadi

disaster

1. Dilakukan

simulasi DRP

2. Sosialisasi

melalui

program

awareness

3. Dokumentasi

prosedur

lengkap

Likely Major Very

high

Pengelo-

laan

menu

user

pada

aplikasi

green

screen

Kesalahan

pemberian

fitur menu

pada user

1. Penerapan

mekanisme

Dual Custody

untuk level OS

dan aplikasi

2. Verifikasi

kesesuaian

antara user

privilege di

sistem dengan

reporting user

ID

administration

Possible High Very

high

(Sumber: Christiyono, 2011, IT Risk Profile Bank ABC)

2.4 RiskIT

RiskIT merupakan kerangka kerja manajemen risiko TI yang didasarkan pada

prinsip-prinsip standar enterprise risk management (ERM) seperti COSO dan

AS/NZS 4360. RiskIT dikembangkan oleh IT Governance Institute (ITGI), yang

merupakan bagian dari Information System Audit and Control Association

(ISACA). RiskIT dan ValIT dapat dijadikan pelengkap COBIT untuk memberikan

pedoman implementasi tata kelola TI. Meskipun demikian RiskIT tidak

membutuhkan penggunaan COBIT ataupun ValIT. RiskIT tidak hanya terbatas


13


pada aspek keamanan informasi saja, tetapi mencakup semua risiko-risiko yang

terkait dengan TI termasuk yang berhubungan dengan sebagai berikut:

1. Keterlambatan penyelesaian proyek;

2. Tidak tercapainya value TI sebagaimana diharapkan;

3. Pemenuhan (compliance);

4. Tidak adanya keselarasan TI dengan kepentingan bisnis;

5. Arsitektur TI yang kadaluarsa ataupun tidak fleksibel;

6. Masalah-masalah dalam penyelenggaraan layanan TI.

RiskIT menjawab kebutuhan sebuah kerangka kerja manajemen risiko yang

komprehensif dan sangat erat terhubung dengan tujuan organisasi. Standar dan

kerangka kerja yang lain bersifat terlalu umum misalnya berorientasi ERM

ataupun terlalu fokus yang efektif dalam sebuah organisasi sehingga RiskIT

memberi manfaat bagi organisasi yaitu untuk:

1. Memberikan panduan untuk membantu eksekutif dan manajemen dalam

mengajukan pertanyaan, membuat keputusan yang lebih baik yang

berdasarkan pengetahuan risiko yang dimiliki dan memandu organisasi agar

dapat mengelola risiko secara efektif;

2. Menghemat waktu, biaya dan usaha dengan alat bantu untuk mengelola

risiko organisasi;

3. Mengintegrasikan manajemen risiko bisnis yang terkait TI ke dalam

manajemen risiko organisasi secara keseluruhan;

4. Memberikan panduan praktis bagi organisasi dalam mengelola risiko terkait

TI;

5. Membawa semua aspek dari risiko TI, termasuk value, perubahan

ketersediaan (availability), project dan pemulihan (recovery);

6. Terhubung dengan konsep dan pendekatan manajemen risiko organisasi

seperti COSO, ERM dan ISO;


14


7. Menawarkan sebuah pandangan yang tunggal dan terpadu tentang risiko

bisnis terkait TI, risiko yang dapat mengakibatkan perusahaan kehilangan

pendapatan atau kesempatan bernilai jutaan dollar per tahun.

ISACA (2009) menjabarkan tiga domain manajemen risiko TI yang membantu

organisasi menentukan risiko keseluruhan organisasi, merespon terhadap risiko,

baik yang belum terjadi maupun yang sudah terjadi dan mengevaluasi risiko. Tiga

domain tersebut yaitu: Risk Governance (RG), Risk Evaluation (RE) dan Risk

Response (RR) yang masing-masing memiliki tiga proses sebagai aktivitas kunci

utamanya yang dapat dilihat pada Gambar 2.2. Esensi Risk Governance meliputi

tanggung jawab dan akuntabilitas untuk risiko, risk appetite dan toleransi risiko,

kesadaran atas risiko dan komunikasi dan budaya risiko. Esensi Risk Evaluation

meliputi skenario risiko dan penjelasan dampak terhadap bisnis. Esensi Risk

Response meliputi Key Risk Indicators (KRIs), definisi Risk Response dan

prioritisasi.

Gambar 2.2. Kerangka Kerja RiskIT


Ketiga domain utama pada RiskIT, dijabarkan pada Tabel 2.2. sebagai

berikut:


15


Tabel 2.2 Domain RiskIT

Domain Goals

Risk Governance (RG) sebagai

mekanisme kontrol tata kelola risiko

TI.

RG1: Establish and maintain a

common risk view

RG2: Integrate with ERM

RG3: Make risk-aware business

decisions

Esensi RG:

a. Tanggung jawab dan

akuntabilitas untuk risiko

b. Risk appetite dan toleransi risiko

c. Kesadaran atas risiko dan

komunikasi

d. Budaya risiko

Memastikan bahwa praktik

manajemen risiko TI

terimplementasi di organisasi secara

optimal berdasarkan risk adjusted

return

Risk Evaluation (RE)

RE1: Collect data

RE2: Analyze risk

RE3: Maintain risk profile

Esensi RE:

a. Skenario Risiko

b. Penjelasan dampak terhadap

bisnis

Memastikan bahwa risiko TI serta

opportunity penciptaan value

teridentifikasi dan teranalisis dengan

baik.

Risk Response (RR) sebagai

mekanisme komunikasi dan strategi

mitigasi risiko TI

RR1: Articulate Risk

RR2: Manage Risk

RR3: React to events

Esensi RR:

a. Key Risk Indicators (KRIs)

b. Definisi Risk Response dan

prioritisasi

Memastikan adanya respon yang

cost-effective dan berbasis prioritas

bisnis terhadap kemungkinan

terjadinya risiko TI.

(Sumber: ISACA, 2009, RiskIT Framework, “telah diolah kembali”)

2.4.1 Prinsip RiskIT

RiskIT didefinisikan dan didasarkan pada sejumlah prinsip-prinsip panduan untuk

efektivitas manajemen risiko TI. Prinsip-prinsip ini didasarkan pada prinsip ERM

yang umum diterima dimana telah diterapkan pada domain TI. Model proses

RiskIT seperti yang diperlihatkan dalam Gambar 2.3 dirancang dan disusun untuk


16


memungkinkan organisasi menerapkan prinsip-prinsip dalam RiskIT untuk

standar kinerja. Berikut prinsip-prinsip sebagai berikut:

1. Selalu terhubung dengan obyektif perusahaan;

2. Menyelaraskan manajemen risiko bisnis terkait TI dengan manajemen risiko

perusahaan secara keseluruhan;

3. Menyeimbangkan biaya dan manfaat dalam mengelola risiko;

4. Mendukung terjalinnya komunikasi yang terbuka dan sehat tentang risiko

TI;

5. Menghasilkan pendapat yang tepat dari top management sambil menetapkan

dan menguatkan akuntabilitas personal untuk beroperasi dalam tingkatan

toleransi yang dapat diterima dan terdefinisi dengan baik;

6. Memahami bahwa hal ini merupakan proses yang berkelanjutan dan bagian

yang penting dalam aktivitas keseharian.

Gambar 2.3 Prinsip RiskIT


2.4.2 Identifikasi Risiko RiskIT

Dalam melakukan identifikasi risiko TI, RiskIT memberikan panduan melalui

Generic IT Risk Scenario yang berisi 36 high level skenario terkait TI. Sebuah

skenario risiko TI adalah deskripsi dari suatu peristiwa terkait TI yang dapat

menyebabkan dampak bisnis, ketika dan jika itu harus terjadi (RiskIT, ISACA

2009). Salah satu tantangan manajemen risiko TI adalah mengidentifikasi relevan


17


dan pentingnya semua risiko yang dapat memungkinkan mengarah pada

kegagalan TI atau terkait TI. Salah satu teknik untuk menjawab tantangan tersebut

adalah menggunakan dan membangun skenario risiko yang dapat dilihat pada

Gambar 2.4. Skenario risiko merupakan bagian panduan RiskIT untuk

mengidentifikasi risiko. Secara umum, proses identifikasi risiko menurut RiskIT

dapat dilihat pada Tabel 2.3, dimana High-level Risk Scenario digunakan dan

dibandingkan dengan tujuan organisasi yang ada, dalam hal ini tentu tujuan

organisasi Ditjen Dukcapil. Skenario risiko dapat didorong melalui dua cara

pendekatan yaitu:

1. Pendekatan Top-Down

Organisasi memulai dari keseluruhan tujuan organisasi kemudian

melakukan analisis risiko TI yang paling relevan dan memungkinkan

skenario risiko tersebut berdampak pada tujuan organisasi.

2. Pendekatan Bottom-Up

Generic IT Risk Scenario digunakan untuk menetapkan skenario yang lebih

konkrit untuk disesuaikan, diterapkan pada situasi organisasi.

Gambar 2.4 Pembangunan Skenario Risiko TI


Skenario risiko yang sudah ditetapkan dapat digunakan untuk analisis risiko

dimana probabilitas dan dampak skenario dinilai. Komponen terpenting dalam


18


penilaian ini adalah faktor risiko seperti ditunjukkan dalam Gambar 2.5. Faktor

risiko diklasifikasikan dalam dua kategori utama yaitu:

1. Faktor Lingkungan

Dibagi menjadi dua kelompok, yaitu faktor eksternal dan internal.

Perbedaannya terletak pada tingkatan pengendaliannya. Faktor internal di

bawah kontrol organisasi sedangkan faktor eksternal di luar organisasi.

Faktor-faktor internal dimaksud antara lain adalah sumber daya manusia,

keuangan, kompetensi, proses, sistem dan teknologi. Selain itu faktor-faktor

arus atau aliran informasi dan proses pengambilan keputusan, pemangku

kepentingan internal, persepsi, nilai dan budaya organisasi, tujuan dan

strategi saat ini, struktur organisasi, serta governance. Faktor-faktor

eksternal yang perlu dipertimbangkan terkait dengan potensi risiko yang

dihadapi antara lain adalah budaya, hukum, politik, regulasi, keuangan,

ekonomi, tingkat kompetisi baik regional maupun internasional.

2. Faktor Kemampuan

Kemampuan organisasi mengelola secara baik aktivitas terkait TI dengan

memanfaatkan tiga kerangka kerja dari ISACA yaitu manajemen risiko TI

(RiskIT), kapabilitas organisasi memperbaiki proses TI (COBIT) dan

kapabilitas organisasi meningkatkan nilai TI (ValIT).

Gambar 2.5 Faktor-Faktor Risiko TI



19


Tabel 2.3 Mapping Generic IT Risk Scenario ke Proses COBIT

No. High-level Risk Scenario

Keterangan IT Processes Capabilities (COBIT) IT Value Management Processes Capabilities (Val IT)

Plain and Organize

(PO)

Acquire and

Implement (AI)

Deliver and

Support (DS)

Monitor and

Evaluate (ME)

Value Governance

(VG)

Programme Management

(PM)

Investment Management

(IM)

1. IT programme selection Pemilihan proyek-proyek TI yang mendukung target organisasi

PO1, PO2, PO3

AI1, AI3 ME1, ME3

VG1, VG2, VG3, VG5

PM1, PM4, PM5

2. New technologies Adanya perkembangan teknologi baru yang bisa bermanfaat

PO1, PO2, PO3

AI1, AI3 ME1 VG3 PM1, PM4

3. Technology selection Pemilihan jenis teknologi yang diimplementasikan dalam proyek TI

PO2, PO3 AI1, AI3 ME1 IM1, IM2

dan seterusnya.


20


2.4.3 Analisis Risiko RiskIT

Analisis risiko adalah estimasi aktual probabilitas dan dampak skenario risiko

pada bisnis. Seperti yang telah didefiniskan pada bagian skenario risiko TI, yang

berupa deskripsi dari suatu peristiwa atau kejadian terkait TI yang dapat

berdampak pada bisnis, maka tahapan berikutnya adalah menganalisis risiko-

risiko tersebut untuk mengetahui probabilitas, dampak dan menentukan tingkat

pengendaliannya. Skenario risiko TI menjadi masukan untuk tahapan analisis

risiko dan penanganannya sebagai masukan bagi pihak manajemen untuk

mengambil keputusan. Komponen-komponen risk scenario seperti yang

ditunjukkan pada Gambar 2.6 sangat diperlukan untuk dapat menganalisis risiko.

Sedangkan proses analisis risiko TI menurut RiskIT dapat dilihat pada Gambar

2.7.

Gambar 2.6 Komponen Skenario Risiko


Skenario risiko TI menggambarkan kejadian terkait TI yang menimbulkan

dampak bagi organisasi ketika dan jika terjadi. Komponen skenario risiko dalam

RiskIT terdiri dari:

1. Actor

Orang atau pelaku yang membuat ancaman pada aset baik dari eksternal

maupun internal organisasi. Contoh dari internal, yaitu pegawai dan vendor


21


yang bekerjasama dengan organisasi. Sedangkan contoh dari eksternal yaitu

kompetitor, regulasi dan market.

2. Ancaman

Potensi suatu kondisi, kejadian atau rangkaian kejadian atau peristiwa suatu

sumber ancaman, baik disengaja maupun tidak disengaja dieksploitasi.

Tidak semua ancaman membutuhkan aktor yang bisa berasal dari kegagalan

atau alam.

3. Kejadian

Bisa meliputi kebocoran informasi, gangguan pada sistem atau proyek,

pencurian dan perusakan infrastruktur TI, desain sistem dan proses atau

eksekusi yang tidak efektif.

4. Aset/Sumber Risiko

Obyek bernilai yang apabila terjadi kejadian pada obyek tersebut berdampak

bagi organisasi. Aset dikategorikan meliputi aset manusia/organisasi,

infrastruktur TI, proses, infrastruktur fisik, komponen arsitektur organisasi

yaitu aplikasi dan informasi.

5. Waktu

Waktu yang mendeskripsikan kapan kejadian skenario risiko terjadi.

Gambar 2.7 Proses Analisis Risiko

(Sumber: ISACA, 2009, RiskIT Practitioner Guide)


22


2.4.4 Respon Risiko TI

Tujuan dari respon risiko agar risiko selaras dengan batasan risiko global (risk

appetite) setelah dilakukan analisis risiko. Sebagai parameter penentunya, batasan

risiko yang dapat ditoleransi pada tingkat operasional batasan risiko toleransi (risk

tolerance threshold) oleh manajemen terkait. Proses respon risiko TI dapat dilihat

pada Gambar 2.8.

Gambar 2.8 Proses Respon Risiko


1. Pemilihan Respon Risiko

Opsi-opsi yang dapat dipilih untuk merespon risiko yaitu:

a. Risk Avoidance

Yang berarti bahwa menghindari risiko, dalam konteks proses berarti

meniadakan aktivitas terkait proses tersebut. Respon ini berlaku apabila

pilihan respon risiko lain tidak cukup.


23


b. Risk Reduction / Mitigation

Adalah mendeteksi risiko dan diikuti dengan aksi untuk mengurangi

kecenderungan (frequency) dan atau dampak (impact) dari risiko.

c. Risk Share/Transfer

Sharing berarti mengurangi frekuensi dan dampak risiko dengan

memindahkan seluruh atau sebagian risiko kepada pihak lain. Contohnya

adalah outsourcing.

d. Risk Acceptance

Tidak ada aksi atau upaya yang dilakukan pada risiko tersebut dan

kerugian diterima apabila risiko itu terjadi. Ini berbeda dengan

mengabaikan risiko (ignorant of risk), risk acceptance diasumsikan risiko

diketahui dan diinformasikan ke level manajemen dan pihak manajemen

menerimanya.

2. Perencanaan Tindakan Risiko

Berdasarkan prioritisasi, maka action plan lebih lanjut dapat disusun

sebagai berikut:

a. Quick-win

Respon yang sangat efisien dan efektif untuk HIGH RISKS.

b. Business case

Respon yang lebih mahal dan sulit untuk HIGH RISKS atau respon yang

efisien dan efektif untuk LOWER RISKS (membutuhkan analisis yang

hati-hati).

c. Deferral

Costly response untuk LOWER RISKS.

2.4.5 Mendeskripsikan dan Mengkespresikan Risiko

Deskripsi risiko dalam RiskIT dibagi tiga yaitu inherent risk, current risk dan

residual risk. Inherent risk adalah risiko dasar yang dimiliki aset yang menjadi

tahapan penetapan konteks ruang lingkup IT Risk Management, sedangkan


24


current risk merupakan risiko setelah adanya estimasi frekuensi dan dampak yang

menjadi tahapan analisis risiko. Residual risk merupakan risiko sisa setelah

adanya kontrol dan di sini merupakan tahapan pemilihan opsi-opsi respon dan

prioritasinya. Hubungan inherent risk, current risk dan residual risk ditunjukkan

pada Gambar 2.9.

Gambar 2.9 Inherent Risk, Current Risk dan Residual risk

(Sumber: RiskISACA, 2009, RiskIT Practitioner Guide)

2.4.6 Mengekspresikan Frekuensi

Frekuensi dalam RiskIT memiliki makna yang sama dengan likelihood atau

probability yaitu jumlah kejadian dalam sebuah durasi waktu tertentu.

Menggunakan hanya label (very frequent, frequent, dan rare) tidak disarankan

karena dia dapat berarti berbeda untuk berbagai skenario dan sebagai

konsekuensinya dapat menimbulkan kebingungan. Gambar 2.10 memperlihatkan

contoh skala probabilitas.

Gambar 2.10 Skala Probabilitas


2.4.7 Mengekspresikan Dampak

Magnitude atau Impact atau Exposure digunakan untuk mendeskripsikan besarnya

konsekuensi dari risiko jika terjadi. Skala untuk impact dapat ditentukan sendiri


25


oleh organisasi sesuai dengan terminologi tujuan organisasi yang dimiliki.

Gambar 2.11 memperlihatkan contoh skala dampak.

Gambar 2.11 Skala Dampak


2.4.8 Risk map dan Risk Register

Setelah seluruh IT Risk Scenario dianalisis frekuensi dan impact-nya, maka

Current Risk tersebut dapat disajikan dalam Risk map. Berdasarkan Risk map

tersebut, risiko-risiko yang masih di atas Risk appetite diregistrasi. Gambar 2.12

memperlihatkan contoh risk map.


26


Gambar 2.12 Risk Map

(Sumber: ISACA, 2009, Risk IT Practitioner Guide)

2.5 Kerangka Kerja COBIT

Control Objective for Information and Related Technology (COBIT) merupakan

standar yang dikeluarkan oleh IT Governance Institute (ITGI) (IT Governance

Institute, 2005). COBIT merupakan referensi kerangka kerja untuk

mengimplementasikan kontrol sebagai langkah mitigasi risiko terhadap setiap

proses-proses TI yang terdiri atas 4 domain, yaitu:

1. Plan and Organise (PO);

2. Acquisition and Implementation (AI);

3. Delivery and Support (DS); dan

4. Monitor and Evaluate (ME).

COBIT didasarkan kepada filosofi bahwa sumber daya atau aset TI (infrastruktur,

aplikasi, data dan informasi, dan SDM) perlu dikelola oleh proses-proses TI yang

dikelompokkan dalam siklus (empat domain natural) untuk menghasilkan

informasi bisnis yang memenuhi kriteria tertentu (efektifitas, efisiensi,

kehandalan, kerahasiaan, integritas, ketersediaan dan kepatuhan), yang digunakan

untuk mendukung pencapaian tujuan bisnis. Gambar 2.13 memperlihatkan

kerangka kerja COBIT 4.1.


27


Gambar 2.13 Kerangka Kerja COBIT 4.1

(Sumber: ISACA, 2007, COBIT 4.1 Framework)

IT Governance Institute (2007) menjelaskan ada lima area fokus COBIT (Gambar

2.14) yaitu:

1. Strategic Alignment

Fokus untuk menjamin keselarasan antara business dan IT Plan.

2. Value Delivery

Memastikan IT memberikan manfaat yang telah dijanjikan dan

mengoptimalkan biaya.


28


3. Resource Management

Mengoptimalkan investasi dan mengelola secara baik sumber daya TI yang

meliputi aplikasi, informasi, infrastruktur dan manusia. Masalah utama

berkaitan dengan optimalisasi pengetahuan dan infrastruktur.

4. Risk Management

Manajemen Risiko memerlukan kesadaran risiko dari pimpinan organisasi.

5. Performance Measurement

Memonitor implementasi strategy, project completion, penggunaan sumber

daya, proses pengukuran dan service delivery.

Gambar 2.14 IT Governance Focus Areas

(Sumber: ISACA, 2007, COBIT 4.1)

2.6 Kerangka Kerja NIST Special Publication 800-300

National Institute of Standard and Technology (NIST) mengeluarkan rekomendasi

melalui publikasi khusus 800-30 tentang Risk Management Guide for Information

Technology System (Stoneburner, 2002). Terdapat tiga proses dalam manajemen

risiko (Gambar 2.15) yaitu:

1. Proses Penilaian Risiko (Risk Assessment);

Terdapat sembilan langkah dalam proses penilaian risiko yaitu:

a. Mengetahui Karakteristik Sistem TI;


29


Sistem TI meliputi hardware, software, infrastruktur, data dan informasi,

orang yang terlibat dalam pengelolaan dan penggunaan sistem TI.

b. Mengidentifikasi Ancaman;

Melakukan identifikasi ancaman terhadap kelemahan sistem TI baik

berasal dari internal maupun eksternal organisasi serta lingkungan.

c. Mengidentifikasi Kelemahan;

Melakukan identifikasi kekurangan atau kelemahan (vulnerability) pada

prosedur keamanan, desain, implementasi, eksternal kontrol dan internal

kontrol terhadap sistem sehingga menghasilkan pelanggaran terhadap

kebijakan keamanan sistem.

d. Melakukan Analisis Pengendalian;

Menganalisis kontrol-kontrol yang sudah diimplementasikan atau

direncanakan untuk diimplementasikan oleh organisasi untuk

mengurangi atau menghilangkan kecenderungan (kemungkinan) dari

suatu ancaman yang menyerang sistem yang vulnerable.

e. Menentukan Kecenderungan (Likelihood);

Penentuan kecenderungan (likelihood) dari kejadian bertujuan untuk

memperoleh penilaian terhadap keseluruhan kecenderungan yang

mengindikasikan kemungkinan potensi vulnerability diserang oleh

lingkungan ancaman yang ada.

f. Menganalisis Dampak Risiko;

Melakukan analisis dampak negatif terhadap keberhasilan penyerangan

vulnerability sistem TI. Seperti loss of integrity, loss of availability, dan

loss of confidentiality. Pengukuran dampak dari risiko TI dapat dilakukan

secara kualitatif maupun kuantitatif. Dampak tersebut dapat

diklasifikasikan menjadi tiga bagian yaitu: high, medium dan low.

g. Menentukan Level Risiko;

Penentuan level risiko dari Sistem TI yang merupakan pasangan ancaman

atau vulnerability merupakan suatu fungsi, yaitu:


30


1) Kecenderungan suatu sumber ancaman menyerang vulnerability dari

sistem TI;

2) Besaran dampak yang terjadi jika sumber ancaman sukses menyerang

vulnerability dari sistem TI;

3) Terpenuhinya perencanaan kontrol keamanan yang ada untuk

mengurangi dan menghilangkan risiko.

h. Merekomendasikan Pengendalian;

Memberikan rekomendasi pengendalian untuk mengurangi level risiko

sistem TI dan data sehingga mencapai level yang dapat diterima.

i. Dokumentasi Hasil Dalam Bentuk Laporan.

2. Proses Pengurangan Risiko (Risk Mitigation)

Strategi di dalam melakukan pengurangan risiko misalnya dengan menerima

risiko (risk assumption), mencegah terjadinya risiko (risk avoidance),

membatasi level risiko (risk limitation), atau mentransfer risiko (risk

transference).

3. Proses Evaluasi Risiko (Risk Evaluation)

Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko

yang diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko kembali

untuk memastikan keberadaan risiko yang teridentifikasi maupun risiko

yang belum teridentifikasi.

Gambar 2.15 Framework NIST Special Publication 800-30

(Sumber: NIST SP 800-30)


31


2.7 Perbandingan Kerangka Kerja

ISACA (2009) membandingkan beberapa framework dan standar terkait

manajemen risiko TI dilihat dari implementasi prinsip risiko TI seperti pada

Gambar 2.16. Dari Gambar tersebut terlihat aspek keselarasan risiko TI dengan

risiko organisasi terpenuhi oleh RiskIT, sedangkan kerangka kerja lain lebih pada

aspek teknis. Karakteristik utama RiskIT dibanding kerangka kerja lain, yaitu

RiskIT selaras dengan COBIT dan ValIT sedangkan kerangka kerja lain perlu

dilakukan pemetaan. RiskIT terhubung dengan konsep dan pendekatan

manajemen risiko perusahaan atau organisasi seperti COSO ERM dan ISO 31000.

Standard dan kerangka kerja yang lain bersifat terlalu umum (misalnya

berorientasi ERM) ataupun terlalu fokus pada satu aspek saja misalnya IT

Security RiskIT fokus pada risiko TI, risiko yang dapat mengakibatkan organisasi

kehilangan reputasi atau bagi perusahaan kehilangan jutaan dollar per tahun.

Gambar 2.16 Perbandingan dan Standar Manajemen Risiko TI


Aspek Alignment Risiko

TI dan Risiko Bisnis

Aspek Teknis

Risiko-Risiko TI


32


2.8 Penelitian Studi Kasus (Case Study Research)

Menurut Bogdan dan Bikien (1982) case study (studi kasus) merupakan pengujian

secara rinci terhadap satu latar atau satu orang subjek atau satu tempat

penyimpanan dokumen atau satu peristiwa tertentu. Surachrnad (1982) membatasi

pendekatan studi kasus sebagai suatu pendekatan dengan memusatkan perhatian

pada suatu kasus secara intensif dan rinci. Sementara Yin (1987) memberikan

batasan yang lebih bersifat teknis dengan penekanan pada ciri-cirinya. Ary,

Jacobs, dan Razavieh (1985) menjelasan bahwa dalam studi kasus hendaknya

peneliti berusaha menguji unit atau individu secara mendalam. Para peneliti

berusaha menemukan semua variabel yang penting.

Berdasarkan batasan tersebut dapat dipahami bahwa batasan studi kasus meliputi:

(1) sasaran penelitiannya dapat berupa manusia, peristiwa, latar, dan dokumen; (2)

sasaran-sasaran tersebut ditelaah secara mendalam sebagai suatu totalitas sesuai

dengan latar atau konteksnya masing-masing dengan maksud untuk mernahami

berbagai kaitan yang ada di antara variabel-variabelnya.

Jenis-jenis studi kasus (sumber:http://ardhana12.wordpress.com/2008/02/08/

metode-penelitian-studi-kasus/; pada hari Selasa, 02 April 2013 Pukul 23:30

WIB) yaitu (a) Studi kasus kesejarahan mengenai organisasi; (b) Studi kasus

observasi; (c) Studi kasus sejarah hidup; (d) Studi kasus kemasyarakatan; (e)

Studi kasus analisis situasi; dan (f) Mikroethnografi.

Langkah-langkah case study research (penelitian studi kasus) yaitu sebagai

berikut: (a) Pemilihan kasus hendaknya dilakukan secara bertujuan (purposive)

dan bukan secara rambang; (b) Pengumpulan data yang lebih dipakai dalarn

penelitian kasus adalah observasi, wawancara, dan analisis dokumentasi; (c)

Analisis data dilakukan setelah data terkumpul oleh peneliti dengan

mengagregasi, mengorganisasi, dan mengklasifikasi data menjadi unit-unit yang

dapat dikelola; (d) Perbaikan (refinement) dengan pengumpulan data baru

mengharuskan peneliti untuk kembali ke lapangan dan barangkali harus membuat

kategori baru, data baru tidak bisa dikelompokkan ke dalam kategori yang sudah

ada; (e) Penulisan laporan: laporan hendaknya ditulis secara komunikatif, mudah


33


dibaca, dan mendeskripsikan suatu gejala atau kesatuan sosial secara jelas,

sehingga rnemudahkan pembaca untuk mernahami seluruh informasi penting.

2.9 Perbandingan Penelitian Sebelumnya

Dari beberapa penelusuran karya ilmiah yang sudah dilakukan, ditemukan

beberapa penelitian yang berhubungan dengan manajemen risiko TI yang sudah

dilakukan untuk beberapa jenis industri dan organisasi yang berbeda. Tabel 2.4

menampilkan beberapa penelitian mengenai manajemen risiko TI.

Tabel 2.4 Perbandingan Penelitian Sebelumnya

Penulis

Judul Penelitian

Tahun

Yok Christiyono Penilaian risiko dan analisis

profil risiko TI menggunakan kerangka kerja RiskIT: Studi kasus PT. Bank ABC

2011

Ronald Eduard Heinrich Analisa IT Risk Profile Menggunakan Kerangka Kerja RiskIT dan Peraturan Bank Indonesia No. 9/15/PBI/2007: Studi Kasus pada PT. Bank XYZ (Persero), Tbk.

2010

Bambang Hadi Purnomo Evaluasi Pengelolaan Risiko TI pada Instansi Pemerintah : Studi Kasus Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK)

2012

Arion Sharon Rancangan Manajemen Risiko TI Berdasarkan Keamanan Informasi : Studi Kasus PT. XYZ

2010

Yuliansyah Al’Rasyid Analisis dan Kajian Model Kerangka Kerja Manajemen Risiko TI : Studi Kasus PT. Rajawali Nusantara

2009


34


Cahyono Tri Wibowo Kajian Manajemen Risiko TI Berdasarkan Penerapan COBIT Framework dan ISO 27001 : Studi Kasus Pusat Sistem Informasi dan Teknologi Keuangan, Departemen Keuangan RI

2006

Muhammad Mahreza Maulana

Pemodelan Manajemen Risiko TI untuk Organisasi di Negara Berkembang

2006

1. Yok Christiyono (2011), menggunakan pendekatan RiskIT sebagai langkah

untuk membuat mitigasi risiko terhadap profil risiko yang sudah dihasilkan

melalui penilaian risiko yang dilakukan oleh unit kerja manajemen risiko

menggunakan kerangka kerja internal perusahaan yang disebut Information

Technology Risk Management (ITRM) Framework;

2. Ronald Eduard Heinrich (2010), menjelaskan bahwa penulis tidak

melakukan penilaian risiko berdasarkan impact dan likelihood-nya. Penulis

hanya melakukan gap analysis antara risk profile yang sudah ada dengan

generic risk scenario RiskIT. Adanya gap inilah yang kemudian

diidentifikasi untuk ditambahkan ke risk profile yang baru;

3. Bambang Hadi Purnomo (2012), menggunakan pendekatan RiskIT sebagai

langkah untuk membuat mitigasi risiko terhadap profil risiko di PPATK;

4. Arion Sharon (2010) membandingkan kondisi manajemen risiko TI saat ini

di PT. X untuk kemudian dibandingkan dengan kerangka kerja ISO 27001.

Perbandingan tersebut untuk mencari gap analysis kondisi manajemen risiko

saat ini berdasarkan kerangka kerja ISO 27001, kemudian dibuatkan model

kerangka kerja manajemen risiko TI berdasarkan keamanan informasi untuk

PT. X;

5. Yuliansyah Al’Rasyid (2009), menggunakan beberapa kerangka kerja

manajemen risiko TI Standard yang kemudian dibandingkan dengan

kerangka kerja manajemen risiko yang eksisting pada PT. Rajawali

Nusantara Indonesia (RNI). Perbandingan tersebut untuk mencari gap antara

best practice dengan kenyataan yang ada, kemudian dibuatkan model


35


kerangka kerja manajemen risiko TI yang dapat mencakup seluruh

kebutuhan TI dan bisnis di PT. RNI;

6. Cahyono Tri Wibowo (2006), menganalisis penerapan kerangka kerja

COBIT. Hal ini dilakukan untuk mencari nilai negatif dari penerapan

COBIT. Nilai negatif yang didapatkan kemudian diselaraskan dengan

beberapa klausul yang ada pada ISO 27001;

7. Muhammad Mahreza Maulana (2006), membandingkan beberapa kerangka

kerja manajemen risiko TI yaitu COBIT, NIST 800-30 dan OCTAVE. Dari

kombinasi beberapa kerangka kerja tersebut kemudian dibuatkan sebuah

model kombinasi manajemen risiko teknologi informasi yang sederhana

untuk dapat digunakan pada negara-negara berkembang.

Perbedaan yang dilakukan dalam penelitian ini, Ditjen Dukcapil belum memiliki

unit kerja yang menangani risiko organisasi secara keseluruhan atau enterprise

risk management sehingga penulis terlibat dalam penentuan probabilitas, dampak

dan parameter risiko yang diperlukan untuk pengukuran risiko. Penulis dalam

penelitian ini melakukan pengukuran efektivitas kontrol yang ada untuk

mengetahui seberapa besar kontrol tersebut dapat mengurangi probabilitas dan

dampak. Setelah itu melakukan strategi mitigasi yang memerhatikan aspek

manusia, proses dan teknologi.

2.10 Kerangka Penelitian

Berdasarkan hasil studi literatur disusunlah kerangka penelitian (theoritical

framework) dengan tujuan untuk menggambarkan pola pikir yang digunakan

sebagai panduan dalam penelitian, untuk menghasilkan keluaran yang menjadi

produk atau hasil penelitian yaitu profil risiko TI dalam RiskIT terdiri dari:

1. Faktor risiko termasuk di dalamnya faktor risiko terkait lingkungan dan

kemampuan TI (vulnerabilities);

2. Hasil penilaian risiko organisasi dan analisis risiko;

3. Perencanaan aksi terhadap risiko;

4. Historis kehilangan data;

5. Hasil penemuan audit terkait risiko TI.

Kaitannya dengan instansi pemerintah yaitu sebagai berikut:


36


1. Faktor risiko yang disebabkan karena keterlambatan anggaran yang

menyebabkan ketidakmampuan TI sehingga menimbulkan ancaman,

kerawanan dan dampak bagi organisasi;

2. Penilaian risiko dan analisis risiko dilakukan secara menyeluruh tidak hanya

pada keamanan informasi saja akan tetapi juga risiko TI yang berhubungan

dengan keterlambatan penyelesaian proyek dan lain-lain;

3. Perencanaan aksi terhadap risiko menggunakan prioritas dan sesuai dengan

anggaran yang tersedia;

4. Historis terhadap kehilangan data yang seharusnya masuk ke Data Center

sehingga menyebabkan target perekaman 172 Juta penduduk wajib KTP

tidak segera terpenuhi;

5. Hasil temuan audit internal Tim Ditjen Dukcapil, Inspektorat Jenderal

Kementerian Dalam Negeri dan Badan Pemeriksa Keuangan (BPK RI)

untuk dilakukan evaluasi dan respon lebih lanjut terkait risiko organisasi.

Gambar 2.17 memperlihatkan komponen penyusun profil risiko TI sebagai

berikut.

Gambar 2.17 Theoritical Framework




BAB 3

METODOLOGI PENELITIAN

Pada bab ini dijelaskan tahapan-tahapan dari metodologi yang digunakan dalam

penelitian ini.

3.1 Metode Pengumpulan Data

Dalam penelitian ini, data yang dijadikan sebagai acuan dalam melakukan

penilaian risiko untuk memperoleh IT Risk Profile, yang kemudian dijadikan

sebagai landasan dalam menyusun strategi dan langkah mitigasi dibagi menjadi

dua, yaitu data primer dan data sekunder.

1. Data Primer

Data primer merupakan data yang diperoleh langsung dari sumber yang

relevan dengan beberapa cara, antara lain: observasi, wawancara dan isian

formulir kompilasi analisis risiko, isian form pengukuran efektivitas kontrol

atau pertanyaan.

2. Data Sekunder

Data sekunder merupakan data yang diperoleh dari dokumen instansi obyek

penelitian maupun hasil penelitian yang dilakukan oleh orang lain. Dalam

penelitian ini, data sekunder didapat dari dokumen rencana strategis

organisasi, kebijakan, pedoman dan Standar Operasional Prosedur (SOP)

Organisasi, daftar pelayanan dan dokumen studi literatur mengenai

manajemen risiko TI.

3.2 Tahapan Penelitian

Metodologi penelitian merupakan rangkaian tahapan sistematis yang dilakukan

untuk menyelesaikan dan menjawab pertanyaan penelitian yang telah ditentukan.

Penelitian ini menggunakan analisis kuantitatif dan kualitatif dengan rangkaian

tahapan dalam metodologi penelitian ini sebagai berikut:


38


INPUT PROSES OUTPUT

Perumusan Masalah Research Question

Pemilihan RiskITPenyusunan Landasan Teori

(Studi Literatur)

Studi Pustaka dan Best

Practices

Belum adanya pengelolaan

risiko TI

Dokumen Internal, Observasi

dan Wawancara

Pengumpulan Data

(Studi Literatur)Kumpulan Dokumen Lengkap

yang Dibutuhkan

Skenario Risiko TIPenetapan Konteks dan

Skenario Risiko TI

Wawancara dan Form

Kompilasi Analisis RisikoPenilaian Risiko Profil Risiko TI

Profil Risiko TIMenyusun Strategi dan

Langkah Mitigasi

Profil Risiko TI Final dan

Langkah Mitigasi

Kesimpulan dan Saran

Gambar 3.1 Metodologi Penelitian


39


Penjelasan dari tahapan di atas sebagai berikut:

1. Perumusan Masalah;

Menjabarkan masalah yang diteliti melalui penelitian ini dan output dari

tahapan ini adalah research question.

2. Studi Literatur;

Mempelajari berbagai macam teori dan metodologi yang digunakan untuk

menjawab research question dalam penelitian ini. Sumber literatur adalah

dari buku, tesis, dokumen instansi obyek penelitian, dokumen perundang-

undangan dan peraturan pemerintah lainnya, dan sumber-sumber lain dari

internet.

3. Pengumpulan Data;

Melakukan pengumpulan data dengan cara wawancara, observasi lapangan

serta studi literatur.

4. Penetapan Konteks dan Skenario Risiko TI;

Menentukan aset TI yang menjadi obyek manajemen risiko TI dan kategori

risiko TI. Aset TI yang sudah dipilih dijadikan sebagai dasar penentuan

skenario risiko TI organisasi yang digunakan untuk langkah analisis risiko.

5. Penilaian Risiko;

Pada tahapan ini menggunakan kerangka kerja RiskIT untuk melakukan

identifikasi risiko dengan menggunakan Generic IT Risk Scenario, analisis

risiko dan respon risiko. Penilaian risiko dilakukan dengan cara pengisian

template risiko aset informasi, pengisian form kompilasi analisis risiko, form

pengukuran efektivitas kontrol oleh person in charge (PIC) dan wawancara

untuk memastikan data yang diisi benar, kemudian hasil dari pengisian

tersebut dilakukan validasi oleh pimpinan unit kerja pemilik risiko TI,

kemudian dari profil risiko tersebut dilakukan prioritasi risiko untuk

dilakukan mitigasi.


40


6. Menyusun Strategi dan Langkah Mitigasi;

Pada tahapan ini melakukan penyusunan langkah-langkah mitigasi untuk

mengurangi probabilitas dan dampak risiko.

7. Kesimpulan dan Saran.

Kesimpulan didapatkan dengan cara induktif. Kesimpulan mengakomodasi

tujuan penelitian secara keseluruhan. Saran ditujukan untuk pengembangan

penelitian selanjutnya atau juga bagi obyek penelitian.



BAB 4

PROFIL ORGANISASI

Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil)

merupakan unsur pelaksana Kementerian Dalam Negeri di bidang kependudukan

dan pencatatan sipil berdasarkan Undang-Undang No. 23 Tahun 2006 tentang

Administrasi Kependudukan dan Peraturan Menteri Dalam Negeri (Permendagri)

No. 41 Tahun 2010 tentang Organisasi dan Tata Kerja Kementerian Dalam Negeri

(Kemdagri), Pasal 382 ayat (1).

Salah satu program flagship Dewan Teknologi, Informasi dan Komunikasi

Nasional berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu Nomor

Identitas Nasional (NIN). NIN ini merupakan komponen inti pada blueprint TIK

Indonesia tentang e-Government. Pelaksana program ini adalah Direktorat

Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil), Kementerian

Dalam Negeri. Nomor Induk Kependudukan (NIK) merupakan bentuk

pelaksanaan program NIN.

4.1 Tugas, Fungsi dan Kewenangan Ditjen Dukcapil

Ditjen Dukcapil memiliki tugas dan fungsi yang diatur dalam pasal 383 dan 384

Permendagri No. 41 Tahun 2010 tentang Organisasi dan Tata Kerja Kementerian

Dalam Negeri (Kemdagri). Berdasarkan pasal 383 Permendagri No. 41 Tahun

2010, Ditjen Dukcapil mempunyai tugas merumuskan serta melaksanakan

kebijakan dan standardisasi teknis di bidang pendaftaran penduduk, pencatatan

sipil, dan pengelolaan informasi administrasi kependudukan, serta fasilitasi dan

penyerasian kebijakan perencanaan kuantitas, kualitas dan mobilitas penduduk di

daerah.

Dalam melaksanakan tugas sebagaimana dimaksud dalam Pasal 384 Permendagri

No. 41 Tahun 2010, Ditjen Dukcapil mempunyai fungsi sebagai berikut:

1. Perumusan kebijakan di bidang pendaftaran penduduk, pencatatan sipil, dan

pengelolaan informasi administrasi kependudukan;


42


2. Fasilitasi dan penyerasian kebijakan perencanaan kuantitas, kualitas dan

mobilitas penduduk di daerah;

3. Pelaksanaan kebijakan di bidang pengelolaan informasi administrasi

kependudukan;

4. Penyusunan norma, standar, prosedur, dan kriteria di bidang pendaftaran

penduduk, pencatatan sipil, dan pengelolaan informasi administrasi

kependudukan;

5. Pemberian bimbingan teknis dan evaluasi di bidang pendaftaran penduduk,

pencatatan sipil, pengelolaan informasi administrasi kependudukan, serta

penyerasian kebijakan perencanaan kuantitas, kualitas, dan mobilitas

penduduk; dan

6. Pelaksanaan administrasi Direktorat Jenderal Kependudukan dan Pencatatan

Sipil.

Berdasarkan Pasal 5 Undang-Undang Nomor 23 Tahun 2006, Ditjen

Kependudukan dan Pencatatan Sipil memiliki kewenangan untuk melakukan

sebagai berikut:

1. Koordinasi antarinstansi dalam urusan Administrasi Kependudukan;

2. Penetapan sistem, pedoman, dan standar pelaksanaan Administrasi

Kependudukan;

3. Sosialisasi Administrasi Kependudukan;

4. Pemberian bimbingan, supervisi, dan konsultasi

5. Pelaksanaan urusan Administrasi Kependudukan;

6. Pengelolaan dan penyajian Data Kependudukan berskala nasional; dan

7. Pencetakan, penerbitan, dan distribusi blangko Dokumen Kependudukan.

Dalam melaksakanan program flagship Dewan Teknologi, Informasi dan

Komunikasi Nasional berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu

Nomor Identitas Nasional (NIN) pada Rencana Strategis Ditjen Kependudukan

dan Pencatatan Sipil Tahun 2010-2014, Ditjen Kependudukan dan Pencatatan

Sipil memiliki dukungan pencapaian prioritas nasional, yaitu: ”Pemberian


43


Nomor Induk Kependudukan (NIK) kepada setiap penduduk dengan

menggunakan Sistem Informasi Administrasi Kependudukan (SIAK) dan

aplikasinya untuk penerbitan KTP”. Dalam rangka pencaian prioritas nasional

tersebut telah ditetapkan rencana aksi sebagai berikut:

1. Konsolidasi data kependudukan secara nasional, berjenjang untuk

mewujudkan NIK tunggal;

2. Pemutakhiran database kependudukan kabupaten/kota;

3. Penyempurnaan aplikasi dan pemenuhan kebutuhan jaringan komunikasi,

serta sarana dan prasarana SIAK di daerah maupun Data Center

kependudukan secara online;

4. Pemantapan pengembangan SIAK dan penerapan KTP berbasis NIK secara

Nasional;

5. Mendorong Pemda Kabupaten/Kota menerapkan SIAK dalam pelayanan

administrasi kependudukan secara tersistem dan utuh;

6. Pelaksanaan perekaman biodata, foto dan sidik jari penduduk secara

terintegrasi di daerah;

7. Penyediaan SDM Pengelola SIAK dan Petugas Registrasi;

8. Kabupaten/Kota tahap pertama yang menerapkan KTP berbasis NIK

nasional;

9. Sosialisasi administrasi kependudukan secara terus menerus lepada

masyarakat.

Dalam rumusan Rencana Pembangunan Jangka Menengah Nasional (RPJMN)

Tahun 2010-2014 berisi 11 Prioritas Pembangunan Nasional, salah satunya adalah

Reformasi Birokrasi dan Tata Kelola yang di dalamnya terdapat Program

Nasional terkait Data Kependudukan yang menjelaskan bahwa Penetapan Nomor

Induk Kependudukan (NIK) dan pengembangan Sistem Informasi dan

Administrasi Kependudukan (SIAK) dengan aplikasi pertama pada kartu tanda

penduduk selambat-lambatnya pada 2011. Dalam rangka mendukung pelaksanaan

Prioritas Nasional Tahun 2010-2014, ditetapkan 13 (tiga belas) Program Strategik


44


Kementerian Dalam Negeri, salah satumya adalah Program 3: Penataan

Administrasi Kependudukan (P3). Hal ini didukung dengan Rencana Strategis

(Renstra) Ditjen Dukcapil 2010-2014 mempunyai kebijakan sebagai berikut: (1)

Menjadikan faktor kependudukan sebagai titik sentral pembangunan yang

berkelanjutan; (2) Menyelenggarakan administrasi kependudukan untuk

mendorong terakomodasinya hak-hak penduduk serta perlindungan sosial; (3)

Menciptakan sistem administrasi kependudukan melalui komitmen berbagai pihak

dan peran serta masyarakat; (4) Mengelola program dan kegiatan sesuai dengan

prinsip-prinsip good governance.

4.2 Visi dan Misi Ditjen Kependudukan dan Pencatatan Sipil

Visi Ditjen Kependudukan dan Pencatatan Sipil tertuang dalam Rencana Strategis

(Renstra), yaitu “Tertib Administrasi Kependudukan dengan Pelayanan Prima

Menuju Penduduk Berkualitas Tahun 2015”. Maksud dari visi tersebut adalah

bahwa Ditjen Dukcapil diharapkan dapat mewujudkan sebagai berikut:

1. Tertib Database Kependudukan;

a. Terbangunnya Database Kependudukan yang Akurat ditingkat

Kab/Kota, Provinsi dan Pusat;

b. Database Kependudukan Kabupaten/Kota tersambung (online) dengan

Provinsi dan Pusat menggunakan SIAK;

c. Database Kependudukan Kementerian Dalam Negeri dan Daerah

Tersambung dengan Instansi Pengguna.

2. Tertib Penerbitan NIK;

a. NIK Diterbitkan Setelah Penduduk Mengisi Biodata Penduduk Per

Keluarga (F1-01) dengan Menggunakan SIAK;

b. Tidak Ada NIK Ganda;

c. Pemberian NIK Kepada Semua Penduduk Harus Selesai Akhir Tahun

2011.

3. Tertib Dokumen Kependudukan.

a. Prosesnya Sesuai dengan Ketentuan yang Berlaku;


45


b. Tidak Adanya Dokumen Kependudukan Ganda

dan Palsu.

Untuk mewujudkan pencapaian visi yang telah ditetapkan, maka Ditjen Dukcapil

merumuskan misi, yang merupakan rumusan upaya-upaya yang dilaksanakan

selama tahun 2010-2014 sesuai dengan tugas pokok, fungsi dan kewenangannya,

serta sesuai dengan sumber daya yang dimiliki. Ditjen Dukcapil memiliki misi

sebagai berikut:

1. Memantapkan ketertiban penyelenggaraan pendaftaran penduduk dan

pencatatan sipil, serta sistem informasi administrasi kependudukan nasional

terpadu dan interaktif;

2. Menjadikan perencanaan kependudukan dan kebijakan perkembangan

kependudukan sebagai dasar pembangunan berkelanjutan nasional dan

daerah;

3. Memperkuat pranata hukum, kelembagaan, dan kepedulian masyarakat

dalam administrasi kependudukan.

Sasaran yang merupakan derivasi dari tujuan di atas, terkait tujuan yang ketiga,

terciptanya tertib administrasi kependudukan, yaitu sebagai berikut:

1. Tertib administrasi kependudukan berbasis Nomor Induk Kependudukan

(NIK) Nasional dan pelayanan dokumen kependudukan;

2. Terwujudnya pemberian NIK pada setiap penduduk;

3. Terciptanya koneksitas NIK dengan identitas kependudukan;

4. Tersedianya regulasi daerah tentang administrasi kependudukan;

5. Terwujudnya perencanaan dan keserasian kebijakan kependudukan; dan

6. Meningkatnya peran serta masyarakat dalam administrasi kependudukan.

Berdasarkan Renstra Kemdagri maka disusun pula Renstra Ditjen Dukcapil,

Kemdagri tahun 2010-2014. Sasaran yang ingin dicapai pada Renstra Ditjen

Dukcapil, Kemdagri tahun 2010-2014 yaitu sebagai berikut:

1. Tertib database kependudukan berbasis nomor induk kependudukan (NIK)

nasional dan pelayanan dokumen kependudukan;

2. Terwujudnya pemberian NIK kepada setiap penduduk;


46


3. Terwujudnya NIK sebagai dasar penerbitan dokumen kependudukan oleh

instansi terkait;

4. Terwujudnya perencanaan kependudukan dan kebijakan perkembangan

kependudukan sebagai dasar pembangunan nasional dan daerah;

5. Tersedianya pranata hukum daerah dan kelembagaan penyelenggaraan

administrasi kependudukan yang mampu mendorong penduduk taat

melaporkan dan mencatatkan peristiwa kependudukan dan peristiwa penting

yang dialaminya.

Berdasarkan Renstra Ditjen Dukcapil, Kemdagri tahun 2010-2014 maka disusun

Action Plan Grand Design Sistem Administrasi Kependudukan tahun 2009-2015

terkait Aplikasi dan Database SIAK; Infrastruktur Teknologi, Informasi dan

Komunikasi (TIK); dan NIK dan KTP Elektronik (e-KTP), sebagai berikut:

1. Aplikasi dan Database SIAK

a. Audit Aplikasi SIAK sebagai bahan penyempurnaan apllikasi SIAK

(target keberhasilan yaitu teridentifikasinya bahan penyempurnaan

aplikasi SIAK);

b. Pengembangan dan penyempurnaan modul-modul aplikasi SIAK yg

mengacu kepada UU No. 23/2006 menuju interkoneksi dan integrasi

penggunaan NIK dan Biometric (target keberhasilan yaitu tersedianya

aplikasi SIAK yang menjadi acuan standar nasional dan siap

diimplementasikan ke seluruh daerah);

c. Pengembangan Sistem Integrasi dan Konsolidasi Database dari

Kabupaten/Kota ke Provinsi hingga ke pusat (target keberhasilan yaitu

terkonsolidasinya database mulai dari jenjang wilayah Kecamatan,

Kabupaten/Kota, Provinsi hingga ke pusat));

d. Pengembangan data warehouse kependudukan (target keberhasilan yaitu

tersedianya data warehouse untuk keperluan interkoneksi antar instansi);

e. Penerapan SIAK hasil penyempurnaan dari mulai tingkat Provinsi,

Kabupaten/Kota, hingga ke Kecamatan sebagai upaya penerapan NIK

bagi seluruh penduduk dan KTP berbasis NIK Nasional (target

keberhasilan yaitu diterapkannya SIAK hasil penyempurnaan ke seluruh


47


daerah berdasarkan jenjang kewenangan (Kabupaten/Kota, Provinsi,

Pusat));

f. melaksanakan supervisi kegiatan verifikasi dan validasi data

kependudukan serta penyelenggaraan Admin. Kependudukan (target

keberhasilan yaitu terpeliharannya SIAK baik dari sisi kehandalan

aplikasi dan ketersediaan database);

g. Pengembangan Web Portal Ditjen Adminduk (target keberhasilan yaitu

tersedianya web portal Ditjen Adminduk sebagai media sosialisasi dan

komunikasi baik internal maupun eksternal);

h. Pengembangan Sistem Helpdesk penanganan keluhan SIAK (target

keberhasilan yaitu tersedinaya sistem help-desk untuk penanganan

keluhan komplain operasional SIAK);

i. Pengembangan Sistem informasi pendayagunaan data kependudukan

(target keberhasilan yaitu tersedianya sistem informasi pendayagunaan

data kependudukan untuk kebutuhan rumusan kebijakan dan

pembangunan sektor lainnya).

2. Infrastruktur TIK

a. Pengembangan dan Penyempurnaan Infrastruktur Data Center (target

keberhasilan yaitu tersedianya perangkat Data Center yang mampu

menangani transaksi database SIAK (data pribadi dan biometric

penduduk));

b. Pembangunan DRC (target keberhasilan yaitu terbangunnya DRC

sebagai alternatif operasional Data Center ketika terjadi Disaster);

c. Integrasi perangkat Jaringan dari pusat ke Daerah (target keberhasilan

yaitu terintegrasinya jaringan dari Pusat ke daerah-daerah yang

mengoperasikan SIAK);

d. Pemeliharaan Operasional DC dan DRC (target keberhasilan yaitu

terpeliharannya perangkat DC dan DRC untuk menjamin kelancaran

operasional).

3. NIK Dan KTP Elektronik (e-KTP)


48


a. Pemutakhiran Database Kependudukan (target keberhasilan yaitu

seluruh database kependudukan kabupaten/kota (497 Kabupaten/Kota)

mutakhir sesuai kondisi penduduk);

b. Konsolidasi Database Kependudukan dari Kabupaten/Kota ke Data

Center Pusat (target keberhasilan yaitu antar database kepen-dudukan

kabupaten/kota, provinasi dan nasional (DC) tersambung (online) dan

data kependudukan telah terverifikasi 1: N);

c. Pemberian NIK Kepada Penduduk (target keberhasilan yaitu seluruh

penduduk di 497 kabupaten/kota telah diberikan NIK oleh Pemerintah);

d. Penerapan e-KTP di 197 Kabupaten/Kota (target keberhasilan yaitu

seluruh penduduk wajib KTP di 197 Kabupaten/Kota telah memiliki

kartu identas penduduk berupa e-KTP);

e. Penerapan e-KTP di 300 Kabupaten/Kota (target keberhasilan yaitu

seluruh penduduk wajib KTP di 300 Kabupaten/Kota telah memiliki

kartu identas penduduk berupa e-KTP);

f. Dukungan operasional daerah dalam penerapan e-KTP (target

keberhasilan yaitu adanya dukungan operasional penerapan e-KTP

(sosialisasi, mobilisasi dan operasional penerbitan) oleh kabupaten/kota

yang bersangkutan).

4.3 Tujuan Organisasi Ditjen Dukcapil

Tujuan Direktorat Jenderal Kependudukan dan Pencatatan Sipil dari tahun 2010-

2014 dirumuskan menurut bidang hasil pokok. Tujuan masih bersifat kualitatif

dan umum, sehingga perlu dijabarkan ke dalam sasaran yang lebih spesifik dan

terukur. Berdasarkan misi Direktorat Jenderal Kependudukan dan Pencatatan Sipil

tersebut di atas, maka tujuan yang hendak dicapai adalah:

1. Mewujudkan penerapan kebijakan penyelenggaraan pendaftaran penduduk

dan pencatatan sipil secara tertib untuk mencatat perubahan status

kependudukan, menghimpun data kependudukan, dan menerbitkan

dokumen kependudukan;

2. Meningkatkan keterpaduan sistem informasi administrasi kependudukan

berbasis NIK nasional secara tertib yang mampu menyediakan informasi


49


kependudukan lengkap, akurat dan memenuhi kepentingan publik dan

pembangunan;

3. Mewujudkan perencanaan kependudukan dan kebijakan perkembangan

kependudukan sebagai dasar pembangunan nasional dan daerah yang

berorientasi kepada peningkatan kesejahteraan penduduk;

4. Mewujudkan pranata hukum dan kelembagaan penyelenggaraan

administrasi kependudukan yang kuat guna perlindungan sosial dan

penegakan hak-hak penduduk.

4.4 Struktur Organisasi Ditjen Dukcapil

Berdasarkan Permendagri No. 41 Tahun 2010 tentang Organisasi dan Tata Kerja

Kementerian Dalam Negeri, Direktorat Jenderal Kependudukan dan Pencatatan

Sipil terdiri dari:

1. Sekretariat Direktorat Jenderal;

2. Direktorat Pendaftaran Penduduk;

3. Direktorat Pencatatan Sipil;

4. Direktorat Pengelolaan Informasi Administrasi Kependudukan;

5. Direktorat Pengembangan Kebijakan Kependudukan; dan

6. Direktorat Penyerasian Kebijakan dan Perencanaan Kependudukan.

4.5 Direktorat Pengelolaan Informasi Administrasi Kependudukan

Berdasarkan Grand Design Direktorat Jenderal Kependudukan dan Pencatatan

Sipil Tahun 2010, Direktorat Pengelolaan Informasi Administrasi Kependudukan

memiliki kedudukan sebagai berikut:

1. Direktorat Pengeloaan Informasi Administrasi Kependudukan merupakan

unsur pelaksana Direktorat Jenderal Kependudukan dan Pencatatan Sipil di

bidang informasi kependudukan;

2. Direktorat Pengeloaan Informasi Administrasi Kependudukan dipimpin oleh

seorang Direktur yang berada di bawah dan bertanggungjawab kepada

Direktur Jenderal Kependudukan dan Pencatatan Sipil.


50


Direktorat Pengelolaan Informasi Administrasi Kependudukan memiliki tugas

yaitu melaksanakan sebagian tugas Direktorat Jenderal di bidang informasi

kependudukan.

Dalam melaksanakan tugasnya tersebut, Direktorat Pengelolaan Informasi

Administrasi Kependudukan menyelenggarakan fungsi sebagai berikut:

1. Penyiapan perumusan kebijakan dan fasilitasi pengembangan sistem dan

teknologi informasi;

2. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan kelembagaan

sumber daya informatika;

3. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan pengolahan data

kependudukan;

4. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan pelayanan

informasi kependudukan;

5. Pelaksanaan monitoring dan evaluasi pelaksanaan program, dan

dokumentasi kebijakan informasi kependudukan; dan

6. Pelaksanaan urusan tata usaha dan rumah tangga Direktorat.

Gambar 4.1 Struktur Organisasi DPIAK

(Sumber: Grand Design Sistem Administrasi Kependudukan (SAK)

Tahun 2010-2014)



BAB 5

PENETAPAN KONTEKS DAN SKENARIO RISIKO TI

Dalam penerapan KTP Elektronik (e-KTP) ini jaringan komunikasi data yang

diterapkan adalah sebagai berikut:

Gambar 5.1 Jaringan Komunikasi Data Penerapan e-KTP

Penetapan konteks dan risk universe diperlukan untuk menyusun cakupan dari

aktivitas manajemen risiko TI. Sebuah risk universe menjelaskan lingkungan

risiko keseluruhan pada organisasi dan memberikan sebuah struktur untuk

mengelola risiko TI. Risk Universe mempertimbangkan keseluruhan tujuan

organisasi, proses kerja dan ketergantungan yang ada di seluruh lingkungan

organisasi. Proses kerja dalam Data Center e-KTP di Ditjen Dukcapil dibagi ke

dalam 2 (dua) besaran yaitu:

1. Proses kerja utama (Core Function); dan

2. Proses kerja pendukung (Non-Core Function/Support)

Proses kerja dalam kategori core merupakan proses kerja yang terkait dengan

fungsi utama Ditjen Dukcapil pada penerapan e-KTP di Data Center e-KTP

(proses kerja core) yaitu:


52


1. Proses penerimaan data hasil perekaman e-KTP dan pengembalian status

data dari dan ke kecamatan tempat perekaman;

2. Proses Identifikasi Ketunggalan Data; dan

3. Proses Penyimpanan Data.

Sedangkan proses kerja dalam kategori support merupakan proses kerja lainnya

yang mendukung fungsi utama Ditjen Dukcapil. Proses kerja utama yang

didukung proses TI dapat dilihat dalam Gambar 5.2.

Perekaman e-KTP di

kecamatan

Cek Kualitas Data

Mulai

PROSES DI

KECAMATANPROSES DI DATA CENTER e - KTP

Penerimaan Data Hasil Perekaman

e-KTP oleh Aplikasi MQ

Pengambilan Data dari Server MQ

oleh Aplikasi BMW

Kualitas data

bagus

Identifikasi ketunggalan dataoleh aplikasi ABIS

Kualitasdatatidak

bagus

Pengembalian datadengan kualitas tidak bagus

agar direkam ulang

Penghapusan data dengan kualitas

tidak bagus

Hasil identifikasi data baik tunggal

maupun ganda

Pengembalian status data hasil identifikasi ketunggalan data ke kecamatan tempat perekaman

oleh aplikasi BMW

Penyimpanan data oleh Aplikasi IDMS

Penyimpanan data hasil identifikasi ketunggalan data

ke aplikasi IDMS oleh aplikasi BMW

Selesai

1

2 3

4

5b5a

6

7

8

9a 9b

10

11

Gambar 5.2 Proses Kerja Utama Penerapan e-KTP di Ditjen Dukcapil

Setiap proses kerja tidak bisa dilepaskan dari penggunaan TI dan semua

penggunaan TI mengandung risiko. Untuk memudahkan dalam penetapan konteks

dan risk universe, langkah yang digunakan sebagai berikut:

5.1 Menetapkan Level dan Cakupan Aset TI

Risiko TI menurut RiskIT dibagi dalam tiga kategori yaitu: level strategis, proyek

dan operasional seperti yang sudah dijelaskan dalam landasan teori subbab 2.1.

Pada penelitian ini kategori risiko yang dipilih adalah level operasional dan

proyek. Pembatasan ini dilakukan karena operasional proses kerja saat ini sudah

berjalan dan ada beberapa proyek TI dalam pengembangan sehingga risiko


53


operasional dan proyek memiliki dampak yang lebih besar terhadap organisasi

apabila terjadi gangguan. Untuk menentukan aset TI yang menjadi obyek dari

manajemen risiko diperlukan prioritas proses kerja, mengingat banyaknya proses

kerja di Ditjen Dukcapil baik yang core maupun support dan masing-masing

memiliki kategori dampak yang berbeda-beda sehingga prioritasi proses kerja

sangat penting.

5.1.1 Penetapan Proses Kerja dan Aset TI Prioritas

Prioritas proses kerja berasal dari tingkat ketergantungan suatu organisasi

terhadap suatu proses kerja. Semakin eksistensi organisasi tersebut bergantung

kepada suatu proses kerja, maka semakin prioritas proses kerja tersebut.

Pada saat ini, seiring dengan perkembangan jaman dan teknologi, semakin vital

pula peranan TI dalam memfasilitasi keberjalanan proses kerja. Oleh karena itu,

analisis keberadaan dan keberjalanan aset TI pendukung proses kerja menjadi

suatu hal penting yang tidak terlepaskan dari analisis prioritas proses kerja pada

suatu organisasi.

Ketiga proses kerja prioritas (core) tersebut diciptakan karena berjalannya fungsi

Ditjen Dukcapil untuk identifikasi ketunggalan data penduduk sehingga terwujud

tertib administrasi kependudukan sesuai dengan amanat Undang-Undang No. 23

Tahun 2006 tentang Administrasi Kependudukan.

Oleh karena itu aset TI yang terkait dengan keberjalanan proses pengolahan

menjadi aset prioritas yang harus dijaga keberadaan dan keberjalanannya. Aset TI

yang mendukung proses kerja dan analisis ditunjukkan pada Tabel 5.1.

Tabel 5.1 Proses Kerja dan Aset TI Prioritas

Fungsi Proses Kerja

Prioritas Aset TI

1. Fungsi

penerimaan data

hasil perekaman

e-KTP dan

pengembalian

status data dari

dan ke kecamatan

1. Penerimaan data

hasil perekaman

e-KTP dan

pengembalian

status data dari

dan ke

kecamatan

1. People (SDM):

o Team Leader/Project

Manager

o Project Admin

o Team DBA


54


tempat

perekaman

2. Fungsi

identifikasi

ketunggalan data

3. Fungsi

penyimpanan data

tempat

perekaman

2. Identifikasi

Ketunggalan

Data

3. Penyimpanan

data

o Sistem Administrator

o Security Jaringan

o Helpdesk Administrator

o Sistem Analis

o Ahli Mekanikal dan Elektrikal

2. Process:

o Kebijakan/SOP Data Center

KTP Elektronik (e-KTP)

3. Technology:

o Aplikasi Message Queue (MQ)

o Aplikasi Biometric

Middleware (BMW)

o Aplikasi Automated Biometric

Identification System (ABIS)

o Aplikasi IDMS Pusat

o Sistem Operasi, Software

Analysis, Software Database,

Software Backup, dan

Software Development

o Perangkat Server

257 Perangkat keras HP Server

Blade BL 460 C

o Perangkat Jaringan

a. ProCurve dengan tipe :

ProCurve 6120G/XG Blade

Switch;

b. Perangkat core dan

Distribution Switch (Cisco

Catalyst 6500; Cisco

Firewall ASA 5020; Cisco

ACS 1120; Cisco Catalyst

4948; Cisco Catalyst 3750;

dan Cisco Nexus 5020);

c. Perangkat SAN Switch

dengan tipe : ProCurve

6120G/XG Blade Switch.

o Perangkat Storage

a. 4 Rack Storage 3Par V800;

b. 2 Rack Storage 3Par T800.


55


o Perangkat Pendukung

a. Perangkat UPS (5 Module

UPS merek Vektor @ 5

Ampere);

b. Perangkat AC (AC Citec

masing-masing 10 PK);

c. Perangkat Genset (1 unit

Genset dengan kapasitas

250 KVA).

5.2 Menentukan Skenario Risiko TI

RiskIT menyediakan Generic IT Risk Scenario yang dapat digunakan sebagai titik

awal untuk analisis risiko. Berdasarkan level dan daftar aset TI prioritas yang

telah ditetapkan menjadi obyek manajemen risiko TI maka dilakukan pemetaan

skenario risiko TI yang relevan dengan level dan aset TI tersebut. Hasil pemetaan

aset TI ke High Level Generic Scenario terlihat pada Tabel 5.2.

Tabel 5.2 Hasil Pemetaan Aset TI ke Skenario Risiko TI

No. Aset TI Konteks Ancaman Skenario Risiko

1. Arsitektur TI Strategi TI

untuk core

business

Failure New Technologies

2. Sistem

Operasi,

Software

Analysis,

Software

Database,

Software

Backup, dan

Software

Development

Software

operasional

core business

Failure Ageing of application

software

3. Aplikasi MQ,

BMW, ABIS

dan IDMS

Proyek e-KTP Failure Software

Implementation

4. Proses

penerimaan

barang/jasa

Proyek e-KTP Failure Project Quality

5. Proses

Pengelolaan

Penyedia Jasa

untuk Support

Failure Selection/ performance

of third party suppliers


56


Layanan

Pihak Ketiga

Operasional

core Business

6. Server Infrastruktur Malicious Infrastructure Theft

7. Infrastruktur

TI

Infrastruktur

core business

Accidental,

Malicious

Destruction of

Infrastructure

8. Proses

pengelolaan

SDM TI

Staf TI dalam

operasional

core business

Failure IT Staff

9. SDM Keahlian staf

TI dalam

operasional

core business

Failure IT Expertise and Skills

10. Aplikasi MQ,

BMW, ABIS

dan IDMS

Aplikasi MQ,

BMW, ABIS

dan IDMS

Accidental,

Malicious

Software Integrity

11. Server,

switch, router,

LAN, Firewall

Perangkat

server core

Accidental,

Malicious

Infrastrucure

(hardware)

12. Aplikasi MQ,

BMW, ABIS

dan IDMS

Kinerja

Aplikasi MQ,

BMW, ABIS

dan IDMS

Failure Software performance

13. Server

aplikasi dan

database

Penyediaan

kapasitas

Aplikasi MQ,

BMW, ABIS

dan IDMS

Failure System capacity

14. Sistem

Operasi,

Software

Analysis,

Software

Database,

Software

Backup, dan

Software

Development

Umur

software

operasional

core business

Failure Ageing of

infrastructural

software

15. Server, laptop,

sistem

operasi,

aplikasi (MQ,

BMW, ABIS

dan IDMS),

Software

Analysis,

Software

Database,

Infrastruktur

core business

Malicious Malware


57


Software

Backup, dan

Software

Development

16. Proses

memastikan

keamanan

sistem,

arsitektur

aplikasi,

arsitektur TI

Serangan dari

internet

terhadap

sistem core

business

Malicious Logical attacks

17. SOP Data

Center e-KTP

Media

portable

Failure Information Media

18. UPS, prosedur

pengelolaan

layanan

dengan pihak

ketiga

Power Failure Utilities performance

19. Data Data hasil

perekaman e-

KTP (core

database)

Failure,

Malicious

Data(base) integrity

20. PC, aplikasi

(MQ, BMW,

ABIS dan

IDMS), sistem

database dan

data

Hak akses Malicious Logical trespassing

21. Prosedur

backup data,

SOP Data

Center e-KTP,

Sistem

Operasi,

Sistem

Database

Kegiatan

backup

Failure Operational IT errors

22. Proses

kepatuhan

terhadap

lisensi

Lisensi

software

untuk core

business

Failure,

Malicious

Contractual

Compliance

23. Infrastruktur,

SDM

Bencana alam Natural Acts of nature


58


5.3 Menentukan Parameter Probabilitas/Likelihood/Kecenderungan

Parameter Probabilitas/Likelihood/Kecenderungan yang digunakan dalam

penelitian ini sebagai berikut:

Tabel 5.3 Parameter Probabilitas/Likelihood/Kecenderungan

(Sumber: Risk Based Audit, Audit Internal Bank XYZ, 2007,

“telah diolah kembali”)

Nilai Jumlah Kejadian Per Tahun (N) Keterangan

1 N ≤ 0,1 Sangat jarang

2 0,1 < N ≤ 1 Jarang

3 1 < N ≤ 10 Kadang-kadang

4 10 < N ≤ 100 Sering

5 N > 100 Sangat sering

5.4 Menentukan Parameter Dampak

Parameter Dampak yang digunakan dalam penelitian ini sebagai berikut:

Tabel 5.4 Standar Parameter Dampak



Nilai Keuang-

an

Strategis Operasi-

onal

Legal Reputasi

Sangat

kecil

1 X ≤ 50

Juta

Tidak memiliki

dampak

Tidak

memiliki

dampak

Tidak memiliki

dampak

Tidak

memiliki

dampak

Kecil 2 50 Juta

< X ≤

100 Juta

Tertundanya

implementasi rencana

organisasi dalam

jangka pendek (s/d 1

tahun), namun tidak

mengubah rencana

strategis

Operasional

terganggu,

namun

dapat

diatasi

segera

dengan

sumber

daya yang

ada

Adanya

keberanian dari

pihak

stakeholder

terhadap

pelanggaran

ketentuan

perundang-

undangan

Terbentuknya

opini negatif

antar

Kelompok

Kerja,

sehingga

berdampak

hilangnya

kepercayaan

pada

organisasi


59


Sedang 3 100 Juta

< X ≤

500 Juta

Tertundanya


strategis jangka

panjang (> 1 tahun),

namun tidak

mengubah rencana

strategis

Operasional

terganggu

dan tidak

dapat

diatasi

segera

dengan

sumber

daya yang

ada, namun

tidak

terhentinya

proses

bisnis lain

Adanya surat

peringatan dari

individu/instansi

yang

berwenang,

namun tidak

menimbulkan

kerugian

signifikan

terhadap

organisasi

Terbentuknya

opini negatif

dari Pihak

Eksternal

(Pihak

Pelapor),

sehingga

berdampak

hilangnya

kepercayaan

pada internal

organisasi

Besar 4 500 Juta

< X ≤ 1

Milyar

Tertundanya


strategis, sehingga

organisasi harus

melakukan perubahan

rencana strategis

Operasional

terganggu

dan tidak

dapat

diatasi

segera

dengan

sumber

daya yang

ada,

sehingga

sebagian

proses

bisnis

lainnya

terhenti

Adanya tuntutan

hukum dari

individu

dan/atau

instansi yang

berwenang,

sehingga dapat

menimbulkan

kerugian

signifikan

terhadap

organisasi

namun tidak

sampai

menyebabkan

organisasi

terhenti

Terbentuknya

opini negatif

yang terjadi

sampai

Masyarakat

luas dan

publikasi

oleh media

massa,

sehingga

berdampak

hilangnya

kepercayaan

pada

organisasi

secara

keseluruhan

namun tidak

menyebabkan

organisasi

terhenti


60


Sangat

besar

5 X > 1

Milyar

Tidak dapat

mengimplementasikan

rencana strategis,

sehingga organisasi

gagal dalam

melaksanakan peran

dan fungsinya.

Operasional

terganggu

dan tidak

dapat

diatasi

segera,

sehingga

sebagian

besar

proses

bisnis

lainnya

terhenti

Adanya tuntutan

hukum dari

individu

dan/atau

instansi yang

berwenang

terhadap

keseluruhan

organisasi,

sehingga

menimbulkan

kerugian sangat

besar dan dapat

menyebabkan

organisasi

terhenti/dilarang

beroperasi

Terbentuknya

opini negatif

yang terjadi

sampai

dengan

masyarakat

luas dan

publikasi

oleh media

massa,

sehingga

berdampak

hilangnya

kepercayaan

dan

terhentinya

organisasi

secara

keseluruhan

5.5 Menentukan Standar Rating Risiko

Standar Rating Risiko yang digunakan dalam penelitian ini sebagai berikut:

Tabel 5.5 Matriks Risiko



Nilai

Kecen-

derung-

an

Nilai Dampak

Sangat

Kecil

(1)

Kecil

(2)

Sedang

(3)

Besar

(4)

Sangat

Besar

(5)

Sangat

Jarang

(1)

Rendah

(1) Rendah (2)

Menengah

Rendah

(3)

Menengah

(4)

Menengah

(5)

Jarang

(2)

Rendah

(2)

Menengah

(4)

Menengah

(6)

Menengah

(8)

Menengah

Tinggi (10)

Kadang-

kadang

(3)

Menengah

Rendah

(3)

Menengah

(6)

Menengah

(9)

Menengah

Tinggi (12) Tinggi (15)

Sering

(4)

Menengah

(4)

Menengah

(8)

Menengah

Tinggi (12) Tinggi (16) Tinggi (20)

Sangat

Sering

(5)

Menengah

(5)

Menengah

Tinggi (10) Tinggi (15) Tinggi (20) Tinggi (25)


61


Tabel 5.6 Matriks Nilai Risiko



Rentang rating

risiko (R)

Deskripsi

14 < R ≤ 25 Tinggi (H)

9 < R ≤ 14 Menengah Tinggi (MH)

3 < R ≤ 9 Menengah (M)

2 < R ≤ 3 Menengah Rendah (LM)

0 < R ≤ 2 Rendah (L)



BAB 6

PENILAIAN RISIKO

Penilaian Risiko merupakan bagian dari kegiatan proses manajemen risiko yang

mencakup keseluruhan proses dari kegiatan menganalisis risiko dan mengevaluasi

risiko. Kegiatan menganalisis risiko berupa kegiatan menggunakan informasi

yang tersedia secara sistematis untuk menentukan kemungkinan kejadian yang

terjadi yang berdampak pada organisasi. Sedangkan kajian risiko merupakan suatu

proses yang digunakan untuk menentukan prioritas risiko gangguan dengan cara

membandingkan tingkatan suatu risiko dengan standar, target ataupun kriteria

lainnya.

Maksud dari penilaian risiko adalah menentukan peristiwa dan lingkungan sekitar

yang dapat mempengaruhi suatu organisasi dan sumber dayanya, dampak

kerusakan dari peristiwa tersebut, dan pengendalian yang diperlukan untuk

mencegah atau meminimalkan dampak dari potensi kerugian. Tujuannya adalah

untuk mengetahui kontrol yang diperlukan untuk mengurangi risiko, sehingga

kemudian organisasi dapat melakukan investasi dalam pengendalian untuk

mengurangi risiko. Potensi gangguan atau bencana tersebut dapat bermacam-

macam, seperti yang alamiah oleh alam, oleh manusia (sengaja atau tidak

disengaja), risiko kerja, spesifik terkait teknologi informasi dan lain-lain.

Tujuan dari penilaian risiko dalam penggunaan TI ini adalah mendapatkan profil

risiko TI yang dapat membantu manajemen untuk mengelola risiko dari

pemanfaatan TI di organisasi.

Pada proses penilaian risiko, penulis memberikan Form kompilasi analisis risiko

TI yang diperoleh dari hasil proses penetapan konteks dapat dilihat pada Tabel 5.2

Hasil Pemetaan Aset TI ke Skenario Risiko TI dan melakukan wawancara dengan

Person In Charge (PIC) dan Kasubdit Pengelolaan Data Administrasi

Kependudukan selaku Ketua Tim Teknis Penerapan e-KTP secara langsung.

Selain wawancara, penulis juga melakukan observasi atas potensi risiko bencana

dan pengendalian yang telah diterapkan di lingkungan Data Center e-KTP.


63


Pada saat ini Ditjen Dukcapil belum memiliki kerangka kerja manajemen risiko

TI, untuk penilaian risiko menggunakan acuan Kerangka Kerja RiskIT yang telah

menyediakan skenario risiko berjumlah 36 high level scenario. Dalam penelitian

ini hanya menggunakan 23 high level dengan pertimbangan relevansi dengan level

dan cakupan aset TI yang sudah ditentukan pada penetapan konteks dan risk

universe.

6.1 Metodologi Penilaian Risiko

Penilaian risiko adalah untuk menilai sejauh mana dampak dari kejadian atau

keadaan dapat mengganggu pencapaian tujuan organisasi. Besar dari dampak

diketahui dari inherent risk dan residual risk. Kemudian risiko-risiko tersebut

dianalisis dengan melihat kecenderungan atau peluang dan impact atau

consequence, serta besaran dari terealisasinya risiko. Besarnya risiko atas setiap

kegiatan organisasi merupakan perkalian antara likelihood dan consequence.

Inherent risk adalah tingkat risiko sebelum diterapkan pengendalian/kontrol

sedangkan residual risk adalah tingkat risiko setelah diterapkannya

pengendalian/kontrol. Dalam mewujudkan tujuan dari proses evaluasi risiko,

berikut adalah metodologi yang digunakan dalam penilaian risiko:

Gambar 6.1 Metodologi Penilaian Risiko

Pengisian

Form

Kompilasi

Analisis

Risiko

Validasi

Hasil

Kompilasi

Analisis

Risiko

Analisis

Hasil

Validasi

Hasil

Penilaian

Risiko

Pengisian

Template

Risiko

Aset

Informasi


64


6.2 Pengisian Template Risiko Aset Informasi

Dalam melakukan penilaian risiko digunakan Template Risiko Aset Informasi

untuk menghasilkan gambaran dampak risiko jika terjadi gangguan pada aset TI.

Pengisian Form ini melibatkan PIC yang menangani aset TI dan hasilnya

divalidasi oleh Kasubdit Pengelolaan Data Administrasi Kependudukan (PDAK)

selaku Ketua Tim Teknis Penerapan e-KTP. Tabel Template Risiko Aset

Informasi yang digunakan untuk mengumpulkan data kajian risiko secara lengkap

diberikan dalam Lampiran 1.

6.3 Pengisian Form Kompilasi Analisis Risiko

Dalam melakukan pengukuran risiko selanjutnya digunakan Form Kompilasi

Analisis Risiko untuk menghasilkan gambaran dampak risiko jika terjadi

gangguan pada aset TI. Pengisian form ini melibatkan PIC yang menangani aset

TI dan hasilnya divalidasi oleh Kasubdit Pengelolaan Data Administrasi

Kependudukan (PDAK) selaku Ketua Tim Teknis Penerapan e-KTP.

Dalam Form Kompilasi Analisis Risiko tersebut, PIC mengisi probabilitas dari isu

risiko (risk issue) aset TI yang mungkin timbul, dampak dari risk issue aset TI jika

terjadi dan efektivitas kontrol. Nilai efektivitas kontrol diperoleh dengan cara

mengukur kontrol eksisting dengan memperhatikan faktor kemudahan operasional

dan ketahanan dari ancaman. Sedangkan dampak risiko di Ditjen Dukcapil sudah

didefinisikan dalam Tabel 5.4. Setelah dilakukan pengisian probabilitas, dampak

dan efektivitas kontrol maka diketahui Nilai Risiko Dasar (NRD) atau inherent

risk dan Nilai Risiko Akhir (NRA) atau residual risk. NRD merupakan hasil

perkalian antara nilai probabilitas dan nilai dampak sedangkan NRA nilai setelah

adanya pengendalian atau efektivias kontrol. NRA dapat diperoleh dari hasil

perkalian probabilitas residual dengan dampak residual. Probabilitas residual

adalah nilai probabilitas yang tersisa setelah adanya efektivitas kontrol yang dapat

mengurangi probabilitas awal. Dampak residual adalah nilai dampak yang tersisa

setelah adanya efektivitas kontrol yang dapat mengurangi dampak awal. Tabel

Form Kompilasi Analisis Risiko yang digunakan untuk mengumpulkan data

kajian risiko secara lengkap diberikan dalam Lampiran 2.


65


Form Kompilasi Analisis Risiko ini berasal dari kombinasi Tabel 5.2 Hasil

Pemetaan Aset TI ke Skenario Risiko TI pada subbab 5.2 dengan probabilitas dan

dampak yang ada.

6.4 Pengukuran Efektivitas Kontrol

Pengukuran dilakukan dengan cara memberikan Form efektivitas kontrol kepada

PIC untuk membandingkan kontrol best practices dari COBIT dengan kontrol

eksisting untuk setiap skenario risiko TI. Perbandingan tersebut memperhatikan

efektivitas desain (keberadaan kontrol) dan operasional (kemudahan penggunaan).

Dari efektivitas operasional inilah yang dijadikan sebagai ukuran untuk

menentukan seberapa besar kontrol eksisting dapat mengurangi probabilitas dan

dampak. Nilai efektivitas kontrol pada probabilitas dan dampak dalam bentuk

persentase. Hasil pengukuran efektivitas kontrol ini terdapat di Lampiran 3 Form

Pengukuran Efektivitas Kontrol sebagaimana terlampir.

6.5 Validasi Hasil Kompilasi Analisis Risiko

Setelah dilakukan pengisian form kompilasi analisis risiko oleh PIC, penulis

melakukan validasi kembali kepada PIC tersebut untuk memastikan bahwa data

yang diisikan benar kemudian setelah itu melakukan rekapitulasi dan

menyampaikan ke pimpinan TI untuk mendapatkan persetujuan.

6.6 Analisis Hasil Kompilasi Analisis Risiko

Hasil validasi kompilasi analisis risiko disesuaikan dengan tingkat risiko

organisasi yang sudah disepakati dalam draft final pedoman manajemen risiko.

Tingkat risiko yang disepakati adalah rendah, untuk itu hasil NRD dan NRA

apabila nilai risiko di atas rendah maka harus dilakukan pengendalian untuk

mendapatkan nilai risiko yang diterima organisasi. Penyesuaian tingkat risiko

dilakukan agar data tersebut lebih mewakili potensi risiko Ditjen Dukcapil.

6.7 Hasil Penilaian Risiko

Setelah melakukan evaluasi atas hasil validasi kompilasi analisis risiko, maka

dapat dilakukan penilaian risiko terhadap penggunaan TI untuk mendukung

proses kerja pelaporan dan analisis data transaksi keuangan. Penilaian tersebut

dilakukan dengan melakukan analisis atas risiko dan kecukupan pengendalian


66


yang ada. Hal tersebut untuk memastikan kecukupan pengendalian pada proses

operasional penggunaan TI.

Hal yang menjadi perhatian dalam penilaian risiko adalah mengidentifikasi

kemungkinan terjadinya gangguan (probability), tingkat kerusaakan (severity),

akibat (impact) yang dapat terjadi yang disebabkan oleh ancaman terhadap aset

TI.

6.7.1 Daftar Risiko TI

Daftar risiko TI yang dihasilkan terdiri dari 64 risk issue dengan rekapitulasi

seperti tampak pada Tabel 6.1. Daftar risiko TI secara lengkap diberikan dalam

Lampiran 2.

Tabel 6.1 Rekapitulasi Risiko Berdasarkan Aset

No. Kategori Aset Jumlah Risk issue Presentase (%)

1. Aplikasi 4 6,25

2. Fasilitas 1 1,56

3. Infrastruktur TI 14 21,88

4. Informasi/Data 7 10,94

5. Proses 36 56,25

6. SDM 2 3,13

Total 64 100%

Tabel 6.2 Rekapitulasi Risiko Berdasarkan Skenario Risiko TI

No. Skenario Risiko Jumlah Risk issue

1. New Technologies 1

2. Ageing of application

software

1

3. Software Implementation 2

4. Project Quality 1

5. Selection/performance of

third-party suppliers

1


67


6. Infrastructure theft 2

7. Destruction of

infrastructure

2

8. IT staff 2

9. IT expertise and skills 1

10. Software Integrity 4

11. Infrastructure (hardware) 5

12. Software performance 1

13. System capacity 2

14. Ageing of Infrastructural

Software

3

15. Malware 6

16. Logical attacks 4

17. Information media 3

18. Utilities performance 1

19. Data(base) integrity 4

20. Logical trespassing 6

21. Operasional IT errors 8

22. Contractual compliance 1

23. Acts of nature 3

Total 64

6.7.2 Hasil Penilaian Risiko Terhadap Inherent Risk

Berdasarkan analisis hasil validasi kompilasi analisis risiko dapat diketahui hasil

pengukuran risiko yang menggambarkan dampak risiko yang terdapat pada proses

kerja kritikal yang menggambarkan dampak risiko yang terdapat pada proses kerja

kritikal yang didukung penggunaan TI. Hasil pengukuran risiko dikelompokkan

berdasarkan kategori aset dan skenario risiko sehingga dapat diketahui kategori

risiko dasar (inherent risk) yaitu risiko yang dihitung tanpa memasukkan unsur

pengendalian yang telah diterapkan. Adapun rekapitulasi hasil penilaian risiko


68


dasar disusun berdasarkan aspek aset terlihat pada Tabel 6.3 sedangkan

berdasarkan skenario risiko terlihat pada Tabel 6.4 di bawah ini:

Tabel 6.3 Hasil Penilaian Risiko Inherent Risk Kategori Aset

No. Kategori Aset Nilai Risiko Dasar

Rendah Rendah

Menengah

Menengah Menengah

Tinggi

Tinggi

1. Aplikasi 0 0 3 1 0

2. Fasilitas 0 0 1 0 0

3. Infrastruktur

TI

2 1 9 1 1

4. Informasi/Data 1 0 6 0 0

5. Proses 5 1 29 0 1

6. SDM 0 0 1 1 0

Total 8 2 49 3 2

Tabel 6.4 Hasil Penilaian Risiko Inherent Risk Kategori Skenario Risiko

No. Skenario Risiko Nilai Risiko Dasar

Ren-

dah

Rendah

Me-

nengah

Mene-

ngah

Menengah

Tinggi

Tinggi

1. New Technologies 1

2. Ageing of application

software

1

3. Software

Implementation

2


5. Selection/performance

of third-party

suppliers

1

6. Infrastructure theft 1 1

7. Destruction of

infrastructure

1 1

8. IT staff 2

9. IT expertise and skills 1

10. Software Integrity 4

11. Infrastructure

(hardware)

5

12. Software performance 1

13. System capacity 1 1

14. Ageing of

infrastructural

software

1 2


69


15. Malware 6


17. Information media 1 2

18. Utilities performance 1

19. Data(base) integrity 4

20. Logical trespassing 1 5

21. Operational IT errors 1 1 6

22. Contractual

Compliance

1

23. Acts of Nature 1 2

Total 5 4 53 0 2

6.7.3 Hasil Penilaian Risiko Terhadap Residual risk

Dari hasil wawancara dengan PIC, Kasubdit Pengelolaan Data Administrasi

Kependudukan (PDAK) dan pengumpulan data SOP di Direktorat Pengelolaan

Informasi Administrasi Kependudukan (PIAK), telah terdapat pengendalian

terhadap risiko-risiko yang ada, sehingga pengukuran risiko dapat dilihat dari

potensi risiko setelah dilakukannya pengendalian.

Penilaian ini diperlukan untuk melihat kecukupan pemenuhan pengendalian,

terhadap Inherent Risk sehingga risiko yang timbul dapat diminimalisasi. Setelah

dilakukan mitigasi, maka tingkat risiko tersebut dikatakan sebagai residual risk.

Setelah dilakukan pengendalian terhadap Inherent Risk, maka hasil potensi risiko

berkurang, sehingga dapat diberikan rekomendasi dari Residual risk sesuai

kategori risikonya. Dari rekomendasi atau residual risk tersebut DPIAK dapat

melakukan pengendalian terhadap risiko tersebut. Secara lebih rinci rekomendasi

pengendalian dapat dilihat pada Lampiran 2.

Adapun rekapitulasi tingkat risiko berdasarkan penilaian Residual risk terhadap

aset TI terlihat pada Tabel 6.5 sedangkan terhadap skenario risiko TI dapat dilihat

pada Tabel 6.6.


70


Tabel 6.5 Hasil Penilaian Risiko Residual Risk Kategori Aset

No. Kategori

Aset

Nilai Risiko Akhir Total

Ren-

dah

Rendah

Mene-

ngah

Mene-

ngah

Mene-

ngah

Tinggi

Tinggi

1. Aplikasi 3 1 0 0 0 4

2. Fasilitas 1 0 0 0 0 1

3. Infrastruktur

TI

12 1 0 0 1 14

4. Informasi /

Data

6 1 0 0 0 7

5. Proses 32 3 0 1 0 36

6. SDM 1 1 0 0 0 2

Total 55 7 0 1 1 64

Presentase (%) 85,94 10,94 0 1,56 1,56 100

Berdasarkan Tabel 6.6 di atas mayoritas risiko TI adalah rendah yaitu 85,94% (59

risk issue) dari total risk issue (64). Rincian hasil penilaian risiko dapat dilihat

pada Lampiran I. Terdapat 5 risk issue dan 4 skenario risiko TI (Tabel 6.6) yang

perlu mendapat perhatian manajemen karena tingkat risikonya di atas ambang

batas yang dapat diterima oleh organisasi.

Tabel 6.6 Hasil Penilaian Risiko Residual Risk Kategori Skenario Risiko

No. Skenario Risiko Nilai Risiko Akhir

Ren-

dah

Rendah

Mene-

ngah

Mene-

ngah

Mene-

ngah

Tinggi

Tinggi

1. New

Technologies

1

2. Ageing of

application

software

1

3. Software

Implementation

2


5. Selection/perfor

mance of third-

party suppliers

1

6. Infrastructure

theft

2


71


7. Destruction of

infrastructure

1 1

8. IT staff 2

9. IT expertise and

skills

1

10. Software

Integrity

4

11. Infrastructure

(hardware)

5

12. Software

performance

1

13. System capacity 1 1

14. Ageing of

infrastructural

software

3

15. Malware 5 1


17. Information

media

3

18. Utilities

performance

1

19. Data(base)

integrity

3 1

20. Logical

trespassing

6

21. Operational IT

errors

8

22. Contractual

Compliance

1

23. Acts of Nature 3

Total 59 3 0 1 1

Setelah dilakukan penilaian risiko, maka risk issue tersebut dapat disajikan dalam

risk map sebagai berikut:

1. Risk Map

Tabel 6.10 di bawah ini menampilkan distribusi risiko yang dipetakan ke

dalam grafik dua dimensi antara kecenderungan dan dampak disebut risk

map. Keterangan lebih lengkap untuk tingkat kecenderungan dan dampak

yang sudah ditetapkan oleh organisasi dapat dilihat pada sub bab 5.3 dan 5.4

pada penentuan konteks dan skenario risiko.


72


Dam

pak

Sangat

besar (5)

0 4 2 0 0 6

Besar (4) 3 1 0 0 0 4

Sedang

(3)

2 11 6 0 0 19

Kecil (2) 4 17 9 1 0 31

Sangat

Kecil (1)

4 0 0 0 0 4

Total 13 33 17 1 0 64

Sangat

Jarang

(1)

Jarang

(2)

Kadang-

kadang

(3)

Sering

(4)

Sangat

Sering

(5)

Total

Probabilitas Kecenderungan

Berdasarkan risk map di atas, distribusi risk issue paling besar ada pada risk

issue yang memiliki dampak kecil yaitu sebanyak 31 risiko. Sedangkan dari

sisi kecenderungan yang paling besar adalah jarang yaitu sebanyak 33 risk

issue. Sehingga secara umum bisa dikatakan risiko masuk kategori

menengah.

2. Top IT Risks

Top IT Risks adalah risiko-risiko TI yang memiliki tingkat risiko di atas risk

appetite yang memerlukan prioritas untuk ditindaklanjuti penanganannya.

Risiko tersebut dikelompokkan ke skenario risiko TI sebagai berikut:

a. Destruction of Infrastructure

Terjadinya sabotase pada DC dan kerusakan laptop yang berisi data

sensitif dan belum adanya BCP, DRP dan DRC yang memadai, karena

yang ada saat ini hanya backup server saja.


73


b. System capacity

Sistem tidak dapat menangani volume transaksi ketika jumlah pengguna

naik dan sistem tidak dapat menangani beban ketika aplikasi atau

inisiatif baru di-deploy. Misalnya terdapat penduduk yang telah

melakukan perekaman e-KTP di tempat perekaman dengan jaringan

online ke Data Center (DC) e-KTP, namun saat dicek data penduduk

yang telah merekam tersebut tidak ada di DC.

c. Malware

Intrusion malware pada laptop yang berisi data sensitif.

d. Data(base) integrity

Kesengajaan memasukkan dan memodifikasi data yang menyebabkan

ketidakakuratan data.



BAB 7

STRATEGI DAN LANGKAH MITIGASI

Untuk melengkapi profil risiko TI organisasi, dilakukan proses mitigasi risiko TI

yang sudah dihasilkan dari proses penilaian risiko. Selanjutnya dapat dirancang

langkah mitigasi dengan melakukan pemetaan skenario risiko TI ke COBIT untuk

mendapatkan proses-proses TI yang relevan. Mitigasi risiko secara umum perlu

memperhatikan kecukupan aspek manusia, proses dan teknologi. Risiko yang

tingkat risikonya di atas batas risk appetite yang sudah ditetapkan organisasi

dilakukan langkah mitigasi. Risiko tersebut dikelompokkan ke skenario risiko TI

untuk memudahkan pemetaan ke COBIT. Skenario risiko TI yang dipetakan yaitu

destruction of infrastructure, malware, system capacity dan data(base) integrity.

Langkah mitigasi skenario risiko TI high level scenario RiskIT untuk Destruction

of Infrastructure sebagai berikut:

Essential

control

Control

reference

Control rule Langkah Mitigasi

1. Destruction of Infrastructure

Deskripsi risiko:

- Terjadinya sabotase pada DC

Ya DS12 DS12.2 Physical

Security

Measures

Manusia:

- Wajib menggunakan kartu

identitas selama berada di

lingkungan kerja;

- Kesadaran memelihara peralatan

yang tidak diberikan;

- Pelatihan SDM;


Access


Fasilities


75


Management

Proses:

- Membuat Standar Operasional

Prosedur Teknis tentang

Pemeliharaan Peralatan yang

komprehensif;

- Kebijakan melarang masuknya

alat dengan kemampuan merekam

dan meng-copy ke dalam wilayah-

wilayah kerja tertentu, kecuali

telah ada ijin sebelumnya;

- Kebijakan menentukan area kerja

terbatas.

Teknologi:

- Pemasangan CCTV pada Data

Center diperbanyak;

- BCP, DRP dan DRC yang

memadai (tidak hanya backup

server).

Langkah mitigasi skenario risiko TI high level scenario RiskIT untuk malware

sebagai berikut:

Essential

control

Control

reference


2. Malware

Deskripsi risiko:

- Intrusion malware


76


Ya DS5 DS5.5 Security

Testing,

Surveillance

and

Monitoring

Manusia:

- Terdapat staf TI yang

bertanggung jawab atas keamanan

TI;


bertanggung jawab atas update

patches keamanan dan virus.

Proses:

- Direktorat Pengelolaan Informasi

Administrasi Kependudukan

(PIAK) melakukan sosialisasi

kesadaran keamanan informasi;



(PIAK) melakukan perlindungan

terhadap kode jahat yang

didasarkan pada pendeteksian

awal, perbaikan software,

kesadaran keamanan, dan

pengendalian manajemen

perubahan dan sistem akses yang

memadai;



(PIAK) menetapkan petunjuk

pengelolaan dan tanggungjawab

untuk menangani antisipasi kode

jahat terhadap sistem yang

berjalan, pelatihan yang

diperlukan, pelaporan dan

Ya DS5 DS5.9 Malicious

Software

Prevention,

Detection

and

Correction

Ya PO6 PO6.3 IT Policies

Management

Ya PO6 PO6.4 Policy,

Standard

and

Procedures

Rollout


77


perbaikan dari serangan kode

jahat;



(PIAK) mendeteksi dan

mencegah terjadinya malicious

code yang mungkin dikirim pada

saat terjadinya komunikasi

elektronis;



(PIAK) melarang penggunaan

software secara ilegal di

lingkungan Ditjen Dukcapil dan

melaksanakan petunjuk untuk

perlindungan atas adanya risiko

ketika menerima file dan software

dari jaringan eksternal atau dari

perantara jaringan yang lain;

- Pemeriksaan untuk setiap file

elektronis dan media optik, dan

file yang diterima jaringan,

terhadap kode jahat sebelum

penggunaan.

Teknologi:

- Penggunaan anti virus dan anti

spam

Langkah mitigasi skenario risiko TI high level scenario RiskIT untuk

System Capacity sebagai berikut:


78


Essential

control

Control

reference


3. System Capacity

Deskripsi risiko:

- Sistem tidak dapat menangani volume transaksi ketika jumlah pengguna

naik. Ketidaksengajaan melakukan modifikasi aplikasi yang menyebabkan

hasil yang tidak diharapkan

- Sistem tidak dapat menangani beban ketika aplikasi atau inisiatif baru di-

deploy

Ya DS3 DS3.1 Performance

and Capacity

Planning

Manusia:

Terdapat staf TI yang bertanggung

jawab atas perencanaan dan

monitoring

Proses:

- Kebijakan yang menetapkan

adanya capacity planning,

monitoring dan evaluasi untuk

seluruh implementasi sistem

informasi;

- Untuk setiap sistem informasi

yang dikembangkan harus

memiliki capacity plan.

Teknologi:

- Alat untuk monitoring resource.

Ya AI3 AI3.3 Infrastructure

Maintenance

Ya DS3 DS3.3 Future

Performance

and Capacity

Ya DS3 DS3.4 IT Resources

Avalilability

Ya DS3 DS3.5 Monitoring

and

Reporting

Langkah mitigasi skenario risiko TI high level scenario RiskIT untuk Data(base)

Integrity sebagai berikut:


79


Essential

control

Control

reference


4. Data(base) Integrity

Deskripsi risiko:

- Kesengajaan memasukkan dan memodifikasi data yang menyebabkan

ketidakakuratan data.

Ya PO4 PO4.9 Data and

System

Ownership

Manusia:


bertanggung jawab atas

pengelolaan database;



keamanan database;

- Menumbuhkan kesadaran untuk

menjaga integritas dan

keamanan data.

Proses:

- Direktorat PIAK berwenang

mengendalikan akses ke jaringan

data dan layanan yang ada di

jaringan data, serta untuk

menetapkan kriteria yang harus

dipenuhi untuk mengakses

jaringan data, siapa saja yang

diperbolehkan mengakses

jaringan data, serta jaringan dan

layanan jaringan apa saja yang

diperbolehkan untuk diakses;

Ya AI6 AI6.1 Change

Standards

and

Procedures

Ya DS9 DS9.3 Configuration

Integrity

Review

Ya DS11 DS11.2 Storage and

Retention

Arrangements

Ya DS11 DS11.6 Security

Requirements

for Data

Management


80


- Pemberian hak akses sesuai

kebutuhan.

- Menerapkan enkripsi pada

informasi yang sensitif/kritikal

baik selama penyimpanan

maupun pemindahan untuk

memastikan kerahasiaan;

- Menyusun SOP tentang

pelabelan dan penanganan

informasi (pemrosesan,

penyimpanan, penyebaran

sampai penghapusannya);

- Melakukan update SOP

database;

- Rotasi pegawai;

- Direktorat PIAK harus

memastikan bahwa penggunaan

jaringan selalu dipantau,

dibatasi, dan/atau dilarang untuk

tujuan tertentu, seperti

pemindahan data yang tidak ada

kaitannya dengan kegiatan

Ditjen Dukcapil, akses interaktif

dan aplikasi interaktif yang dapat

memindahkan data ke tempat

lain;

- Direktorat PIAK menempatkan

fasilitas pengolah informasi yang

menangani data yang sensitif

sedemikian rupa sehingga pada


81


saat aplikasi digunakan,

informasi yang ada di layar tidak

dapat dilihat oleh orang yang

tidak berkepentingan;

- Unit kerja yang membawahi

bidang SDM (Bagian

Kepegawaian) memastikan

bahwa seluruh pegawai Ditjen

Dukcapil menyetujui peran dan

tanggung jawab keamanan

informasi yang diberikan kepada

mereka dengan menandatangani

surat perjanjian yang

menyatakan kesanggupan

menjaga kerahasiaan dan

larangan penyingkapan untuk

jenis aset informasi yang bersifat

sensitif bagi Ditjen Dukcapil;

- Seluruh pegawai Ditjen

Dukcapil harus menandatangani

pembaruan perjanjian

kerahasiaan sebagai bagian dari

perjanjian kontrak kerja

pegawai;

- Dalam aktivitas pengembangan

dan pemeliharaan sistem

informasi unit kerja yang

membawahi bidang

Pengembangan Aplikasi Sistem

serta unit kerja pengguna dan

pemilik aplikasi harus


82


memastikan bahwa seluruh

aplikasi yang ada di Ditjen

Dukcapil telah memiliki

pengendalian memadai, yang

minimal mampu melakukan

validasi data masukan, validasi

pemrosesan, dan validasi data

keluaran.

Teknologi:

Menggunakan kode rahasia / kode

sandi / kode acak / kriptografi yang

berbeda untuk setiap aplikasi yang

berbeda.

Berdasarkan keempat langkah mitigasi risiko dari lima profil risiko di atas sangat

mendukung tugas DPIAK dalam melaksanakan tugasnya yaitu melaksanakan

sebagian tugas Direktorat Jenderal di bidang informasi kependudukan khususnya

dalam menyelenggarakan fungsi sebagai berikut:

1. Penyiapan perumusan kebijakan dan fasilitasi pengembangan sistem dan

teknologi informasi;

2. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan kelembagaan

sumber daya informatika;

3. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan pengolahan data

kependudukan;

4. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan pelayanan

informasi kependudukan.

Selain dapat mendukung tugas pokok dan fungsi, juga dapat mendukung

terwujudnya tujuan tertib administrasi kependudukan yaitu tertib database

kependudukan, penerbitan NIK dan dokumen kependudukan.



BAB 8

KESIMPULAN DAN SARAN

Pada bab ini berisi tentang kesimpulan yang didapat dari hasil penelitian dan juga

saran mengenai penelitian ini.

8.1 Kesimpulan

Berdasarkan pembahasan yang dilakukan dari proses penilaian risiko, strategi dan

langkah mitigasi, dapat ditarik kesimpulan sebagai berikut:

1. Terdapat 64 risk issue (isu risiko) dalam penggunaan TI, yang

dikelompokkan ke dalam 23 high level skenario risiko.

2. Secara umum tingkat risiko penggunaan TI untuk mendukung proses kerja

utama Ditjen Dukcapil adalah rendah yaitu 85,94% (59 risk issue) dan

7,81% (5 risk issue dari 4 skenario RiskIT) yang tingkat risikonya di atas

batas risk appetite (risiko yang dapat diterima oleh organisasi).

3. Risiko yang paling tinggi tingkat risikonya adalah terjadinya sabotase pada

DC dengan nilai risiko 15 (tinggi) dan sistem tidak dapat menangani volume

transaksi yang besar dengan nilai risiko 11,25 (menengah tinggi).

4. Strategi untuk merespon risiko dari hasil penelitian ini 59 risk issue diterima

dan 5 risk issue dilakukan mitigasi.

5. Langkah mitigasi risiko yang dilakukan menggunakan kontrol yang ada di

COBIT dengan pendekatan kontrol pada manusia, proses dan teknologi.

6. Dengan profil risiko TI dapat dijadikan masukan atas pertimbangan bagi

manajemen dalam mengambil keputusan yang lebih baik berdasarkan

pengetahuan risiko yang dimiliki sehingga alokasi penggunaan sumber daya

lebih efisien.

7. Dengan mengetahui risiko penggunaan TI mendorong kesadaran bagi

seluruh pegawai untuk melindungi aset TI dan citra organisasi.

8. Secara lengkap profil risiko TI serta langkah mitigasinya dapat dilihat pada

Lampiran 4.


84


Evaluasi dan monitoring hasil penilaian risiko ini perlu dilakukan mengingat

perkembangan teknologi informasi begitu cepat.

8.2 Saran

Beberapa saran yang dapat digunakan oleh Ditjen Dukcapil maupun peneliti

selanjutnya sebagai berikut:

1. Kerangka kerja RiskIT dapat dipertimbangkan bagi Ditjen Dukcapil untuk

melakukan pengelolaan risiko TI.

2. Penilaian risiko yang dilakukan baru sebatas aset TI yang mendukung

proses kerja utama Ditjen Dukcapil, ke depan diharapkan semua aset TI

dapat teridentifikasi risikonya.

3. Jika terdapat risiko TI baru yang disebabkan perkembangan TI, dapat

diidentifikasi dan dikategorikan berdasarkan kerangka kerja high level

scenario RiskIT. Kontrol yang didefinisikan juga dirumuskan berdasarkan

contoh yang ada dalam COBIT control practices. Hal ini agar profil risiko

TI tetap berada dalam kerangka RiskIT dan COBIT.

4. Penilaian risiko selain dilakukan oleh unit kerja internal organisasi

sebaiknya melibatkan pihak lain yang bersifat independen sehingga hasilnya

lebih obyektif.


85


DAFTAR PUSTAKA

Kementerian Dalam Negeri. (2010). Rencana Strategis Direktorat Jenderal

Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri Tahun 2010-

2014. Jakarta: Kementerian Dalam Negeri.

G. Stoneburner, A. Goguen and A. Feringa. (2002). Risk Management Guide for

Information Technology System. Recommendation of National Institute of

Standards and Technology Special Publication 800-300, July, 2002.

Heidrich, Ronald Eduard. (2010). Analisa IT Risk Proile Menggunakan Kerangka

Kerja Risk IT dan Peraturan Bank Indonesia No. 9/15/PBI/2007: Studi Kasus

pada PT Bank XYZ (Persero), Tbk. Program Studi Magister Teknologi Informasi,

Fakultas Ilmu Komputer, Universitas Indonesia.

ISACA. (2009). The Risk IT Framework Excerpt. USA: ISACA.

ISACA. (2009). The Risk IT Practitioner Guide. USA: ISACA.

Mahreza Maulana, Muhammad. (2006). Pemodelan Manajemen Risiko TI untuk

Perusahaan di Negara Berkembang. Bandung: Prosiding Konferensi Nasional

Teknologi Informasi dan Komunikasi untuk Indonesia, Institut Teknologi

Bandung.

Kementerian Komunikasi dan Informatika. (2007). Permenkominfo tentang

Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional.

Jakarta: Kementerian Komunikasi dan Informatika.

Saron, Arion. (2010). Rancangan Manajemen Risiko TI Berdasarkan Keamanan

Informasi Studi Kasus PT. X. Jakarta: Program Studi Magister Teknologi

Informasi Fasilkom UI.

Spremic, M., and Popovic, M. (2008). Emerging issues in IT Governance:

Implementing the Corporate IT Risk Management Model, WSEAS Transactions in

Systems, issues 3 volume 7.

Symantec. (2007). IT Risk Management Report volume 1.

The IT Governance Institute. (2005). COBIT 4.0. USA: The IT Governance

Institute.

Tri Wibowo, Cahyono. (2006). Kajian Manajemen Risiko TI Berdasarkan

Penerapan COBIT Framework dan ISO 27001 : Studi Kasus Pusat Sistem

Informasi dan Teknologi Keuangan, Departemen Keuangan RI. Jakarta: Program

Studi Magister Teknologi Informasi Fasilkom UI.

Westerman, George and Richard Hunter. (2007). IT Risk: Turning Business

Threats Into Competitive Advantage. Harvard Business School Press.


86


Yok Christiyono. (2011). Penilaian Risiko dan Analisa Profil Risiko TI

Menggunakan Kerangka Kerja RiskIT: Studi Kasus PT . Bank ABC (Persero),

Tbk. Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI.

Yuliansyah Al’Rasyid. (2009). Analisa dan Kajian Model Kerangka Kerja

Manajemen Risiko Teknologi Informasi: Studi Kasus pada PT. Rajawali

Nusantara Indonesia. Jakarta: Program Studi Magister Teknologi Informasi

Fasilkom UI.

Hadi Purnomo, Bambang. (2012). Evaluasi Pengelolaan Risiko TI pada Instansi

Pemerintah: Studi Kasus Pusat Pelaporan dan Analisis Transaksi Keuangan

(PPATK). Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI.

Ardhana. (2008). Metode Penelitian Studi Kasus. Internet: http://ardhana12.

wordpress.com/2008/02/08/metode-penelitian-studi-kasus.

Republik Indonesia. (2006). Undang-Undang Nomor 23 Tahun

2006 tentang Administrasi Kependudukan. Jakarta, Indonesia, Setneg.


87


Lampiran 1 : Template Risiko Aset Informasi

MANAJEMEN RISIKO TEKNOLOGI INFORMASI

No.

Aset

Infor-

masi

Penanggung

Jawab Aset Risiko

Kerawanan

terhadap Aset

(Vulnerabilities)

Inherent

Kontrol

yang

Ada

Residual Ni-

lai

Ri-

siko

Ha-

rap-

an

Stra-

tegi

Miti-

gasi

Rencana

Kerja

Target

Penye-

lesaian

Ancaman

Dam-

pak

Ke-

cen-

de-

rung-

an

Nilai

Ri-

siko

Da-

sar

Dam-

pak

Ke-

cen-

de-

rung-

an

Nilai

Risiko

Akhir

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

Manusia

1 Team

Lead-

er /

Pro-

ject

Mana-

ger

Subdit

PDAK

Confidentiality

Availability

• Tidak mampu

memimpin dan

mengkoordina-

sikan kepada

bawahan terkait

kegiatan

penyelesaian

proyek

perusahaan

• Kurang Teliti

• Kesalahan

kebijakan dalam

penyelesaian

masalah

aplikasi

• Kebijakan

Sharing

Password

komponen TI

• Tidak ada

• Kualitas data

hasil

perekaman

yang diterima di

DC kurang baik

• Proses

penerimaan

data,

identifikasi

ketunggalan

data dan

penyajian data

menjadi lambat

• Terjadi

kebocoran data

Se-

dang

(3)

Se-

ring

(4)

Me-

ne-

ngah

Ting-

gi

(12)

• Sudah

ada

pemba-

gian

peran

dan

tanggung

jawab

• Sudah

ada

penya-

ringan

dan

(screen-

ing)

terhadap

pihak

ketiga

melalui

proses

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Rendah

(2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

•

Memastikan

bahwa audit

internal

SMKI

dilaksana-

kan

•

Segera


88


kebijakan clear

desk dan clear

screen

• Adanya

kebijakan yang

cenderung

menyebabkan

adanya

kerawanan

misalnya

anggota

memiliki

motivasi untuk

menyalahguna-

kan data

• Jarang

dilakukan

rolling pegawai

penye-

diaan

barang /

jasa

(lelang)

pemerin-

tah

Melaksana-

kan kajian

manajemen

SMKI

• Change

Manage-

ment

• Lakukan

Inspeksi

internal

terhadap

pegawai

outsourcing

•

Pengawasan

dari auditor

eksternal

terkait

penerapan

manajemen

risiko

keamanan

informasi.

•

Bersertifikat

CISM,

CISSP


89


2 Pro-

ject

Ad-

min

Subdit

PDAK

Confidentiality

Availability

• Tidak mampu

memelihara

dokumen proyek

• Tidak mampu

membuat Time

Schedule dan

Material

Schedule

sehingga

kebijakan terkait

keamanan

informasi

tumpang tindih

dan kurang

tepat

• Terjadi

kebocoran data

Se-

dang

(3)

Ja-

rang

(2)

Me-

ne-

ngah

(6)

Dokumen

(salah

satu

unsur di

dalam-

nya

adalah

keaman-

an

informasi

) sudah

disetujui

oleh

manaje-

men, dan

dipubli-

kasikan

serta

dikomu-

nikasikan

kepada

semua

pekerja

dan

pihak-

pihak

luar

terkait

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Rendah

(2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

•

Pengendali-

an dokumen

•

Pengendali-

an rekaman

• Lakukan

Inspeksi

internal

terhadap

pegawai

outsourcing

•

Pengawasan

dari auditor

eksternal

terkait

penerapan

manajemen

risiko

keamanan

informasi

•

Bersertifikat

CISM,

CISSP

Segera


90


3 Team

Data-

base

Ad-

minis-

trator

(DBA)

Subdit

PDAK

Confidentiality

Integrity

Availability

• Tidak mampu

melaksanakan

operasionalisasi

administrasi

database pada

server database,

meliputi:

- Melakukan

administrasi

untuk sistem

database e-KTP;

- Secara rutin

memonitor,

memeriksa dan

mencatat kondisi

database;

- Melakukan

troubleshoot

untuk setiap

incident yang

ditemukan dan

meng-eskalasi

problem kepada

principals

apabila tidak

bisa

diselesaikan;

- Melakukan

tugas

administrasi

untuk

penerimaan data

rekaman e-KTP

dan melakukan

proses offline

data;

• Kualitas data

hasil

perekaman

yang diterima di

DC kurang baik

• Proses

penerimaan

data,

identifikasi

ketunggalan

data dan

penyajian data

menjadi lambat

• Terjadi

kebocoran data

Se-

dang

(3)

Se-

ring

(4)

Me-

ne-

ngah

Ting-

gi

(12)

• Sudah

ada

pembagi

an peran

dan

tanggung

jawab

• Sudah

ada

penya-

ringan

dan

(screen-

ing)

terhadap

pihak

ketiga

melalui

proses

penyedia

an

barang

/jasa

(lelang)

pemerin-

tah

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Rendah

(2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

• Kebijakan

untuk tidak

membawa

barang

apapun

ketika masuk

area

pekerjaan.

• Adanya

pemeriksaan

ketika keluar

dan masuk

area

pekerjaan

• Seragam

standar,

tanpa saku

• Rolling

pegawai

diatur oleh

manajemen

dan

diketahui

oleh Subdit

Segera


91


- Memonitor

Aliran data dari

lokasi ke DC-

MMU dan

melaporkan

perkembangann

ya.

• Kesalahan

dalam

penyelesaian

masalah

database

• Sharing

Password

komponen TI

• Tidak ada

kebijakan clear

desk dan clear

screen

• Adanya

motivasi untuk

menyalahguna-

kan data

PDAK.

• Adanya

Role Author-

ization

•

Penghapus-

an hak akses

kepada

pegawai

ketika

pekerjaan

berakhir

• Adanya

sanksi

terkait

operator

yang

melakukan

sharing

password

• Lakukan

Inspeksi

internal

terhadap

pegawai

outsourcing

•

Pengawasan

dari auditor

eksternal

terkait

penerapan

manajemen

risiko

keamanan

informasi


92


•

Bersertifikat

CISM,

CISSP

4 Sistem

Ad-

minis-

trator

(S-

Adm)

Subdit

PDAK

Confidentiality

Availability

• Tidak mampu

melakukan

pengadministra-

sian sistem

perangkat DC e-

KTP, meliputi:

- Melakukan

tugas sistem

administrator

untuk semua

perangkat

server, storage,

tape dan

network;

- Melakukan

troubleshoot

terhadap

perangkat (HW

& SW)

bermasalah

dengan bekerja

sama dengan

principal-nya;

- Menginisiasi

untuk melakukan

backup dan

memonitor

aktivitas baik

• Kualitas data

hasil

perekaman

yang diterima di

DC kurang baik

• Proses

penerimaan

data,

identifikasi

ketunggalan

data dan

penyajian data

menjadi lambat

• Terjadi

kebocoran data

Se-

dang

(3)

Ja-

rang

(2)

Me-

ne-

ngah

(6)

• Sudah

ada

pemba-

gian

peran

dan

tanggung

jawab

• Sudah

ada

penya-

ringan

dan

(screen-

ing)

terhadap

pihak

ketiga

melalui

proses

penye-

diaan

barang

/jasa

(lelang)

pemerin-

tah

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Ren-

dah (2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

• melakukan

log audit

•

pemantauan

penggunaan

sistem

•

perlindung-

an informasi

log

• log

administra-

tor dan

operator

• log atas

kesalahan

Segera


93


konfigurasi dan

data.

•Tidak mampu

melakukan

monitoring

sistem Data

Center,

meliputi:

- Memonitor

kinerja seluruh

sistem yang ada

di Data Center

seperti

perangkat

server,

perangkat

jaringan, san

storage, AC,

UPS, listrik dan

genset;

- Memonitor,

memeriksa dan

mencatat semua

perangkat

server, storage,

tape, network

dan perangkat

pendukung

seperti AC, UPS

dan genset di

Data Center;

- Melakukan

pengecekan dan

mencatat-nya

secara rutin AC,

UPS, Genset

yang terjadi

(fault

logging)

•

sinkronisasi

penunjuk

waktu

• Analisis

dan

spesifikasi

persyaratan

keamanan

•

Penggunaan

informasi

secara

sistematik

untuk

mengidenti-

fikasi

sumber dan

untuk

memperki-

rakan risiko

• Lakukan

Inspeksi

internal

terhadap

pegawai

outsourcing

•

Pengawasan

dari auditor

eksternal

terkait

penerapan


94


dan ME lainnya

yang ada di

Data Center

serta mem-

follow up

apabila

ditemukan

incident pada

peralatan

tersebut.

manajemen

risiko

keamanan

informasi

•

Bersertifikat

CISM,

CISSP

5 Secu-

rity Ja-

ringan

Subdit

PDAK

Confidentiality

Availability

Tidak mampu

memastikan

fungsi peralatan

jaringan,

meliputi:

- Memastikan

fungsi jaringan

LAN, WAN dan

internet Data

Center;

- Melakukan

troubleshoot

untuk setiap

incident yang

terjadi;

- Melakukan

update

konfigurasi

sesuai

kebutuhan.

• Kualitas data

hasil

perekaman

yang diterima di

DC kurang baik

• Proses

penerimaan

data,

identifikasi

ketunggalan

data dan

penyajian data

menjadi lambat

• Terjadi

kebocoran data

Se-

dang

(3)

Ja-

rang

(2)

Me-

ne-

ngah

(6)

• Oten-

tikasi

penggun

a untuk

koneksi

ekstenal

•

Identifika

si

peralatan

dalam

jaringan

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Ren-

dah (2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

• Kebijakan

penggunaan

layanan

jaringan

•

Perlindung-

an terhadap

remote

diagnostic

dan

configura-

tion port

• Segregasi

dalam

Segera


95


jaringan

•

Pengendali-

an koneksi

jaringan

•

Pengendali-

an routing

jaringan

• Keamanan

layanan

jaringan

6 Help-

desk

Ad-

minis-

trator

Subdit

PDAK

Confidentiality

Availability

• Tidak mampu

memberikan

informasi yang

sebenarnya

kepada Admin

terkait

permintaan

pemohon yang

disetujuti oleh

manajemen

• Tidak mampu

memberikan

informasi yang

sebenarnya

tentang status

permintaan ke

pemohon

• Informasi

yang diberikan

menjadi bias

Se-

dang

(3)

Ja-

rang

(2)

Me-

ne-

ngah

(6)

• Sudah

ada

pemba-

gian

peran

dan

tanggung

jawab

• Sudah

ada

penya-

ringan

dan

(screen-

ing)

terhadap

pihak

ketiga

melalui

proses

penye-

diaan

barang/

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Ren-

dah (2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

Segera


96


jasa

(lelang)

pemerin-

tah

7 Sistem

Analis

Subdit

PDAK

Confidentiality

Availability

• Tidak mampu

melakukan

pengadministras

ian sistem

perangkat DC e-

KTP, meliputi:

- Melakukan

tugas sistem

administrator

untuk semua

perangkat

server, storage,

tape dan

network;-

Melakukan

troubleshoot

terhadap

perangkat (HW

& SW)

bermasalah

dengan bekerja

sama dengan

principal-nya;-

Meng-inisiasi

untuk melakukan

backup dan

memonitor

aktivitas baik

konfigurasi dan

data.

•Tidak mampu

melakukan

• Kualitas data

hasil

perekaman

yang diterima di

DC kurang baik

• Proses

penerimaan

data,

identifikasi

ketunggalan

data dan

penajian data

menjadi lambat

• Terjadi

kebocoran data

Se-

dang

(3)

Ja-

rang

(2)

Me-

ne-

ngah

(6)

• Sudah

ada

pembagi-

an peran

dan

tanggung

jawab

• Sudah

ada

penya-

ringan

dan

(screen-

ing)

terhadap

pihak

ketiga

melalui

proses

penye-

diaan

barang /

jasa

(lelang)

pemerin-

tah

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Rendah

(2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

• melakukan

log audit

•

pemantauan

penggunaan

sistem

•

perlindung-

an informasi

log

• log

administra-

tor dan

operator

• log atas

kesalahan

yang terjadi

(fault

logging)

•

Segera


97


monitoring

sistem Data

Center,

meliputi:

- Memonitor

kinerja seluruh

sistem yang ada

di Data Center

seperti

perangkat

server,

perangkat

jaringan, san

storage, AC,

UPS, listrik dan

genset;

- Memonitor,

memeriksa dan

mencatat semua

perangkat

server, storage,

tape, network

dan perangkat

pendukung

seperti AC, UPS

dan genset di

Data Center;

- Melakukan

pengecekan dan

mencatat-nya

secara rutin AC,

UPS, Genset

dan ME lainnya

yang ada di

Data Center

serta mem-

sinkronisasi

penunjuk

waktu

• Analisis

dan

spesifikasi

persyaratan

keamanan

•

Penggunaan

informasi

secara

sistematik

untuk

mengidenti-

fikasi

sumber dan

untuk

memperki-

rakan risiko

• manajemen

kapasitas

• Lakukan

Inspeksi

internal

terhadap

pegawai

outsourcing

•

Pengawasan

dari auditor

eksternal

terkait

penerapan

manajemen

risiko


98


follow up

apabila

ditemukan

incident pada

peralatan

tersebut.

keamanan

informasi

.•

Bersertifikat

CISM,

CISSP

8 Ahli

Meka-

nikal

dan

Elek-

trikal

Subdit

PDAK

Confidentiality

Availability

• Tidak mampu

menyelesaikan

permasalahan

terkait

kelistrikan

secara cepat

• Tidak mampu

menjaga suhu

ruangan DC

karena AC

kurang dingin

yang sering mati

• Proses

penerimaan

data,

identifikasi

ketunggalan

data dan

penajian data

menjadi lambat

Se-

dang

(3)

Ja-

rang

(2)

Me-

ne-

ngah

(6)

• Sudah

ada

pembagi

an peran

dan

tanggung

jawab

• Sudah

ada

penya-

ringan

dan

(screen-

ing)

terhadap

pihak

ketiga

melalui

proses

penye-

diaan

barang

/jasa

(lelang)

pemerin

tah

• pemeli-

haraan

peralatan

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Rendah

(2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

•

penempatan

dan

perlindung-

an peralatan

• peralatan

harus

dilindungi

dari

kegagalan

catu daya

dan

gangguan

lain yang

disebabkan

oleh

kegagalan

sarana

Segera


99


pendukung

• keamanan

kabel

Proses

9 Proses

Pene-

rima-

an

data

hasil

pere-

kaman

e-KTP

dan

pe-

ngem-

balian

status

data

dari

dan ke

keca-

matan

tempat

pere-

kaman

Subdit

PDAK

Confidentiality

Integrity

Availability

• Sistem pada

DC yang tidak

mampu

menerima data

hasil perekaman

e-KTP di

kecamatan

secara online

dalam jumlah

yang besar

• Adanya

koneksi jaringan

yang lemah

(bandwidth

kecil)

• Kurangnya

pengetahuan

kemampuan tim

dalam

menangani

masalah

• Tidak adanya

prosedur baku

dalam

menangani

masalah

aplikasi

• Tidak

melakukan

dokumentasi

dalam

• Kehilangan

data perekaman

yang

seharusnya

masuk secara

online, sehingga

data tidak

lengkap

• Proses

penerimaan

data berjalan

lambat

• Tidak

diketahui proses

penanganan

yang tepat

dalam

mengatasi

masalah

Se-

dang

(3)

Sa-

ngat

Se-

ring

(5)

Ting-

gi

(15)

•

validasi

data

masukan

•

pengen-

dalian

pengo-

lahan

internal

•

integritas

pesan

•

validasi

data

keluaran

•

kebijakan

tentang

penggun

aan

pengen-

dalian

kripto-

grafi

•

manajem

en kunci

Se-

dang

(3)

Sa-

ngat

Se-

ring

(5)

Tinggi

(15)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

•

pengendali-

an

perangkat

lunak yang

operasional

•

pengendali-

an akses

terhadap

kode sumber

program

• prosedur

pengendali-

an

perubahan

• manajemen

kapasitas

• BCP, DRP

2014


100


menyelesaikan

masalah

dan DRC

10 Proses

Identi-

fikasi

Ke-

tung-

galan

Data

Subdit

PDAK

Confidentiality

Integrity

Availability

• Sistem masih

mencatat ganda

oleh data yang

seharusnya

tunggal, karena

adanya

penduduk yang

menggunakan

contact lens,

sidik jari yang

kotor atau

halus, dan lain-

lain

• Adanya

koneksi jaringan

yang lemah

(bandwidth

kecil)

• Kurangnya

pengetahuan

kemampuan tim

dalam

menangani

masalah

• Tidak adanya

prosedur baku

dalam

menangani

masalah

aplikasi

• Tidak

melakukan

dokumentasi

dalam

• Terdapat

penduduk yang

teridentifikasi

ganda oleh

sistem, padahal

jika dilihat

secara kasat

mata penduduk

tersebut tunggal

• Proses

identifikasi

ketunggalan

data berjalan

lambat

• Tidak

diketahui proses

penanganan

yang tepat

dalam

mengatasi

masalah

Se-

dang

(3)

Sa-

ngat

Se-

ring

(5)

Ting-

gi

(15)

•

validasi

data

masukan

•

pengen-

dalian

pengo-

lahan

internal

•

integritas

pesan

•

validasi

data

keluaran

•

kebijakan

tentang

peng-

gunaan

pengen-

dalian

kripto-

grafi

•

manaje-

men

kunci

Se-

dang

(3)

Sa-

ngat

Se-

ring

(5)

Tinggi

(15)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

•

pengendali-

an

perangkat

lunak yang

operasional

•

pengendali-

an akses

terhadap

kode sumber

program

• prosedur

pengendali-

an

perubahan

• manajemen

kapasitas

• BCP, DRP

dan DRC

2014


101


menyelesaikan

masalah

11 Proses

Pe-

nyim-

panan

data

Subdit

PDAK

Confidentiality

Integrity

Availability

• Kegagalan

penyimpanan

data

• Storage Rusak

• Rusaknya

hasil

penyimpanan

data

• Hilangnya

data yang

tersimpan

dalam sistem

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Ren-

dah

(2)

• Perlu

adanya

manaje-

men

kapasitas

terkait

media

penyim-

panan

data

• Perlu

adanya

prosedur

dan

penjad-

walan

terkait

penyim-

panan

data

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Rendah

(2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

• BCP, DRP

dan DRC

Segera

Teknologi


102


12 Apli-

kasi

Mes-

sage

Queue

(MQ)

Subdit

PDAK

Confidentiality

Integrity

Availability

• Terdapat error

pada saat

penerimaan data

• Tidak ada

dokumentasi

terhadap source

code aplikasi

• Proses

penerimaan

data terhambat

saat jumlah

perekaman

sangat besar

• Proses

Troubleshooting

aplikasi

terhambat

Se-

dang

(3)

Sa-

ngat

Se-

ring

(5)

Ting-

gi

(15)

• Adanya

Role

Author-

ization

• Adanya

prosedur

yang

mewajib-

kan

doku-

mentasi

error

terhadap

setiap

masalah

yang

dihadapi

dan cara

penyele-

saiannya.

• Perlu

diminta-

nya

doku-

mentasi

source

code dari

vendor

aplikasi

Se-

dang

(3)

Sa-

ngat

Se-

ring

(5)

Tinggi

(15)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

• Pembuatan

aplikasi

yang

menyimpan

log error

dan solusi

penyelesai-

annya

•

Manajemen

kapasitas

• BCP, DRP

dan DRC

2014

13 Apli-

kasi

Auto-

mated

Bio-

metric

Iden-

Subdit

PDAK

Confidentiality

Integrity

Availability

• Terdapat error

pada saat

identifikasi

ketunggalan

data

• Tidak ada

dokumentasi

• Proses

penerimaan

data terhambat

• Proses

Troubleshooting

aplikasi

terhambat

Se-

dang

(3)

Sa-

ngat

Se-

ring

(5)

Ting-

gi

(15)

• Adanya

Role

Author-

ization

• Adanya

prosedur

yang

Se-

dang

(3)

Sa-

ngat

Se-

ring

(5)

Tinggi

(15)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

2014


103


tifica-

tion

Sys-

tem

(ABIS)

terhadap source

code aplikasi

mewajib-

kan

doku-

mentasi

error

terhadap

setiap

masalah

yang

dihadapi

dan cara

penyele-

saiannya.

• Perlu

diminta-

nya

doku-

mentasi

source

code dari

vendor

aplikasi

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

• Pembuatan

aplikasi

yang

menyimpan

log error

dan solusi

penyelesai-

annya

•

Manajemen

kapasitas

• BCP, DRP

dan DRC

14 Apli-

kasi

Bio-

metric

Mid-

dle-

ware

(BMW

)

Subdit

PDAK

Confidentiality

Integrity

Availability

• Terdapat error

pada saat

sebagai berikut:

- mengambil

data dari

aplikasi MQ

- selanjutnya

data tersebut

dikirimkan ke

aplikasi ABIS

untuk dilakukan

proses

identifikasi

ketunggalan

• Proses

penerimaan

data terhambat

• Proses

Troubleshooting

aplikasi

terhambat

Se-

dang

(3)

Sa-

ngat

Se-

ring

(5)

Ting-

gi

(15)

• Adanya

Role

Author-

ization

• Adanya

prosedur

yang

mewajib-

kan

doku-

mentasi

error

terhadap

setiap

Se-

dang

(3)

Sa-

ngat

Se-

ring

(5)

Tinggi

(15)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

• Pembuatan

aplikasi

2014


104


- Setelah

aplikasi ABIS

memberikan

hasil status

tunggal ataupun

ganda terhadap

data tersebut,

maka aplikasi

BMW

mengirimkan

data tersebut ke

aplikasi IDMS

Pusat untuk

disimpan di

dalam database

dan secara

bersamaan

aplikasi BMW

mengirimkan

status notifikasi

tunggal/ganda

ke daerah

melalui aplikasi

MQ

• Tidak ada

dokumentasi

terhadap source

code aplikasi

masalah

yang

dihadapi

dan cara

penyele-

saiannya.

• Perlu

diminta-

nya

doku-

mentasi

source

code dari

vendor

aplikasi

yang

menyimpan

log error

dan solusi

penyelesai-

annya

•

Manajemen

kapasitas

• BCP, DRP

dan DRC

15 Apli-

kasi

IDMS

Subdit

PDAK

Confidentiality

Integrity

Availability

• Terdapat error

pada saat

penyimpanan

data

• Tidak ada

dokumentasi

terhadap source

code aplikasi

• Proses

penyimpanan

data terhambat

• Data tidak

sesuai dengan

yang

seharusnya

• Proses

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Ren-

dah

(2)

• Adanya

Role

Author-

ization

• Adanya

prosedur

yang

mewajib-

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Rendah

(2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

2014


105


Troubleshooting

aplikasi

terhambat

kan

doku-

mentasi

error

terhadap

setiap

masalah

yang

dihadapi

dan cara

penyele-

saiannya.

• Perlu

diminta-

nya

doku-

mentasi

source

code dari

vendor

aplikasi

Manajemen

Keamanan

Informasi

(SMKI)

• Pembuatan

aplikasi

yang

menyimpan

log error

dan solusi

penyelesai-

annya

• BCP, DRP

dan DRC


106


16 Data-

base e-

KTP

Subdit

PDAK

Confidentiality

Integrity

Availability

• Adanya port

yang dibuka

untuk

komunikasi data

• Sharing

Password

• Hacker

• Virus

• Orang yang

tidak

berwenang

Se-

dang

(3)

Ja-

rang

(2)

Me-

ne-

ngah

(6)

• CCTV

•

Manaje-

men

Akses ke

dalam

database

Server

(Remote

Access)

•

Firewall,

Anti

Virus

• Adanya

back up

data dan

dokumen

• Adanya

Role

Author-

ization

• Perlu

adanya

prosedur

enkripsi

terhadap

data

yang

telah

selesai

diolah

pada

database.

• Adanya

prosedur

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Ren-

dah (2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

• Finger-

print di

setiap akses

ruangan

• Pembelian

aplikasi

yang dapat

mengelola

server

(kapasitas

dan

majemen

port)

(Orion)

2014


107


mana-

jemen

port

• Adanya

sanksi

yang

tinggi

apabila

melaku-

kan

peman-

faatan,

pembo-

coran

data, dan

sharing

password

kepada

pihak

yang

tidak

berwe-

nang


108


17 Pe-

rang-

kat

Server

Subdit

PDAK

Confidentiality

Availability

• Adanya port

yang dibuka

untuk

komunikasi data

• Tidak ada

manajemen

kapasitas

• Server tidak

dapat diakses

• Penyusupan

sistem

• Data tidak

sesuai dengan

yang

seharusnya

• Data dicuri,

hilang dan

rusak

• Server

berjalan lambat

Se-

dang

(3)

Sa-

ngat

Se-

ring

(5)

Ting-

gi

(15)

• Adanya

CCTV

• Mana-

jemen

Akses ke

dalam

Server

(dapat

dilaku-

kan

Remote

Access)

•

Firewall,

Anti

Virus

• Adanya

back up

data dan

dokumen

• Adanya

Role

Author-

ization

•

Melaku-

kan

inventa-

risasi

peralatan

TI secara

rutin

untuk

meng-

hindari

hilang-

Se-

dang

(3)

Sa-

ngat

Se-

ring

(5)

Tinggi

(15)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

•

Fingerprint

di setiap

akses

ruangan

• Pembelian

aplikasi

yang dapat

mengelola

server

(kapasitas

dan

majemen

port)

(Orion)

• BCP, DRP

dan DRC

2014


109


nya

barang

inventa-

ris TI

•

Melaku-

kan

update

antivirus

dan

scanning

virus

secara

berkala

• Perlu

adanya

Manaje-

men

Kapasi-

tas

server

• Adanya

prosedur

mana-

jemen

port


110


18 Pe-

rang-

kat Ja-

ringan

Komu-

nikasi

Subdit

PDAK

Confidentiality

Integrity

Availability

• Adanya port

yang dibuka

untuk

komunikasi data

• Tidak ada

manajemen

kapasitas

• Pencurian dan

perubahan data

• Penyusupan

sistem

• Jaringan

komunikasi

lambat atau

tidak bisa

diakses sama

sekali

Se-

dang

(3)

Ja-

rang

(2)

Me-

ne-

ngah

(6)

• Adanya

CCTV

• Mana-

jemen

Akses ke

dalam

core

Switch

(Remote

Access)

•

Firewall,

Anti

Virus

• Adanya

back up

konfigu-

rasi

• Adanya

Role

Author-

ization

• Adanya

prosedur

manaje-

men port

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Ren-

dah (2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

•

Fingerprint

di setiap

akses

ruangan

• Pembelian

aplikasi

yang dapat

mengelola

server

(kapasitas

dan

majemen

port)

(Orion)

• Penambah-

an kapasitas

bandwidth

2014


111


19 Pe-

rang-

kat

Sto-

rage

Subdit

PDAK

Confidentiality

Availability

• Tidak ada

manajemen

kapasitas

• Tidak ada

pemantauan

(monitoring)

penggunaan

fasilitas

teknologi,

informasi dan

komunikasi

(TIK) secara

komprehensif

• Data tidak

sesuai dengan

yang

seharusnya

• Data dicuri,

hilang dan

rusak

• Kapasitas

memory tidak

mencukupi

• Storage

rusak/crash

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Ren-

dah

(2)

• Perlu

adanya

ma-

najemen

kapasitas

terkait

media

penyim-

panan

data

• Perlu

adanya

prosedur

dan

penjad-

walan

terkait

penyim-

panan

data

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Rendah

(2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

• Penambah-

an Storage

baru

2014

20 Pe-

rang-

kat

Pen-

du-

kung

(UPS,

AC

dan

lain-

lain)

Subdit

PDAK

Availability • Kurangnya

pemeliharaan

sarana

pendukung

• Tidak ada

manajemen

kapasitas

• Ruangan

menjadi kurang

dingin

menyebabkan

proses menjadi

lambat

• Kondisi

software dan

hardware

menjadi cepat

rusak

• Listrik mati

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Ren-

dah

(2)

• Perlu

adanya

manaje-

men

kapasitas

terkait

perang-

kat

pendu-

kung

Kecil

(2)

Sa-

ngat

Ja-

rang

(1)

Ren-

dah (2)

Ren-

dah

Ken-

da-

likan

Ri-

siko-

Ac-

cept

•

Penyusunan

SOP Data

Center KTP

Elektronik

khususnya

terkait

Sistem

Manajemen

Keamanan

Informasi

(SMKI)

• Penambah-

an jumlah

perangkat

yang baru

2014


112


Lampiran 2 : Form Kompilasi Analisis Risiko

No. Skenario

Risiko

Konteks Ancaman Aset TI Deskripsi

Risiko TI

(Risk Issue)

Pro-

ba-

bi-

li-

tas

Dampak Seve-

rity

In-

herent

Risk

Efektivitas

Kontrol

Pro-

ba-

bili-

tas

Resi-

dual

Dam-

pak

Resi-

dual

Residual

Risk

Ke-

uang-

an

Stra-

tegis

Ope-

rasi-

onal

Le-

gal

Re-

pu-

tasi

Pro-

babi-

litas

Dam-

pak

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A Aplikasi

1 Software

Integrity

Aplikasi

MQ, BMW,

ABIS dan

IDMS

Accidental,

Malicious

Aplikasi

MQ, BMW,

ABIS dan

IDMS

kesengajaan

memodifikasi

aplikasi

menyebabkan

kesalahan data

2 1 2 3 1 1 3,00 6,00 50% 67% 1,00 0,99 0,99

2 Software

Integrity

Aplikasi

MQ, BMW,

ABIS dan

IDMS

Accidental,

Malicious

Aplikasi

MQ, BMW,

ABIS dan

IDMS

kesengajaan

memodifikasi

aplikasi

menyebabkan

terjadinya

fraud

3 1 1 2 1 1 2,00 6,00 50% 67% 1,50 0,66 0,99

3 Software

Integrity

Aplikasi

MQ, BMW,

ABIS dan

IDMS

Accidental,

Malicious

Aplikasi

MQ, BMW,

ABIS dan

IDMS

Ketidaksenga-

jaan kesalahan

dalam

pengelolaan

perubahan

atau

konfigurasi

aplikasi

menyebabkan

terjadinya

fraud

3 2 2 2 2 2 2,00 6,00 50% 67% 1,50 0,66 0,99


113


4 Software

Integrity

Aplikasi

MQ, BMW,

ABIS dan

IDMS

Accidental,

Malicious

Aplikasi

MQ, BMW,

ABIS dan

IDMS

Ketidaksenga-

jaan

melakukan

modifikasi

aplikasi

menyebabkan

hasil yang

tidak

diharapkan

2 4 1 5 2 4 5,00 10,00 75% 0% 0,50 5,00 2,50

B Fasilitas

5 Utilities

performance

Power Failure UPS,

Prosedur

pengelolaan

layanan

dengan

pihak ketiga

listrik yang

tidak stabil

3 2 1 2 1 2 2,00 6,00 38% 63% 1,86 0,74 1,38

C Infrastruktur

6 New

Technologies

Strategi TI

untuk core

business

Failure Arsitektur TI Kegagalan

adopsi dan

eksploitasi

teknologi baru

secara tepat

waktu

2 1 1 2 1 1 2,00 4,00 33% 50% 1,34 1,00 1,34

7 Ageing of

application

software

Software

operational

core

business

Failure Sistem

operasi,

software

database,

software

backup

Software

aplikasi untuk

operasional

sudah usang

(teknologi,

poorly

documented,

expensive to

maintain,

difficult to

extend, not

integrated in

1 1 1 1 1 1 1,00 1,00 17% 67% 0,83 0,33 0,27


114


current

architecture)

8 Software

Implementation

Proyek e-

KTP

Failure Aplikasi

MQ, BMW,

ABIS dan

IDMS

Gangguan

operasional

ketika aplikasi

baru mulai

digunakan

3 2 2 3 1 2 3,00 9,00 50% 67% 1,50 0,99 1,49

9 Software

Implementation

Proyek e-

KTP

Failure Aplikasi

MQ, BMW,

ABIS dan

IDMS

persiapan

pengguna

yang kurang

memadai

untuk

menggunakan

dan

mengeksploi-

tasi aplikasi

baru

3 2 1 2 1 2 2,00 6,00 50% 67% 1,50 0,66 0,99

10 Infrastructure

theft

Infrastruktur Malicious Laptop pencurian

laptop yang di

dalamnya

berisi data

sensitif

1 4 1 1 4 4 4,00 4,00 50% 75% 0,50 1,00 0,50

11 Infrastructure

theft

Infrastruktur Malicious Server pencurian

server

pengembangan

1 3 1 3 3 3 3,00 3,00 50% 75% 0,50 0,75 0,38

12 Destruction of

Infrastructure

Infrastruktur

core

business

Accidental,

Malicious

Infrastruktur

TI

terjadinya

sabotase pada

DC

3 5 5 5 2 5 5,00 15,00 0% 0% 3,00 5,00 15,00

13 Destruction of

Infrastructure

Infrastruktur

core

business

Accidental,

Malicious

laptop kerusakan

laptop yang

berisi data

sensitif

2 4 1 5 2 4 5,00 10,00 75% 0% 0,50 5,00 2,50

14 Logical

trespassing

Hak Akses Malicious Sistem

database

Pengguna

mendapatkan

akses ke

informasi yang

2 2 1 2 1 2 2,00 4,00 70% 20% 0,60 1,60 0,96


115


tidak sah

15 Operational IT

errors

Patching/up

grade sistem

operasi

untuk core

business

Failure Sistem

operasi

kegagalan

patching/

upgrade

sistem operasi

untuk core

business

2 1 1 2 1 1 2,00 4,00 20% 90% 1,60 0,20 0,32

16 Operational IT

errors

Patching/up

grade sistem

operasi

untuk core

business

Failure sistem

database

kegagalan

patching/

upgrade

sistem

database

untuk core

business

2 1 1 2 1 1 2,00 4,00 20% 90% 1,60 0,20 0,32

17 Acts of nature Bencana

alam

Natural Infrastruktur,

SDM

Banjir 1 1 2 2 1 1 2,00 2,00 75% 25% 0,25 1,50 0,38


alam


SDM

Gempa Bumi 2 1 1 2 1 1 2,00 4,00 75% 25% 0,50 1,50 0,75


alam


SDM

Petir 4 1 1 2 1 1 2,00 8,00 75% 25% 1,00 1,50 1,50

D Informasi/Data

20 Data(base)

Integrity

Data

pelaporan

(core

database)

Failure,

Malicious

Data Kesengajaan

menghapus

data yang

menyebabkan

kehilangan

data

1 3 2 3 4 3 4,00 4,00 70% 10% 0,30 3,60 1,08

21 Data(base)

Integrity

Data

pelaporan

(core

database)

Failure,

Malicious

Data Pencurian data 1 3 2 3 4 3 4,00 4,00 70% 10% 0,30 3,60 1,08

22 Data(base)

Integrity

Data

pelaporan

Failure,

Malicious

Data Kesengajaan

memodifikasi

2 4 2 3 4 4 4,00 8,00 70% 10% 0,60 3,60 2,16


116


(core

database)

data yang

menyebabkan

ketidakakurat-

an data

23 Data(base)

Integrity

Data

pelaporan

(core

database)

Failure,

Malicious

Data Database

corrupt

2 2 2 3 2 2 3,00 6,00 70% 10% 0,60 2,70 1,62

24 Logical

trespassing

Hak Akses Malicious PC Akses ilegal

atas peralatan

komputer end

user

1 2 1 2 1 2 2,00 2,00 70% 20% 0,30 1,60 0,48

25 Logical

trespassing

Hak Akses Malicious Aplikasi

core

Ilegal logical

access pada

sistem aplikasi

core

2 2 1 2 1 2 2,00 4,00 70% 20% 0,60 1,60 0,96

26 Logical

trespassing

Hak Akses Malicious Data Pengguna

mencuri data

sensitif

2 3 1 1 1 3 3,00 6,00 70% 20% 0,60 2,40 1,44

E Proses

27 Project Quality Proyek e-

KTP

Failure Proses

penerimaan

barang/ jasa

proses

penjaminan

kualitas

kualitas yang

tidak memadai

atas

penyerahan

proyek (terkait

dengan

dokumentasi

software,

kesesuaian

dengan

persyaratan

fungsional)

3 2 2 2 2 2 2,00 6,00 50% 67% 1,50 0,66 0,99

28 Selection/

performance of

third-party

penyedia

jasa untuk

support

Failure Proses

pengelolaan

layanan

Penyampaian

service dan

support oleh

2 1 1 2 1 1 2,00 4,00 50% 63% 1,00 0,74 0,74


117


suppliers operasional

core

business

pihak ketiga vendor tidak

sesuai dengan

SLA /

perjanjian

29 Infrastructure

(hardware)

Perangkat

Server core

Accidental Server core kesalahan

konfigurasi

server core

2 1 1 3 1 1 3,00 6,00 50% 75% 1,00 0,75 0,75

30 Infrastructure

(hardware)

Perangkat

Server core

Malicious Server core kerusakan

server core

2 2 1 3 1 2 3,00 6,00 50% 75% 1,00 0,75 0,75

31 Infrastructure

(hardware)

Perangkat

jaringan

Accidental Switch,

router

kesalahan

konfigurasi

perangkat

jaringan

2 1 1 2 1 1 2,00 4,00 50% 75% 1,00 0,50 0,50

32 Infrastructure

(hardware)

Perangkat

jaringan

Malicious Switch,

router, LAN

gangguan

jaringan

3 1 1 2 1 1 2,00 6,00 50% 75% 1,50 0,50 0,75

33 Infrastructure

(hardware)

Perangkat

keamanan

Accidental Firewall, IPS kesalahan

konfigurasi

perangkat

keamanan

2 1 1 2 1 1 2,00 4,00 50% 75% 1,00 0,50 0,50

34 Software

performance

Kinerja

Aplikasi

MQ, BMW,

ABIS dan

IDMS

Failure Aplikasi

MQ, BMW,

ABIS dan

IDMS

gangguan

secara reguler

pada Aplikasi

MQ, BMW,

ABIS dan

IDMS

2 3 1 2 1 3 3,00 6,00 63% 38% 0,74 1,86 1,38

35 System capacity penyediaan

kapasitas

Aplikasi

MQ, BMW,

ABIS dan

IDMS

Failure Server core sistem tidak

dapat

menangani

volume

transaksi

ketika jumlah

pengguna naik

3 5 5 3 1 5 5,00 15,00 25% 0% 2,25 5,00 11,25


118



kapasitas

Aplikasi

MQ, BMW,

ABIS dan

IDMS

Failure Server core sistem tidak

dapat

menangani

beban ketika

aplikasi atau

inisiatif baru

di-deploy

2 2 1 3 1 2 3,00 6,00 50% 0% 1,00 3,00 3,00

37 Ageing of

infrastructural

software

umur

software

operasional

core

business

Failure sistem

operasi

tidak

mendukung-

nya versi

sistem operasi

saat digunakan

untuk

operasional

1 1 1 1 1 1 1,00 1,00 80% 40% 0,20 0,60 0,12

38 Ageing of

infrastructural

software

umur

software

operasional

core

business

Failure Software

backup

tidak

mendukung-

nya versi

aplikasi

backup saat

digunakan

untuk

operasional

1 1 1 1 1 1 1,00 1,00 80% 40% 0,20 0,60 0,12

39 Ageing of

infrastructural

software

umur

software

operasional

core

business

Failure sistem

database

Old version

database

masih

digunakan

1 1 1 1 1 1 1,00 1,00 80% 40% 0,20 0,60 0,12

40 Malware Infrastruktur

core

business

Malicious Server core Intrusion

malware pada

server core

2 1 1 3 1 1 3,00 6,00 63% 25% 0,74 2,25 1,67


core

business

Malicious,

Accidental

Laptop Intrusion

malware pada

laptop yang

berisi data

sensitif

3 3 1 3 1 3 3,00 9,00 63% 25% 1,11 2,25 2,50


119



core

business

Malicious Sistem

operasi

penyusupan

malware pada

sistem operasi

core business

mengakibat-

kan kerusakan

sistem operasi

3 2 1 2 1 2 2,00 6,00 63% 25% 1,11 1,50 1,67


core

business

Malicious,

Accidental

sistem

database

penyusupan

malware pada

sistem

database core

business

mengakibat-

kan kerusakan

sistem

database

2 2 1 2 1 2 2,00 4,00 63% 25% 0,74 1,50 1,11


core

business

Malicious Software

backup

penyusupan

malware pada

software

backup core

business

mengakibat-

kan kerusakan

software

backup

2 2 1 2 1 2 2,00 4,00 63% 25% 0,74 1,50 1,11

45 Malware Aplikasi

MQ, BMW,

ABIS dan

IDMS

Malicious Aplikasi

MQ, BMW,

ABIS dan

IDMS

penyusupan

malicious code

pada sistem

aplikasi dan

mengakibat-

kan kerusakan

sistem

3 2 1 2 1 2 2,00 6,00 63% 25% 1,11 1,50 1,67


120


46 Logical attacks Serangan

dari internet

terhadap

sistem core

business

Malicious Proses

memastikan

keamanan

sistem,

arsitektur

aplikasi

serangan virus

komputer

3 1 1 3 1 1 3,00 9,00 80% 50% 0,60 1,50 0,90


dari internet

terhadap

sistem core

business

Malicious Proses

memastikan

keamanan

sistem,

arsitektur

aplikasi

Denial of

Service attack

3 1 1 3 1 1 3,00 9,00 80% 50% 0,60 1,50 0,90


dari internet

terhadap

sistem core

business

Malicious Proses

memastikan

keamanan

sistem,

arsitektur

aplikasi

Web

defacement

3 3 1 2 1 3 3,00 9,00 80% 50% 0,60 1,50 0,90


dari internet

terhadap

sistem core

business

Malicious Proses

memastikan

keamanan

sistem,

arsitektur

aplikasi

Pengguna

tidak sah

mencoba

masuk ke

sistem core

business

2 2 1 2 1 2 2,00 4,00 80% 50% 0,40 1,00 0,40


121


50 Information

media

Media

portable

Failure SOP Data

Center e-

KTP

terbukanya

data sensitif

yang ada pada

media

portable

(misalnya CD,

USB drive,

disk portable)

3 3 1 2 1 3 3,00 9,00 63% 50% 1,11 1,50 1,67

51 Information

media

Media

portable

Failure SOP Data

Center e-

KTP

kehilangan

data sensitif

yang ada pada

media

portable

(misalnya CD,

USB drive,

disk portable)

2 2 1 2 1 2 2,00 4,00 63% 50% 0,74 1,00 0,74

52 Information

media

Media

portable

Failure SOP Data

Center e-

KTP

kehilangan

media backup

1 2 1 2 1 2 2,00 2,00 63% 50% 0,37 1,00 0,37

53 Logical

trespassing

Hak Akses Malicious SOP Data

Center e-

KTP

Ilegal logical

access pada

proses

administrasi

2 2 1 1 1 2 2,00 4,00 70% 20% 0,60 1,60 0,96

54 Logical

trespassing

Hak Akses Malicious SOP Data

Center e-

KTP

Tidak

diketahuinya

aktivitas

penyalahguna-

an wewenang

3 1 1 2 1 1 2,00 6,00 70% 20% 0,90 1,60 1,44

55 Operational IT

errors

Kegiatan

backup

Failure Prosedur

backup data

Penyalahguna-

an backup data

oleh pihak

internal

1 2 1 1 2 2 2,00 2,00 20% 90% 0,80 0,20 0,16

56 Operational IT

errors

Kegiatan

backup

Failure Prosedur

backup data

Penyalahguna-

an backup data

oleh pihak

eksternal

2 3 1 1 2 3 3,00 6,00 20% 90% 1,60 0,30 0,48


122


57 Operational IT

errors

Kegiatan

backup

Failure Prosedur

backup data

kegagalan

backup data

2 2 1 2 1 2 2,00 4,00 20% 90% 1,60 0,20 0,32

58 Operational IT

errors

Kegiatan

backup

Failure SOP Data

Center e-

KTP

kehilangan

media backup

1 3 1 2 1 3 3,00 3,00 20% 90% 0,80 0,30 0,24

59 Operational IT

errors

Kegiatan

backup

Failure Prosedur

backup data

tidak dapat

dilakukan

restore atas

backup sesuai

checkpoint

2 2 1 2 1 2 2,00 4,00 20% 90% 1,60 0,20 0,32

60 Operational IT

errors

Kegiatan

backup

Failure Prosedur

backup data

kesalahan saat

melakukan

backup data

2 2 1 2 1 2 2,00 4,00 20% 90% 1,60 0,20 0,32

61 Contractual

Compliance

Lisensi

software

untuk core

business

Failure

Malicious

Proses

kepatuhan

terhadap

lisensi

Ketidakpatuh-

an terhadap

lisensi

software

(penggunaan

software yang

tidak

berlisensi)

2 2 1 2 3 2 3,00 6,00 75% 63% 0,50 1,11 0,56

F SDM

62 IT staff Staf TI

dalam

operasional

core

business

Failure SDM staf TI

mengundurkan

diri / mutasi

sehingga

menyebabkan

kehilangan

staf yang

kompeten di

bidangnya

2 4 1 5 2 4 5,00 10,00 75% 0% 0,50 5,00 2,50


123


63 IT staff Staf TI

dalam

operasional

core

business

Failure Proses

Pengelolaan

SDM TI

tidak

tersedianya

staf TI saat

dibutuhkan

2 4 1 5 2 4 5,00 10,00 75% 0% 0,50 5,00 2,50

64 IT expertise and

skills

Keahlian

staf TI

dalam

operasional

core

business

Failure SDM adanya gap

keahlian staf

TI dengan

teknologi yang

digunakan di

core business

2 2 2 3 1 2 3,00 6,00 50% 67% 1,00 0,99 0,99


124


Lampiran 3 : Form Pengukuran Efektivitas Kontrol

Keterangan Efektivitas Kontrol Efek terhadap probabilitas dan dampak

Y = 1 Tidak ada/sangat rendah/ tidak diperhitungkan = 0%

Menengah Rendah (MR) = 25%

T = 0 Sedang = 50%

Menengah Tinggi (MT) = 75%

Tinggi = 100%

Essential

Control

Control

Reference

Control Title Pertanyaan Efektivitas Kontrol Pengaruh

Desain Operasi Frequency Dampak

1 2 3 4 5 6 7 8

1. New Technologies

Ya PO3 PO3.1 Technological

Direction Planning

Apakah memiliki arah

perencanaan Teknologi yang

ditetapkan manajemen?

Y (Grand Design SIAK) Y Tinggi Sedang

Ya PO3 PO3.3 Monitor Future Trends

and Regulations

Apakah ada penetapan proses

untuk memantau sektor core

business, teknologi,

infrastruktur, tren lingkungan

hukum dan peraturan.

Memasukkan konsekuensi dari

tren ini ke dalam pengembangan

rencana infrastruktur teknologi

TI?

T T Rendah Rendah

Ya PM1 PM1.4 Translate the Business

Strategy and Goals

into IT Strategy and

Goals

Apakah strategi dan tujuan

bisnis sudah dimasukkan ke

dalam strategi SI/TI?

Y (Grand Design SIAK) Y Rendah Tinggi

Skor 66,67% 66,67% 33,33% 50%


125


2. Ageing of application software

Ya AI2 AI2.6 Major Upgrades to

Existing Systems

Apakah dalam hal perubahan

besar pada sistem yang ada

mengakibatkan perubahan

signifikan dalam desain saat ini

dan mengikuti proses

perkembangan yang sama

seperti yang digunakan untuk

pengembangan sistem yang

baru?

Y Y Rendah Tinggi

Ya AI2 AI2.10 Application Software

Maintenance

Apakah ada pengelolaan

software aplikasi?

Y (pengelolaan lisensi

software aplikasi yang

dimasukkan dalam

rencana kerja tahunan

(dengan pengadaan

kegiatan layanan

keahlian DC))

Y Sedang Tinggi

Ya PO1 PO1.3 Assessment of Current

Capability and

Performance

Apakah ada penilaian

kemampuan dan kinerja

software saat ini?

T T Rendah Rendah

Skor 66,67% 66,67% 16,67% 66,67%

3. Software Implementation

Ya AI2 AI2.8 Software Quality

Assurance (QA)

Apakah ada pengembangan

sumber daya dan rencana

pelaksanaan software QA untuk

memperoleh kualitas yang

ditentukan dalam persyaratan

yang sudah didefinisikan pada

kebijakan dan prosedur?

Y (SOP Data Center e-

KTP)

Y Sedang Sedang

Ya AI4 AI4.4 Knowledge Transfer to

Operations and

Support Staff

Apakah ada sistem untuk

transfer pengetahuan bagi staf

pendukung dan operasional?

Y Y Sedang Sedang


126


Ya AI7 AI7.3 Impementation Plan Apakah ada perencanaan

implementasi software yang

disetujui oleh pihak terkait?


KTP)

Y Sedang Tinggi

Skor 66,67% 66,67% 50% 66,67%

4. Project Quality

Ya PO8 PO8.3 Development and

Acquisition Standards

Apakah ada standar akuisisi dan

pengembangan proyek serta

penandatangan proyek apabila

sudah selesai?

Y Y Tinggi Tinggi

Ya PO10 PO10.10 Project Quality Plan Apakah ada rencana manajemen

mutu yang menggambarkan

sistem kualitas proyek dan

bagaimana hal itu dilaksanakan

dan rencana tersebut secara

resmi dikaji dan disetujui oleh

semua pihak yang

berkepentingan dan kemudian

dimasukkan ke dalam rencana

proyek terpadu?


KTP)

Y Sedang Sedang


Standards

Apakah ada forum / komite

teknologi yang memberikan

solusi teknologi yang konsisten,

efektif dan aman bagi

organisasi?

Y Y Rendah Sedang

Skor 100% 66,67% 50% 66,67%

5. Selection/performance of third-party suppliers

Ya AI5 AI5.3 Supplier Selection Apakah pemilihan vendor

dilakukan secara transparan dan

akuntabel?

Y (pengadaan secara

elektronik)

Y Sedang Tinggi

Ya DS2 DS2.2 Supplier Relationship

Management

Apakah ada SLA dengan

vendor?

Y (perjanjian kontrak

kerja, SLA)

Y Tinggi Sedang

Ya DS2 DS2.3 Supplier Risk

Management

Apakah ada pengelolaan risiko

terhadap vendor?

Y Y Sedang Tinggi


127


Ya DS2 DS2.4 Supplier Performance

Monitoring

Apakah ada monitoring kinerja

vendor?

Y (perjanjian kontrak

kerja, SLA)

Y Rendah Tinggi

Skor 75% 75% 25% 75%

6. Infrastructure Theft


Management

Apakah ada pengembangan dan

pengelolaan kebijakan untuk

mendukung strategi TI?

Y Y Sedang Tinggi

Ya PO7 PO7.6 Personnel Clearance

Procedures

Apakah ada prosedur

background checks pada proses

penerimaan pegawai TI, kontrak

dan vendor?

Y Y Sedang Tinggi


Resource Protection

and Availability

Apakah ada langkah

pengendalian internal,

keamanan dan auditability

selama konfigurasi, integrasi

dan pemeliharaan perangkat

keras dan perangkat lunak

infrastruktur untuk melindungi

sumber daya dan menjamin

ketersediaan dan integritas?

Y Y Tinggi Tinggi

Ya DS12 DS12.2 Physical Security

Measures

Apakah sudah menerapkan

langkah-langkah keamanan fisik

sesuai dengan kebutuhan

organisasi untuk mengamankan

lokasi dan aset fisik. Langkah -

langkah keamanan fisik harus

mampu secara efektif

mencegah, mendeteksi dan

mengurangi risiko yang

berkaitan dengan pencurian?

Y (penempatan CCTV

pada tempat-tempat

terbatas)

Y Rendah Rendah

Skor 75% 75% 50% 75%


128


7. Destruction of Infrastructure


Measures






langkah keaman fisik harus





Y (belum optimal, sangat

terbatas)

Y (belum

optimal,

sangat

terbatas)

Tinggi Rendah

Ya DS12 DS12.3 Physical Access Apakah sudah menetapkan dan

menerapkan prosedur untuk

memberikan, membatasi dan

mencabut hak akses ke lokasi

bangunan dan tempat lain sesuai

dengan kebutuhan organisasi,

termasuk keadaan darurat.

Akses ke lokasi bangunan dan

tempat harus dibenarkan, resmi

dicatat dan dimonitor. Ini harus

berlaku untuk semua orang yang

memasuki lokasi, termasuk staf,

pegawai kontrak, klien, vendor,

pengunjung atau pihak ketiga

lainnya?

Y Y Rendah Rendah

Ya DS12 DS12.5 Physical Facilities

Management


fasilitas fisik?

Y Y Rendah Rendah

Ya DS12 DS12.4 Protection Against

Enironmental Factors

Apakah sudah merancang dan

mengimplementasikan langkah-

langkah untuk perlindungan

terhadap faktor lingkungan.

Memasang peralatan khusus

untuk memantau mengendalikan

lingkungan?

Y Y Rendah Rendah


129


Skor 100% 100% 0 0

8. IT Staf

Ya PO7 PO7.1 Personnel Recruitment

and Retention

Apakah ada prosedur

pengelolaan proses penerimaan

pegawai TI selaras dengan

kebijakan organiasi?

T T Rendah Rendah

Ya PO7 PO7.4 Personnel Training Apakah tersedia training yang

berorientasi pada pencapaian

tujuan organisasi?

Y (program pelatihan

tiap tahun)

Y Tinggi Rendah

Ya PO7 PO7.5 Dependence Upon

Individuals

Apakah sudah meminimalkan

ketergantungan terhadap

personel individu, dengan

membangun dokumentasi ,

knowledge management system,

cadangan staf?

Y (pembentukan tim

proyek)

Y MT Rendah

Ya PO4 PO4.5 IT Organisational

Structure

Apakah struktur organisasi

sesuai kebutuhan bisnis?

Y Y Tinggi Rendah

Ya PO7 PO7.8 Job Change and

Termination

Apakah sudah diatur untuk

setiap perubahan dan

penghentian pekerjaan

dilakukan transfer pengetahuan,

hak akses dihapus?

Y Y Sedang Rendah

Skor 80% 80% 75% 0%

9. IT expertise and skills

Ya PO7 PO7.1 Personnel Recruitment

and Retention

Apakah ada prosedur

pengelolaan proses penerimaan

pegawai TI selaras dengan

kebijakan organiasi?

T T Rendah Rendah

Ya PO7 PO7.4 Personnel Training Apakah tersedia training yang

berorientasi pada pencapaian

tujuan organisasi?

Y Y Tinggi Rendah


130


Ya PO7 PO7.5 Dependence Upon

Individuals

Apakah sudah meminimalkan

ketergantungan terhadap

personel individu, dengan

membangun dokumentasi,

knowledge management system,

cadangan staf?

Y (pembentukan tim

proyek (tim teknis /

tenaga ahli)

Y MT Tinggi

Ya PO7 PO7.7 Employee Job

Performance

Evaluation

Apakah ada evaluasi kinerja

pegawai?

Y (DP3), audit kinerja Y MR Tinggi

Skor 75% 75% 50% 68,75%

10. Software integrity


Maintenance

Apakah ada kebijakan

pengelolaan software aplikasi?

Y (SOP DC e-KTP) Y Tinggi Tinggi

Ya AI6 AI6.1 Change Standards and

Procedures

Apakah ada SOP change

management?

T T Rendah Rendah

Ya AI7 AI7.9 Post Implementation

Review

Apakah ada review setelah

implementasi?

Y Y Rendah Tinggi

Ya DS5 DS5.3 Identity Managemen Apakah sudah memastikan

bahwa semua pengguna

(internal, eksternal dan pegawai

kontrak) dan aktivitas mereka

pada sistem TI (aplikasi

organisasi, lingkungan TI,

operasi sistem, pengembangan

dan pemeliharaan)

teridentifikasi?

Y Y Tinggi TInggi


Integrity Review

Apakah secara berkala me-

review data konfigurasi untuk

memverifikasi dan

mengkonfirmasi integritas dari

konfigurasi saat ini?

Y Y Rendah Tinggi


131


Ya AC3 AC3 Accuracy,

Completeness and

Authenticity Checks

Apakah ada pengecekan bahwa

transaksi yang terjadi sudah

akurat, lengkap dan valid,

memvalidasi data yang masuk

dan mengedit untuk koreksi

data?

Y Y Tinggi Tinggi

Ya AC4 AC4 Processing Integrity

and Validity

Apakah ada proses validasi dan

integritas di seluruh proses

pengolahan data?

Y Y Tinggi Sedang

Ya AC5 AC5 Output Review,

Reconciliation and

Error Handling

Apakah ada prosedur dan PIC

yang bertanggung jawab

terhadap output dan kesalahan

data?

Y Y Tinggi Rendah

Skor 75% 75% 50% 68,75%

11. Infrastructure (hardware)


Resource Protection

and Availability

Apakah ada pengendalian

internal yang menjamin

ketersediaan dan melindugi

sumber daya infrastruktur?

Y Y Tinggi Tinggi


Measures






langkah keaman fisik harus





Y Y Rendah Rendah


132


Ya DS12 DS12.3 Physical Access Apakah sudah menetapkan dan

menerapkan prosedur untuk

memberikan, membatasi dan

mencabut hak akses ke lokasi

bangunan dan tempat lain sesuai

dengan kebutuhan organisasi,

termasuk keadaan darurat.

Akses ke lokasi bangunan dan

tempat harus dibenarkan, resmi,

dicatat dan dimonitor. Ini harus

berlaku untuk semua orang yang

memasuki lokasi, termasuk staf,

pegawai kontrak, klien, vendor,

pengunjung atau pihak ketiga

lainnya?

Y Y Rendah Rendah


Integrity Review



memverifikasi dan



Y Y Tinggi Tinggi

Skor 100% 75% 50% 75%

12. Software performance


Maintenance


software aplikasi?

Y Y Tinggi Tinggi

Ya DS3 DS3.5 Monitoring and

Reporting

Apakah kinerja software

dimonitoring dan dilaporkan?

Y Y Sedang Sedang

Ya DS10 DS10.2 Problem Tracking and

Resolution

Apakah ada system audit trail

dan tracking problem?

Y Y Sedang Rendah

Ya AI2 AI2.8 Software Quality

Assurance (QA)

Apakah ada penjaminan kualitas

software?

Y T Sedang Rendah

Skor 100% 75% 62,50% 37,5%


133


13. System capacity

Ya DS3 DS3.1 Performance and

Capacity Planning

Apakah ada perencanaan

kapasitas?

Y T Rendah Rendah


Maintenance

Apakah ada prosedur

pengelolaan infrastruktur?

Y (SOP DC e-KTP) Y Sedang Rendah

Ya DS3 DS3.3 Future Performance

and Capacity

Apakah melakukan

forecasting/prediksi kinerja dan

kapasitas sumber daya TI secara

berkala untuk meminimalkan

risiko gangguan layanan karena

kapasitas tidak mencukupi atau

penurunan kinerja?

Y T MR Rendah

Ya DS3 DS3.4 IT Resources

Availability

Apakah tersedia sumber daya

TI?

Y Y MR Rendah

Skor 100% 50% 25% 0%

14. Ageing of Infrastructural Software


Infrastructure Plan

Apakah rencana infrastruktur

teknologi sesuai dengan rencana

strategis TI dan dikelola dengan

baik?

Y (Grand Design SIAK) Y Tinggi Sedang

Ya PO3 PO3.5 IT Architecture Board Apakah memiliki arsitektur TI? Y (Grand Design SIAK) Y Tinggi Tinggi

Ya AI1 AI1.1 Definition and

Maintenance of

Business Functional

and Technical

Requirements

Apakah sudah melakukan

identifikasi, prioritisasi,

menentukan dan menyepakati

kebutuhan teknisi dan

fungsional organisasi?

Y Y Tinggi Rendah


Maintenance

Apakah ada prosedur

pengelolaan infrastruktur?

Y (SOP DC e-KTP) Y Rendah Rendah


134



Resource Protection

and Availability

Apakah ada pengendalian

internal yang menjamin

ketersediaan dan melindugi

sumber daya infrastruktur?

Y Y Tinggi Sedang

Skor 100% 100% 80% 40%

15. Malware

Ya DS5 DS5.5 Security Testing,

Surveillance and

Monitoring

Apakah ada pengujian

keamanan dan pemantauan?

Y Y Tinggi MR

Ya DS5 DS5.9 Malicious Software

Prevention, Detection

and Correction

Apakah sudah menggunakan

tools untuk mencegah,

mendeteksi dan memperbaiki

kerusakan akibat malicious

software?

Y Y Tinggi MR


Management

Apakah ada kebijakan yang

mendukung strategi TI dan

dikelola dengan baik?

Y (Grand Design SIAK

dan SOP DC e-KTP)

Y MR MR

Ya PO6 PO6.4 Policy, Standard and

Procedures Rollout

Apakah penegakan kebijakan TI

kepada semua staf TI yang

relevan, sehingga mereka

menjadi bagian integral dari

operasi organisasi?

Y Y MR MR

Skor 100% 100% 62,5% 25%

16. Logical attacks


Management

Apakah ada kebijakan yang

mendukung strategi TI dan

dikelola dengan baik?

Y (Grand Design SIAK

dan SOP DC e-KTP)

Y MR MR

Ya DS4 DS4.2 IT Continuity Plans Apakah sudah memiliki

perencanaan kelangsungan

organisasi/TI?

Y T Tinggi Rendah


135



Surveillance and

Monitoring



Y (Pentes, alat

monitoring)

Y Tinggi MR

Ya DS5 DS5.9 Malicious Software

Prevention, Detection

and Correction

Apakah sudah menggunakan

tools untuk mencegah,

mendeteksi dan memperbaiki

kerusakan akibat malicious

software?

Y (anti virus) Y Tinggi Tinggi

Ya DS5 DS5.10 Network Security Apakah menggunakan

perangkat keamanan?

Y (Firewall) Y MT Tinggi

Skor 100% 80% 80% 50%

17. Information Media

Ya DS11 DS11.2 Storage and Retention

Arrangements

Apakah sudah memiliki

prosedur pengelolaan storage

secara efektif dan efisien, dan

prosedur tersebut sudah

dijalankan?

Y Y Sedang Rendah

Ya DS11 DS11.4 Disposal Apakah organisasi sudah

menetapkan dan menerapkan

prosedur untuk memastikan

bahwa persyaratan untuk

perlindungan data sensitif dan

perangkat lunak terpenuhi

ketika data dan perangkat keras

dihanguskan/dibuang atau

ditransfer?

Y Y Tinggi Sedang

Ya DS11 DS11.5 Backup and

Restoration


prosedur backup dan restore

data?

Y (SOP DC e-KTP) Y Sedang Tinggi

DS11 DS11.3 Media Library

Management System

Apakah sudah memiliki sistem

pengelolaan media library untuk

menjamin ketersediaan?

Y Y Sedang Sedang

Skor 100% 100% 62,50% 50%


136


18. Utilities Performance

Ya DS4 DS4.8 IT Services Recovery

and Resumption

Apakah memiliki prosedur

pemulihan layanan TI?

Y Y Rendah Tinggi

Ya DS12 DS12.5 Physical Facilities

Management


fasilitas fisik?

Y Y Tinggi Tinggi

Ya DS1 DS1.3 Service Level

Agreements

Apakah sudah memiliki SLA

pada layanan kritikal?

Y Y Sedang Sedang



organisasi/TI?

Y T Rendah Rendah

Skor 100% 75% 37,50% 62,5%

19. Data(base) integrity

Ya PO4 PO4.9 Data and System

Ownership

Apakah unit kerja pemilik data

sudah disediakan prosedur dan

alat yang digunakan untuk

membantu tanggung jawab

terhadap data yang dimiliki?

Y Y Tinggi MR

Ya AI6 AI6.1 Change Standards and

Procedures

Apakah sudah memiliki SOP

tentang perubahan data?

Y (SOP DC e-KTP) Y Tinggi Rendah


Integrity Review



memverifikasi dan



Y T Sedang Rendah

Ya DS11 DS11.2 Storage and Retention

Arrangements


prosedur pengelolaan storage

secara efektif dan efisien, dan

prosedur tersebut sudah

dijalankan?

Y (SOP DC e-KTP) Y Sedang Rendah


137


Ya DS11 DS11.6 Security Requirements

for Data Management

Apakah sudah mendefinisikan

dan mengimplementasikan

kebijakan dan prosedur untuk

mengidentifikasi dan

menerapkan persyaratan

keamanan yang berlaku untuk

pengolahan, penyimpanan,

penerimaan dan output data?

Y (SOP DC e-KTP) Y Sedang MR

Skor 100% 80% 70% 10%

20. Logical trespassing

Ya DS5 DS5.3 Identity Management Apakah sudah memastikan

bahwa semua pengguna

(internal, eksternal dan pegawai

kontrak) dan aktivitas mereka

pada sistem TI (aplikasi

organisasi, lingkungan TI,

operasi sistem, pengembangan

dan pemeliharaan)

teridentifikasi?

Y Y Tinggi Rendah

Ya DS5 DS5.4 User Account

Management

Apakah ada pengelolaan user

account?

Y Y Sedang Rendah


Surveillance and

Monitoring



Y (Pentes, alat

monitoring)

Y Tinggi Sedang

Ya PO4 PO4.14 Contracted Staff

Policies and

Procedures

Apakah ada kebijakan dan

prosedur yang mengatur kontrak

pegawai, vendor, pegawai

kontrak?

Y (kontrak kerja) Y Sedang Sedang

Ya PO6 PO6.4 Policy, Standard and

Procedures Rollout

Apakah penegakan kebijakan TI

kepada semua staf TI yang

relevan, sehingga mereka

menjadi bagian integral dari

operasi organisasi?

Y Y Sedang Rendah


138


Skor 100% 100% 70% 20%

21. Operational IT errors

Ya PO7 PO7.4 Personnel Training Apakah organisasi sudah

menyediakan training yang

selaras dengan tujuan

organisasi?

Y Y Tinggi Sedang


and Resumption



Y Y Rendah Tinggi

Ya DS7 DS7.1 Identification of

Education and

Training Needs

Apakah kebutuhan pelatihan

dan pendidikan sudah

teridentifikasi?

Y Y Rendah Tinggi

Ya DS7 DS7.2 Delivery of Training

and Education

Apakah delivery pengajar,

mentor sudah sesuai dengan

kualifikasi yang dipersyaratkan?

Y Y Rendah Tinggi

Ya DS13 DS13.1 Operations

Procedures and

Instructions

Apakah ada prosedur dan

petunjuk operasional TI?

Y Y Rendah Tinggi

Skor 100% 100% 20% 90%

22. Contractual Compliance

Ya AI5 AI5.2 Supplier Contract

Management


perjanjian dengan vendor?

Y Y Tinggi Sedang

Ya DS2 DS2.2 Supplier Apakah hubungan dengan

vendor diformalkan dengan

SLA?

Y Y Tinggi Sedang


139


Ya ME3 ME3.1 Identification of

External Legal,

Regulatory and

Contractual

Compliance

Requirements

Apakah ada identifikasi, secara

terus menerus, hukum lokal dan

internasional, peraturan, dan

persyaratan eksternal lainnya

yang harus dipenuhi untuk

dimasukkan dalam kebijakan

organisasi TI, standar, prosedur

dan metodologi?

Y Y Rendah Sedang

Ya ME3 ME3.4 Positive Assurance of

Compliance

Apakah organisasi selalu patuh

terhadap kualitas?

Y Y Tinggi Tinggi

Skor 100% 100% 75% 62,50%

23. Acts of Nature


and Resumption



Y Y Tinggi MR

Ya DS12 DS12.1 Site Selection and

Layout

Apakah pemilihan lokasi

penempatan aset TI sudah

didefinisikan?

Y Y Tinggi MR

Ya DS12 DS12.4 Protection Against

Enironmental Factors

Apakah sudah merancang dan

mengimplementasikan langkah-

langkah untuk perlindungan

terhadap faktor lingkungan.

Memasang peralatan khusus

untuk memantau mengendalikan

lingkungan?

Y Y Rendah Sedang



organisasi/TI?

Y T Tinggi Rendah

Skor 75% 75% 75% 25%


140


Lampiran 4 : Profil Risiko TI (RE3)

No. Skenario

Risiko

Konteks Aset TI Deskripsi Risiko TI

(Risk Issue)

Kontrol

yang Ada Saat

Ini

Tingkat

Risiko

Risk

Appetite

Strategi/

Respon

Risiko

Langkah

Mitigasi

Komponen

Penyusun Profil

Risiko TI (RE3)

1 2 3 4 5 6 7 8 9 10 11

1 New

Technologies

Strategi TI

untuk core

business

Arsitektur TI Kegagalan adopsi dan

eksploitasi teknologi

baru secara tepat

waktu yang cukup

berdampak bagi

efisienasi organisasi

Grand Design

SIAK

1,34

(Rendah) Rendah Diterima - RE1.4, RE2,

RR1.1, RR1.3

2 Ageing of

application

software

Software

operasional core

business

Sistem

operasi,

software

analisis,

software

database,

software

backup

Software aplikasi

untuk operasional

sudah usang

(teknologi, poorly

documented,

expensive to maintain,

difficult to extend, not

integrated in current

architecture)

Pengelolaan

lisensi software

aplikasi yang

dimasukkan

dalam rencana

kerja tahunan

1,10

(Rendah)

Rendah Diterima - RE1.4, RE2,

RR1.1, RR1.3

3 Software

Implementation

Proyek e-KTP Aplikasi MQ,

BMW, ABIS

dan IDMS)

Gangguan operasional

ketika aplikasi baru

tersebut mulai

digunakan

Penjaminan

kualitas (QA),

Training

1,49

(Rendah)


RR1.1, RR1.3


141


4 Software

Implementation

Proyek e-KTP Aplikasi MQ,

BMW, ABIS

dan IDMS)

Persiapan pengguna

yang kurang memadai

untuk menggunakan

dan mengeksploitasi

aplikasi baru

Training bagi

pegawai

0,99

(Rendah)


RR1.1, RR1.3

5 Project Quality Proyek e-KTP Proses

penerimaan

barang/jasa,

proses

penjaminan

kualitas

Kualitas yang tidak

memadai atas

penyerahan proyek

(terkait dengan

dokumentasi software,

kesesuaian dengan

persyaratan

fungsional)

Kerangka

Acuan Kerja

dan Perjanjian

Kontrak

(Service Level

Agreement

(SLA))

0,99

(Rendah)


RR1.1, RR1.3

6 Selection/perfor

mance of third-

party suppliers

Penyedia jasa

untuk support

operasional core

business

Proses

pengelolaan

layanan pihak

ketiga

Penyampaian Service

dan Support oleh

vendor tidak sesuai

SLA/perjanjian

e-Procurement

perjanjian

kontrak kerja

0,74

(Rendah)


RR1.1, RR1.3

7 Infrastructure

theft

Infrastruktur Laptop Pencurian laptop yang

di dalamnya berisi

data sensitif

- penempatan

CCTV yang

terbatas

- SOP Data

Center e-KTP

0,50

(Rendah)


RR1.1, RE1.2,

RE1.3, RR1.3

8 Infrastructure

theft

Infrastruktur Server Pencurian server

pengembangan

0,38


RR1.1, RE1.2,

RE1.3, RR1.3

9 Destruction of

Infrastructure

Infrastruktur

core business

Infrastruktur

TI

Terjadinya sabotase

dan gangguan pada

DC

15

(Tinggi)

Rendah Mitigasi Manusia: - wajib menggunakan

kartu identitas selama

berada di lingkungan

kerja

RE1.4, RE2,

RR1.1, RR2.5,

RE1.2, RE1.3,

RR1.3


142


10 Destruction of

Infrastructure

Infrastruktur

core business

Laptop Kerusakan laptop

yang berisi data

sensitif

SOP Data

Center e-KTP

1,10

(Rendah)

Rendah Diterima - kesadaran memelihara

peralatan yang telah

diberikan

Proses: - Membuat Standar

Prosedur Operasi teknis

tentang pemeliharaan

peralatan

- Kebijakan melarang

masuknya alat dengan

kemampuan merekam

ke dalam wilayah-

wilayah kerja tertentu,

kecuali telah ada ijin

sebelumnya

- Kebijakan

menentukan area kerja

terbatas seperti Data

Center

Teknologi:

- penambahan jumlah

CCTV

- BCP, DRP dan DRC

(tidak hanya sebagai

backup server)

- semua area kerja

dilengkapi dengan

sistem access control

RE1.4, RE2,

RR1.1, RE1.2,

RE1.3, RR1.3

11 IT Staff Staf TI dalam

operasional core

business

Proses

Pengelolaan

SDM TI

Tidak tersedianya staf

TI saat dibutuhkan

Pembentukan

tim untuk

setiap proyek

1,49

(Rendah)


RR1.1, RR1.3


143


12 IT Staff Staf TI dalam

operasional core

business

SDM Staf TI mengundurkan

diri / mutasi sehingga

menyebabkan

kehilangan staf yang

kompeten di

bidangnya

Perjanjian

kontrak kerja

0,99

(Rendah)


RR1.1, RR1.3

13 IT expertise and

skills

keahlian Staf TI

dalam

operasional core

business

SDM Adanya gap keahlian

staf TI dengan

teknologi yang

digunakan di core

business

Program

Pelatihan TI

0,99

(Rendah)


RR1.1, RR1.3

14 IT expertise and

skills

keahlian Staf TI

dalam

operasional core

business

SDM Kurangnya

pemahaman bisnis

proses pada core

business oleh staf TI

Program

Pelatihan TI

0,99


RR1.1, RR1.3

15 Software

Integrity

Aplikasi MQ,

BMW, ABIS

dan IDMS

Aplikasi MQ,

BMW, ABIS

dan IDMS

Kesengajaan

memodifikasi aplikasi

menyebabkan

kesalahan data

SOP Data

Center e-KTP

0,99


RR1.1, RE1.2,

RE1.3, RR1.3

16 Software

Integrity

Aplikasi MQ,

BMW, ABIS

dan IDMS

Aplikasi MQ,

BMW, ABIS

dan IDMS

Kesengajaan

memodifikasi aplikasi

menyebabkan fraud

SOP Data

Center e-KTP

0,99

(Rendah)


RR1.1, RE1.2,

RE1.3, RR1.3

17 Software

Integrity

Aplikasi MQ,

BMW, ABIS

dan IDMS

Aplikasi MQ,

BMW, ABIS

dan IDMS

Ketidaksengajaan

kesalahan dalam

pengelolaan

perubahan atau

konfigurasi aplikasi

menyebabkan

terjadinya fraud

SOP Data

Center e-KTP

0,99

(Rendah)


RR1.1, RE1.2,

RE1.3, RR1.3


144


18 Infrastructure

(hardware)

Perangkat

Server core

Server core kesalahan konfigurasi

server core

SOP Data

Center e-KTP

0,75

(Rendah)


RR1.1, RR1.3

19 Infrastructure

(hardware)

Perangkat

Server core

Server core kerusakan server core 0,75

(Rendah)


RR1.1, RE1.2,

RE1.3, RR1.3

20 Infrastructure

(hardware)

Perangkat

jaringan

Switch, router kesalahan konfigurasi

perangkat jaringan

0,75

(Rendah)


RR1.1, RR1.3

21 Infrastructure

(hardware)

Perangkat

jaringan

Switch, router,

LAN

gangguan jaringan 0,75

(Rendah)


RR1.1, RR1.3

22 Infrastructure

(hardware)

Perangkat

keamanan

Firewall, IPS kesalahan konfigurasi

perangkat keamanan

0,5

(Rendah)


RR1.1, RR1.3

23 Software

performance

Kinerja Aplikasi

MQ, BMW,

ABIS dan

IDMS

Aplikasi MQ,

BMW, ABIS

dan IDMS

gangguan secara

reguler pada Aplikasi

MQ, BMW, ABIS dan

IDMS

SOP Data

Center e-KTP

1,38

(Rendah)


RR1.1, RR1.3


kapasitas

Aplikasi MQ,

BMW, ABIS

dan IDMS

Server core sistem tidak dapat

menangani volume

transaksi ketika

jumlah pengguna naik

- Grand Design

SIAK

- SOP Data

Center e-KTP

11,25

(Mene-

ngah

Tinggi)

Rendah Mitigasi Manusia:

Terdapat staf TI yang


perencanaan dan

monitoring

Proses:

- kebijakan yang

menetapkan adanya

capacity planning,

monitoring dan evaluasi

untuk seluruh

implementasi sistem

informasi

- untuk setiap sistem

RE1.4, RE2,

RR1.1, RR2.5,

RE1.2, RE1.3,

RR1.3


kapasitas

Aplikasi MQ,

BMW, ABIS

dan IDMS

Server core sistem tidak dapat

menangani beban

ketika aplikasi atau

inisiatif baru di-deploy

3 (Mene-

ngah

Rendah)

Rendah Mitigasi RE1.4, RE2,

RR1.1, RR2.5,

RE1.2, RE1.3,

RR1.3


145


informasi yang

dikembangkan harus

memiliki capacity plan

Teknologi:

- Alat untuk monitoring

resource

- BCP, DRP dan DRC


backup server)

26 Ageing of

infrastructural

software

umur software

operasional core

business

sistem operasi tidak mendukungnya

versi sistem operasi

saat digunakan untuk

operasional

- Grand Design

SIAK

- SOP Data

Center e-KTP

0,36


RR1.1, RR2.5,

RE1.2, RE1.3,

RR1.3

27 Ageing of

infrastructural

software

umur software

operasional core

business

Software

backup

tidak mendukungnya

versi aplikasi backup

saat digunakan untuk

operasional

- Grand Design

SIAK

- SOP Data

Center e-KTP

0,24

(Rendah)


RR1.1, RR1.3

28 Ageing of

infrastructural

software

umur software

operasional core

business

sistem

database

Old version database

masih digunakan (saat

ini masih Oracle 11g

seharusnya sudah

Oracle 12c)

- Grand Design

SIAK

- SOP Data

Center e-KTP

0,36

(Rendah)


RR1.1, RR1.3


core business

Server core Intrusion malware

pada server core

- pemasangan

antivirus

- pengujian

keamanan

1,67


RR1.1, RR1.3


core business

Laptop Intrusion malware

pada laptop yang

berisi data sensitif

2,50

(Meneng

ah

Rendah)

Rendah Mitigasi Manusia:



kemanan TI



update patches

RE1.4, RE2,

RR1.1, RR2.5,

RE1.2, RE1.3,

RR1.3


146


keamanan dan virus

Proses:

- Direktorat

Pengelolaan Informasi

Administrasi

Kependudukan (PIAK)

melakukan sosialisasi

kesadaran keamanan

informasi

- Direktorat


Administrasi

Kependudukan (PIAK)

melakukan

perlindungan terhadap

kode jahat yang

didasarkan pada

pendeteksian awal,

perbaikan software,

kesadaran keamanan,

dan pengendalian

manajemen perubahan

dan sistem akses yang

memadai

- Direktorat


Administrasi

Kependudukan (PIAK)

menetapkan petunjuk

pengelolaan dan

tanggungjawab untuk

menangani antisipasi

kode jahat terhadap

sistem yang berjalan,

pelatihan yang

diperlukan, pelaporan


147


dan perbaikan dari

serangan kode jahat

- Direktorat


Administrasi

Kependudukan (PIAK)

mendeteksi dan

mencegah terjadinya

malicious code yang

mungkin dikirim pada

saat terjadinya

komunikasi elektronis

- Direktorat


Administrasi

Kependudukan (PIAK)

melarang penggunaan

software secara ilegal di

lingkungan Ditjen

Dukcapil dan

melaksanakan petunjuk

untuk perlindungan

atasa adanya risiko

ketika menerima file

dan software dari

jaringan eksternal atau

dari perantara jaringan

yang lain

- Pemeriksaan untuk

setiap file elektronis

dan media optik, dan

file yang diterima

jaringan, terhadap kode

jahat sebelum

penggunaan


148


Teknologi:

- Penggunaan antivirus

dan antispam

- BCP, DRP dan DRC


backup server)


core business

Sistem operasi penyusupan malware

pada sistem operasi

core business

mengakibatkan

kerusakan sistem

operasi

1,67

(Rendah)


RR1.1, RR1.3


core business

sistem

database

penyusupan malware

pada sistem database

core business

mengakibatkan

kerusakan sistem

database

1,11

(Rendah)


RR1.1, RR1.3


core business

Software

backup

penyusupan malware

pada software backup

core business

mengakibatkan

kerusakan software

backup

1,11

(Rendah)


RR1.1, RR1.3

34 Malware Aplikasi MQ,

BMW, ABIS

dan IDMS

Aplikasi MQ,

BMW, ABIS

dan IDMS

penyusupan malicious

code pada sistem

aplikasi dan

mengakibatkan

kerusakan sistem

- pemasangan

antivirus

- pengujian

keamanan

1,67


RR1.1, RR1.3


149


35 Logical attacks Serangan dari

internet

terhadap sistem

core business

Proses

memastikan

keamanan

sistem,

arsitektur

aplikasi

serangan virus

komputer

- pemasangan

antivirus

- kontrol akses

- alat

monitoring

keamanan

- pemasangan

peralatan

keamanan

(firewall)

0,90

(Rendah)


RR1.1, RR1.3


internet

terhadap sistem

core business

Proses

memastikan

keamanan

sistem,

arsitektur

aplikasi

Denial of Service

attack

0,90

(Rendah)


RR1.1, RR1.3


internet

terhadap sistem

core business

Proses

memastikan

keamanan

sistem,

arsitektur

aplikasi

Web defacement 0,90

(Rendah)


RR1.1, RR1.3


internet

terhadap sistem

core business

Proses

memastikan

keamanan

sistem,

arsitektur

aplikasi

Pengguna tidak sah

mencoba masuk ke

sistem core business

0,40


RR1.1, RR1.3

39 Information

media

Media portable SOP Data

Center e-KTP

terbukanya data

sensitif yang ada pada

media portable

(misalnya CD, USB

drive, disk portable)

SOP

Pemeliharaan

dan

Pengamanan

Data

1,67

(Rendah)


RR1.1, RR1.3


150


40 Information

media


Center e-KTP

kehilangan data

sensitif yang ada pada

media portable

(misalnya CD, USB

drive, disk portable)

SOP

Pemeliharaan

dan

Pengamanan

Data

0,74

(Rendah)


RR1.1, RE1.2,

RE1.3, RR1.3

41 Information

media


Center e-KTP

kehilangan media

backup

SOP

Pemeliharaan

dan

Pengamanan

Data

0,37

(Rendah)


RR1.1, RE1.2,

RE1.3, RR1.3

42 Utilitis

performance

Power UPS, Prosedur

pengelolaan

layanan

dengan pihak

ketiga

listrik yang tidak

stabil

Perjanjian

kontrak dengan

vendor

1,38

(Rendah)


RR1.1, RR1.3

43 Data(base)

Integrity

Data e-KTP

(core database)

Data Kesengajaan

menghapus data yang

menyebabkan

kehilangan data

SOP Data

Center e-KTP

1,08

(Rendah)

Rendah Diterima Manusia:



pengelolaan database



keamanan database

- Menumbuhkan

kesadaran untuk

menjaga integritas dan

keamanan data

Proses:

- Menyusun SOP

tentang pelabelan dan

penanganan informasi

RE1.4, RE2,

RR1.1, RR1.3


151


44 Data(base)

Integrity

Data e-KTP

(core database)

Data Pencurian data 1,08

(Rendah)

Rendah Diterima (pemrosesan,

penyimpanan,

penyebaran sampai

penghapusannya)

berdasarkan klasifikasi

aset informasi di

lingkungan unit kerja

masing-masing

- Menerapkan enkripsi

pada informasi yang

sensitif/kritikal baik

selama penyimpanan

maupun pemindahan

untuk memastikan

kerahasiaan

- Melakukan update

SOP terkait

pengelolaan database

- Rotasi pegawai

- Pembagian tugas

- Direktorat


Administrasi

Kependudukan (PIAK)

berwenang

mengendalikan akses

ke jaringan data dan

layanan yang ada di

jaringan data, serta

untuk menetapkan

kriteria yang harus

RE1.4, RE2,

RR1.1, RE1.2,

RE1.3, RR1.3

45 Data(base)

Integrity

Data e-KTP

(core database)

Data Kesengajaan

memodifikasi data

yang menyebabkan

ketidakakuratan data

2,16

(Mene-

ngah

Rendah)

Rendah Mitigasi RE1.4, RE2,

RR1.1, RR2.5,

RE1.2, RE1.3,

RR1.3


152


46 Data(base)

Integrity

Data e-KTP

(core database)

Data Database corrupt 1,62

(Rendah)

Rendah Diterima dipenuhi untuk

mengakses jaringan

data, siapa saja yang

diperbolehkan

mengakses jaringan

data, serta jaringan dan

layanan jaringan apa

saja yang diperbilehkan

untuk diakses

- Direktorat


Administrasi

Kependudukan (PIAK)

harus memastikan

bahwa penggunaan

jaringan selalu

dipantau, dibatasi,

dan/atau dilarang untuk

tujuan tertentu, seperti

pemindahan data yang

tidak ada kaitannya

dengan kegiatan Ditjen

Dukcapil, akses

interaktif dan aplikasi

interaktif yang dapat

memindahkan data ke

tempat lain

- Direktorat


Administrasi

Kependudukan (PIAK)

menempatkan fasilitas

pengolah informasi

yang menangani data

yang sensitif

sedemikian rupa

RE1.4, RE2,

RR1.1, RE1.2,

RE1.3, RR1.3


153


sehingga pada saat

aplikasi digunakan,

informasi yang ada di

layar tidak dapat dilihat

oleh orang yang tidak

berkepentingan

- Unit kerja yang

membawahi bidang

SDM memastikan

bahwa seluruh pegawai

Ditjen Dukcapil

menyetujui peran dan

tanggung jawab

keamanan informasi

yang diberikan kepada

mereka dengan

menandatangani surat

perjanjian yang

menyatakan

kesanggupan menjaga

kerahasiaan dan

larangan penyingkapan

untuk jenis aset

informasi yang bersifat

sensitif bagi Ditjen

Dukcapil

- Seluruh pegawai

Ditjen Dukcapil harus

menandatangani

pembaruan perjanjian

kerahasiaan sebagai

bagian dari perjanjian

kontrak kerja pegawai

- Dalam aktivitas

pengembangan dan

pemeliharaan sistem


154


informasi unit kerja

yang membawahi

bidang Pengembangan

Aplikasi Sistem serta

unit kerja pengguna dan

pemilik aplikasi harus

memastikan bahwa

seluruh aplikasi yang

ada di Ditjen Dukcapil

telah memiliki

pengendalian memadai,

yang minimal mampu

melakukan validasi data

masukan, validasi

pemrosesan, dan

validasi data keluaran

- Pemberian hak akses

sesuai kebutuhan

Teknologi:

- Menyediakan metode

dan atau sistem tools

(alat bantu) dalam

penanganan kriptografi

- pemberian hak akses

sesuai kebutuhan

- BCP, DRP dan DRC


backup server)

47 Logical

trespassing

Hak Akses PC Akses ilegal atas

peralatan komputer

end user

- Kontrol

Akses

- Perjanjian

Kontrak Kerja

Pegawai

0,48

(Rendah)


RR1.1, RR1.3

48 Logical

trespassing

Hak Akses Aplikasi core Ilegal logical access

pada sistem aplikasi

core

0,96

(Rendah)


RR1.1, RR1.3


155


49 Logical

trespassing

Hak Akses SOP Data

Center e-KTP

Ilegal logical access

pada proses

administrasi

0,96

(Rendah)


RR1.1, RR1.3

50 Logical

trespassing

Hak Akses SOP Data

Center e-KTP

Tidak diketahuinya

aktivitas

penyalahgunaan

wewenang

1,44

(Rendah)


RR1.1, RR1.3

51 Logical

trespassing

Hak Akses Sistem

database

Pengguna

mendapatkan akses ke

informasi yang tidak

sah

0,96


RR1.1, RR1.3

52 Logical

trespassing

Hak Akses Data Pengguna mencuri

data sensitif

1,44

(Rendah)


RR1.1, RR1.3

53 Operational IT

errors

Kegiatan

backup

Prosedur

backup data

penyalahgunaan

backup data oleh

pihak internal

- SOP

Pemeliharaan

dan

Pengamanan

Database

Kependudukan

- Pelatihan Staf

TI

- SOP Data

Center e-KTP

0,16

(Rendah)


RR1.1, RR1.3

54 Operational IT

errors

Kegiatan

backup

Prosedur

backup data

penyalahgunaan

backup data oleh

pihak eksternal

0,48

(Rendah)


RR1.1, RR1.3

55 Operational IT

errors

Kegiatan

backup

Prosedur

backup data

kegagalan backup

data

0,32

(Rendah)


RR1.1, RR1.3

56 Operational IT

errors

Kegiatan

backup

SOP Data

Center e-KTP

kehilangan media

backup

0,24

(Rendah)


RR1.1, RR1.3

57 Operational IT

errors

Kegiatan

backup

Prosedur

backup data

tidak dapat dilakukan

restore atas backup

sesuai checkpoint

0,32

(Rendah)


RR1.1, RR1.3


156


58 Operational IT

errors

Kegiatan

backup

Prosedur

backup data

kesalahan saat

melakukan backup

data

0,32

(Rendah)


RR1.1, RR1.3

59 Operational IT

errors

Patching/

upgrade sistem

operasi untuk

core business

Sistem operasi kegagalan

patching/upgrade

sistem operasi untuk

core business

- SOP Data

Center

- Pelatihan Staf

TI

0,32

(Rendah)


RR1.1, RR1.3

60 Operational IT

errors

Patching/

upgrade sistem

operasi untuk

core business

sistem

database

kegagalan

patching/upgrade

sistem database untuk

core business

- SOP Data

Center

- Pelatihan Staf

TI

0,32


RR1.1, RR1.3

61 Contractual

Compliance

Lisensi software

untuk core

business

Proses

kepatuhan

terhadap

lisensi

ketidakpatuhan

terhadap lisensi

software (penggunaan

software yang tidak

berlisensi)

pengelolaan

lisensi software

0,56

(Rendah)


RR1.1, RR1.3

62 Acts of nature Bencana alam Infrastruktur,

SDM

Banjir perbaikan

saluran air

0,38

(Rendah)


RR1.1, RR1.3


SDM

Gempa Bumi Konstruksi

gedung anti

gempa

0,75

(Rendah)


RR1.1, RR1.3


SDM

Petir Pemasangan

penangkal petir

1,50

(Rendah)


RR1.1, RR1.3


157

Universitas Indonesia Universitas Indonesia

Lampiran 5 : Transkrip Wawancara

1. Peran TI

[Tingkat Kepentingan] Minim (M); Rendah (R); Sedang (S); Tinggi (T); Kritis (K)

No. Pertanyaan Status

Komentar M R S T K

1. Total anggaran tahunan yang

dialokasikan untuk TIK,

sebagai berikut:

- Kurang dari Rp 1 Milyar =

Minim

- Rp 1 Milyar s.d. Rp 3 Milyar

= Rendah


= Sedang


= Tinggi

- Lebih dari Rp 20 Milyar =

Kritis

v Total anggaran untuk

penerapan e-KTP ini

sebesar ± Rp 6 triliun

untuk tahun jamak

yaitu tahun 2010,

2011 dan 2012.

2. Jumlah staff/pengguna dalam

instansi yang menggunakan

infrastruktur TIK, sebagai

berikut:

- Kurang dari 60 = Minim

- Antara 60 s.d. 120 = Rendah

- Antara 120 s.d. 240 = Sedang

- Antara 240 s.d. 600 = Tinggi

- 600 atau lebih = Kritis

v Pegawai Ditjen

Dukcapil s.d. tahun

2012 berjumlah ± 500

orang, namun yang

menggunakan TIK

dan sebagai

penanggungjawabnya

adalah Direktorat

Pengelolaan

Informasi

Administrasi

Kependudukan

(DPIAK) yang

jumlah pegawainya ±

1. Bapak Dr. Ir. H. Husni Fahmi, MSEE

Jabatan : Kasubdit Pengelolaan Data Administrasi Kependudukan

mewakili Direktur Pengelolaan Informasi Administrasi

Kependudukan

Unit Kerja : Direkorat Pengelolaan Informasi Administrasi Kependudukan

Tanggal : 19 September 2013


158


60 orang.

3. Tingkat ketergantungan

terhadap layanan TIK untuk

menjalankan Tugas Pokok dan

Fungsi Organisasi

v Ketergantungan

terhadap TIK sangat

tinggi terkait untuk

mendukung proses

kerja utama Ditjen

Dukcapil yaitu

pelayanan penerapan

SIAK, e-KTP dan

Koneksitas NIK.

4. Nilai kekayaan intelektual yang

dimiliki dan dihasilkan oleh

Organisasi

v Data kependudukan

merupakan produk

Ditjen Dukcapil yang

bernilai sangat tinggi

dan bersifat sangat

rahasia.

5. Dampak dari kegagalan sistem

TIK utama yang digunakan

Organisasi

v Kegagalan sistem

TIK mempengaruhi

proses kerja utama.


ketersediaan sistem TIK untuk

menghubungkan lokasi kerja

organisasi

v Ditjen Ducapil sangat

tergantung terhadap

ketersediaan sistem

TIK ini, dengan

lokasi kerja (tempat

perekaman e-KTP) di

6.234 kecamatan.

7. Dampak dari kegagalan sistem

TIK organisasi terhadap kinerja

instansi pemerintah lainnya

v Produk Ditjen

Dukcapil memang

digunakan oleh

instansi lain namun

bukan berarti kinerja

instansi tersebut

hanya ditentukan oleh

produk Ditjen

Dukcapil


159


8. Tingkat sensitifitas pengguna

sistem TIK di organisasi

v Pengguna

(Pemerintah

Kabupaten/Kota)

sangat sensitif, karena

hal ini terkait

pelayanan kepada

masyarakat sehingga

harus tuntas.

9. Tingkat kepatuhan terhadap UU

dan perangkat hukum lainnya

v Kepatuhan terhadap

UU terkait

Administrasi

Kependudukan untuk

mencapai

ketunggalan data

penduduk.

10. Potensi kerugian atau dampak

negatif dari insiden

ditembusnya keamanan

informasi sistem TIK

Organisasi

v Akan mempengaruhi

kepercayaan dari

pihak pelapor dan

citra Ditjen Dukcapil

menurun.


terhadap pihak ketiga dalam

menjalankan/mengoperasikan

sistem TIK

v Tingkat

ketergantungan

terhadap pihak ketiga

dalam menjalankan /

mengoperasikan

sistem TIK sangat

tinggi.

12. Tingkat klasifikasi/kekritisan

sistem TIK di Organisasi,

relatif terhadap ancaman upaya

penyerangan atau penerobosan

keamanan informasi

v Tingkat

klasifikasi/kekritisan

relatif tinggi, karena

hal ini terkait data

penduduk yang

bersifat rahasia dan

dilindungi oleh UU

No.23 Tahun 2006

2. Proses

Berdasarkan struktur organisasi, DPIAK memiliki proses Perencanaan dan

Kebijakan TI, Penyediaan Sarana Infrastruktur, Pengelolaan Data,

Pemeliharaan Kualitas, Pengoperasian dan Pemeliharaan Layanan,

Pengamanan Jaringan dan User Support yang mendukung proses kerja di

Ditjen Dukcapil, apakah benar?

Sependapat.


160


Apakah bapak bersedia kita menganalisis setiap proses tersebut dan kemudian

melihat risikonya?

Bisa, apabila memang memerlukan ijin dari atasan kita usahakan. Mungkin

diprioritaskan saja pada aset TI yang mendukung proses kerja utama Ditjen Dukcapil

dalam penerapan e-KTP ini.

Diantara proses tersebut, proses apa saja menurut bapak yang dikategorikan

sebagai kritikal? Kritikal di sini mempunyai dampak signifikan terhadap

bisnis.

Kalau diurutkan no. 1-3 yaitu: pengembangan aplikasi , pengamanan jaringan dan

pengoperasian dan pemeliharaan layanan. Terdapat 3 (tiga) proses kerja prioritas

yaitu:

a. Proses Penerimaan data hasil perekaman e-KTP dan pengembalian status data

dari dan ke kecamatan tempat perekaman;

b. Proses Identifikasi Ketunggalan Data; dan

c. Proses Penyimpanan data.

3. Pengelolaan kebijakan dan prosedur

Apakah semua proses di atas sudah dibakukan dalam bentuk SOP?

Saat ini sudah ada SOP Data Center Kependudukan yang masih perlu

disempurnakan, dan belum detailnya petunjuk teknis.

Apakah SOP tersebut perlu di-update?

Ya, perlu diupdate.

Bagaimana dengan efektivitas SOP/Kebijakan sebagai kontrol untuk

mengendalikan risiko?

Nantinya efektivitas SOP dan pedoman tersebut 75% kecuali untuk pedoman atau

SOP yang baru belum bisa diukur.


161


4. Penilaian Risiko

Apakah Bapak setuju setiap aktivitas dalam memberikan layanan TI selalu

mengandung risiko?

Setuju.

Apakah risiko tersebut perlu kelola?

Pasti.

Mengapa pengelolaan risiko TI sangat penting untuk organisasi?

Karena apabila tidak dikelola dengan baik berdampak pada organisasi itu perlu

meminimalkan dampak dengan pengelolaan risiko.

Incident apa yang pernah terjadi dan mendapatkan perhatian serius dari

manajemen?

Kegagalan listrik.

Disebabkan oleh apa incident tersebut terjadi?

Listrik dari PLN tidak bisa menyuplai ke UPS sehingga dukungan power pada Data

Center (DC) terganggu.

Apa kira-kira dampak yang ditimbulkan oleh incident tersebut dari dampak

yang paling ringan hingga dampak serius?

Beberapa server dimatikan, sehingga layanan TI untuk sementara dihentikan.

Lalu kendali apa yang sudah diterapkan untuk mengurangi risiko tersebut?

Ganti Kabel listrik akibat upgrade daya beberapa kali dan penggunaan UPS.

Seberapa sering risiko tersebut terjadi? Berapa kali dalam

sehari/seminggu/setahun?

Untuk tahun 2012 lalu sudah empat kali terjadi namun kemungkinan ke depan

dengan adanya perbaikan yang dilakukan jarang terjadi namun kemungkinan ke

depan dengan adanya perbaikan yang dilakukan jarang terjadi.

Selain itu pada tahun 2012 lalu, DC e-KTP ini pernah mengalami downtime selama 2

minggu dalam 1 tahun.

Seberapa efektifkah kendali tersebut?


162


Cukup efektif, beberapa bulan ini sudah tidak terjadi lagi.

Dari kelima level risiko yaitu sangat tinggi, tinggi, sedang, rendah, sangat

rendah, level risiko manakah yang Bapak tetapkan untuk dapat diterima?

Sesuai dalam draft pedoman manajemen risiko, level risiko yang bisa diterima

organisasi yaitu rendah.

5. Pengelolaan Risiko TI

[Penilaian] Tidak Dilakukan (TD); Dalam Perencanaan (DP); Dalam Penerapan atau

Diterapkan Sebagian (DS); Diterapkan Secara Menyeluruh (DSM)

No. Pertanyaan Status

Komentar TD DP DS DSM

1. Apakah organisasi TI

mempunyai program

kerja pengelolaan risiko

TI?

v


mempunyai kerangka

kerja pengelolaan risiko

TI yang terdokumentasi

dan secara resmi

digunakan?

v

3. Apakah kerangka kerja

pengelolaan risiko ini

mencakup definisi dan

hubungan tingkat

klasifikasi aset

informasi, tingkat

ancaman, kemungkinan

terjadinya ancaman

tersebut dan dampak

kerugian terhadap

organisasi?

v

4. Apakah organisasi

sudah menetapkan

ambang batas tingkat

v


163


risiko yang dapat

diterima? Dalam draft

manajemen risiko

ambang batas tingkat

risiko adalah low


sudah mendefinisikan

kepemilikan dan pihak

pengelola (custodian)

aset yang ada, termasuk

aset utama/penting dan

proses kerja utama

yang menggunakan aset

tersebut?

v

6. Apakah ancaman dan

kelemahan yang terkait

dengan aset informasi,

terutama untuk setiap

aset utama sudah

teridentifikasi?

v

7. Apakah dampak

kerugian yang terkait

dengan

hilangnya/terganggunya

fungsi aset utama sudah

ditetapkan sesuai

dengan definisi yang

ada?

v


sudah menjalankan

inisiatif analisis/kajian

risiko keamanan

informasi secara

terstruktur terhadap aset

v


164


informasi yang ada

(untuk nantinya

digunakan dalam

mengidentifikasi

langkah mitigasi atau

penanggulangan yang

menjadi bagian dari

program pengelolaan

keamanan informasi)?


sudah menyusun

langkah mitigasi dan

penanggulangan risiko

yang ada?

v

10. Apakah langkah

mitigasi risiko disusun

sesuai tingkat prioritas

dengan target

penyelesaiannya dan

penanggungjawabnya,

dengan memastikan

efektifitas biaya yang

dapat menurunkan

tingkat risiko ke

ambang batas yang bisa

diterima dengan

meminimalisasi

dampak terhadap

operasional layanan

TIK?

v

11. Apakah status

penyelesaian langkah

mitigasi risiko dipantau

secara berkala, untuk

memastikan

penyelesaian atau

kemajuan kerjanya?

v


165


12. Apakah penyelesaian

langkah mitigasi yang

sudah diterapkan

dievaluasi untuk

memastikan konsistensi

dan efektifitasnya?

v

13. Apakah profil risiko

berikut bentuk

mitigasinya secara

berkala dikaji ulang

untuk memastikan

akurasi dan

validitasnya, termasuk

merevisi profil tersebut

apabila ada perubahan

kondisis yang

signifikan atau

keperluan penerapan

bentuk pengamanan

baru?

v

14. Apakah kerangka kerja

pengelolaan risiko

secara berkala dikaji

untuk memastikan

dapat meningkatkan

efektifitasnya?

v

15. Apakah pengelolaan

risiko menjadi bagian

dari kriteria proses

penilaian obyektif

kinerja efektifitas

pengamanan?

v


166


1. Apa gambaran umum tentang proses kerja pengelolaan data administrasi

kependudukan pada Data Center KTP Eletronik di Medan Merdeka Utara?

Terdapat 3 (tiga) proses kerja prioritas yaitu:

a. Proses Penerimaan data hasil perekaman e-KTP dan pengembalian status data

dari dan ke kecamatan tempat perekaman;

b. Proses Identifikasi Ketunggalan Data; dan

c. Proses Penyimpanan data.

2. Hal negatif apa yang mungkin dapat terjadi di proses kerja ini?

a. Storage crash;

b. Listrik mati beberapa kali dan pernah gardu listrik jebol;

c. Ganti Kabel listrik akibat upgrade daya beberapa kali;

d. Jaringan komunikasi data yang tidak stabil, terutama saat menerima data yang

menggunakan VSAT;

e. Adanya penduduk yang telah melakukan perekaman untuk pertama kalinya,

namun dinyatakan ganda (DUPLICATE_RECORD) oleh sistem. Hal ini

disebabkan karena penduduk menggunakan lensa kontak (contact lens) dan

sidik jari penduduk yang kotor;

f. Adanya data hasil perekaman penduduk yang tidak sampai ke DC (Penduduk

sudah merekam tetapi data yang bersangkutan tidak ada di DC).

3. Aktivitas apa saja dalam proses kerja ini?

Operasional Data Center dan penyiapan jaringan komunikasi data.

4. Dalam menjalanan aktivitas tersebut, apakah pernah terjadi

incident/permasalahan?

2. Bapak Dr. Ir. H. Husni Fahmi, MSEE

Jabatan : Kasubdit Pengelolaan Data Administrasi Kependudukan




167


Pernah. Database tidak dapat dipakai (corrupt), sistem operasi corrupt, sumber

daya hardware kurang (RAM, memory, storage), storage crash, listrik mati dan

lain-lain.

5. Apa kira-kira dampak yang ditimbulkan oleh incident tersebut dari dampak yang

paling ringan hingga dampak serius?

Terhambatnya pada sistem dalam proses penerimaan data hasil perekaman e-KTP

dan pengembalian status data dari dan ke kecamatan tempat perekaman; proses

identifikasi ketunggalan data; dan proses penyimpanan data.

6. Lalu kendali apa yang sudah diterapkan untuk mengurangi risiko tersebut?

SOP Data Center Kependudukan yang masih disempurnakan.

7. Seberapa sering risiko tersebut terjadi? Berapa kali dalam

sehari/seminggu/setahun?

Pada tahun 2012 lalu, listrik mati terjadi sampai dengan 4 kali dan terjadi

downtime Data Center sampai dengan dua minggu dalam setahun.

8. Apakah incident tersebut mengganggu operasional layanan TI?

Ya.

9. Apakah ada SOP, kebijakan terkait proses kerja ini?

Ada, SOP Data Center KTP Elektronik (e-KTP).

10. Apakah SOP tersebut perlu di-review?

Ya. Adanya perkembangan teknologi dan proses kerja maka ada beberapa hal

yang belum masuk dalam SOP tersebut agar lebih detail.

11. Berapa efektivitas kontrol yang ada untuk mengurangi risiko?

Sekitar 75%.


168


12. Apakah Anda membuat dokumentasi permasalahan dan solusi terkait incident

tersebut?

Kadang-kadang.

13. Apa persyaratan yang dibutuhkan agar ketersediaan (availability) data informasi

terjaga?

Manusia (SDM), proses dan teknologi (infrastruktur).

14. Apa sensitifitas tingkat informasi yang dikelola?

Sangat rahasia.

15. Apa dampak potensial terhadap organisasi jika informasi diungkapkan kepada

personel yang tidak berhak?

Kehilangan reputasi.

16. Apa saja persyaratan yang diperlukan untuk menjamin ketersediaan dan

integritas informasi?

Infrastruktur, pembagian peran dan tanggungjawab, hak akses, keamanan dan

kebijakan keamanan informasi.

17. Berapa maksimum waktu toleransi downtime atas sistem proses bisnis ini?

Saat ini belum ada waktu toleransi downtime dan seharusnya memang ada

mengingat hal ini merupakan proses kerja prioritas dalam penerapan e-KTP.

Pada tahun 2012 terjadi downtime selama ± 2 minggu dalam waktu 1 tahun.


169


1. Hal negatif/kejadian apa yang mungkin dapat terjadi pada proses pengamanan

jaringan?

Gangguan jaringan, incident keamanan jaringan dan kesalahan konfigurasi.

2. Bagaimana hal tersebut dapat terjadi?

Kesalahan konfigurasi dan faktor eksternal seperti attack

3. Dalam menjalankan aktivitas proses pengamanan jaringan, apakah pernah terjadi

incident/permasalahan?

Pernah, adanya virus di jaringan.

4. Apa kira-kira dampak yang ditimbulkan oleh incident tersebut?

Gangguan jaringan, confidentiality, integrity, availability (CIA).

5. Lalu kendali apa yang sudah diterapkan untuk mengurangi risiko tersebut?

Penggunaan pemasangan pengaman jaringan (Firewall), antivirus, awareness

untuk administrator dan user.

6. Berapa efektivitas kontrol tersebut?

Cukup efektif, kira-kira 90% apabila terkait teknologi, tetapi bila terkait manusia

dan proses kira-kira 50%.

7. Seberapa sering risiko tersebut terjadi? Berapa kali dalam sehari / seminggu /

setahun?

Pada saat ini belum tercatat dengan baik mengenai incident keamanan.

3. Bapak Ir. Tri Sampurno

Jabatan : PIC Pengamanan jaringan




170


8. Apakah incident tersebut mengganggu operasional layanan TI?

Ya, tergantung jenis gangguan.

9. Apakah ada SOP, kebijakan terkait proses kerja ini?

Ada, tapi belum lengkap

10. Apakah SOP tersebut perlu di-review? Mengapa?

Ya, karena belum lengkap.

11. Apakah Anda membuat dokumentasi permasalahan dan solusi terkait incident

tersebut?

Belum ada.

12. Apa persyaratan yang dibutuhkan agar ketersediaan (availability) jaringan?

Infrastruktur terutama alat pengamanan jaringan.


universitas indonesia evaluasi pengelolaan risiko...

Documents