universitas indonesia evaluasi pengelolaan risiko...
TRANSCRIPT
UNIVERSITAS INDONESIA
EVALUASI PENGELOLAAN RISIKO TEKNOLOGI
INFORMASI (TI) PADA INSTANSI PEMERINTAH:
STUDI KASUS DIREKTORAT JENDERAL
KEPENDUDUKAN DAN PENCATATAN SIPIL
KEMENTERIAN DALAM NEGERI
KARYA AKHIR
SIGIT SAMAPTOAJI
1206194915
FAKULTAS ILMU KOMPUTER
PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI
JAKARTA
JANUARI 2014
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
UNIVERSITAS INDONESIA
EVALUASI PENGELOLAAN RISIKO TEKNOLOGI
INFORMASI (TI) PADA INSTANSI PEMERINTAH:
STUDI KASUS DIREKTORAT JENDERAL
KEPENDUDUKAN DAN PENCATATAN SIPIL
KEMENTERIAN DALAM NEGERI
KARYA AKHIR
Diajukan sebagai salah satu syarat untuk memperoleh gelar
Magister Teknologi Informasi
SIGIT SAMAPTOAJI
1206194915
FAKULTAS ILMU KOMPUTER
PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI
JAKARTA
JANUARI 2014
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
ii
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
iii
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
iv
KATA PENGANTAR
Puji syukur saya panjatkan kepada Allah SWT, atas berkat dan rahmat-Nya,
penulis dapat menyelesaikan Karya Akhir ini yang berjudul “Evaluasi
Pengelolaan Risiko Teknologi Informasi (TI) pada Instansi Pemerintah : Studi
Kasus Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian
Dalam Negeri”. Saya menyadari bahwa, tanpa bantuan dan bimbingan dari
berbagai pihak, dari masa perkuliahan sampai pada penyusunan karya akhir ini,
sangatlah sulit bagi saya untuk menyelesaikannya. Oleh karena itu, saya
mengucapkan terima kasih kepada:
1. Bapak Yudho Giri Sucahyo, M.Kom., Ph.D., dan Bapak Ivano Aviandi,
B.Sc., M.Sc., selaku dosen pembimbing yang telah menyediakan waktu,
tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan karya
akhir ini;
2. Bapak Dr. Achmad Nizar Hidayanto, selaku Ketua Program Studi
Magister Teknologi Informasi;
3. Bapak/Ibu Pimpinan Ditjen Dukcapil yang telah memberikan kesempatan
belajar yang diberikan kepada saya;
4. Bapak Ir. Sugiharto, M.Si, Direktur Pengelolaan Informasi Administrasi
Kependudukan (DPIAK) yang telah memberikan rekomendasi, dukungan,
dan saran;
5. Bapak Dr. Ir. H. Husni Fahmi, MSEE, Bapak Drs. Bambang Supriyanto,
Bapak Erikson P. Manihuruk, S.Kom., M.Si., dan Bapak Ir. Tri Sampurno
atas dukungan yang diberikan;
6. Ibu Anny, Bapak Mudhopar, Ibu Rona, Ibu Roch, Hera, Ekos, Asep, Dyta,
serta rekan-rekan DPIAK khususnya dan Ditjen Dukcapil umumnya
terima kasih atas masukan, dukungan dan pengertiannya selama ini;
7. Segenap staf dan karyawan Magister Teknologi Informasi yang telah
membantu saya dalam penyelesaian karya akhir ini;
8. Bapak, Ibu, Ibu mertua, dan keluarga besar saya yang tiada henti
mendoakan saya;
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
v
9. Istri tercinta Ayudhia Paramesti, SE, dan putra tercinta saya, Ahza
Samudhia Pranaja, yang telah menjadi belahan hidup, penyemangat,
inspirasi dan tiada henti memberikan dukungan moral, semangat dan doa
untuk saya;
10. Segenap rekan-rekan MTI-UI 2012SA, terima kasih untuk kebersamaan
dan dukungan selama ini;
11. Pihak-pihak lain yang tidak bisa saya sebutkan satu persatu.
Akhir kata saya berharap agar karya akhir ini dapat memberikan manfaat,
terutama bagi Direktorat Jenderal Kependudukan dan Pencatatan Sipil,
Kementerian Dalam Negeri, instansi pemerintah lainnya dan akademisi.
Jakarta, 7 Januari 2014
Penulis
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
vi
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
vii Universitas Indonesia
ABSTRAK
Nama : Sigit Samaptoaji
Program Studi : Magister Teknologi Informasi
Judul : Evaluasi Pengelolaan Risiko Teknologi Informasi (TI) pada
Instansi Pemerintah: Studi Kasus Direktorat Jenderal
Kependudukan dan Pencatatan Sipil Kementerian Dalam
Negeri
Salah satu program flagship Dewan Teknologi, Informasi dan Komunikasi (TIK)
Nasional (DeTIKNas) berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu
Nomor Identitas Nasional (NIN). NIN ini merupakan komponen inti pada
blueprint TIK Indonesia tentang e-Government. Pelaksana program ini adalah
Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil),
Kementerian Dalam Negeri. Nomor Induk Kependudukan (NIK) merupakan
bentuk pelaksanaan program NIN. Pada tahun 2011-2012 dilaksanakan pelayanan
penerapan KTP Elektronik (e-KTP) di seluruh wilayah Indonesia. Ditjen Dukcapil
tidak terlepas dari penggunaan Teknologi Informasi (TI) untuk menghasilkan
informasi dan memberikan pelayanan TIK yang berkualitas.
Penggunaan TI selain meningkatkan kecepatan dan keakuratan informasi serta
pelayanan TIK, juga meningkatkan berbagai jenis risiko. Tingginya tingkat
ketergantungan organisasi terhadap layanan TIK untuk menjalankan Tugas Pokok
dan Fungsi menjadi hal penting diperlukannya manajemen risiko TI untuk
mengurangi dan menanggulangi risiko-risiko yang mungkin terjadi sehingga
kerugian bisnis organisasi dapat diminimasi.
Pada karya akhir ini, peniliti mencoba menyusun profil risiko TI, langkah-langkah
mitigasi dan penanggulangan risiko TI pada pelayanan penerapan e-KTP. Standar
manajemen risiko TI yang digunakan framework RiskIT.
Hasil dari penelitian ini berupa profil risiko TI, langkah mitigasi beserta
rekomendasi pengendalian terhadap risiko tersebut dan prosedur penanggulangan
risiko TI yang sudah terjadi.
Kata Kunci: Risiko TI, Manajemen Risiko, RiskIT
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
viii Universitas Indonesia
ABSTRACT
Nama : Sigit Samaptoaji
Program Studi : Magister of Information Technology
Judul : Evaluation of IT Risk Management In Government
Agencies: Case Study of Directorate General of Population
and Civil Registration Ministry of Home Affairs
One of the flagship programs Dewan Teknologi, Informasi dan Komunikasi (TIK)
Nasional (DeTIKNas) by the Keputusan Presiden No. 20 Tahun 2006 is National
Identity Number (NIN). NIN is a core component of the Indonesian Information
and Communication Technology (ICT) blueprint on e-Government. Implementing
this program is Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen
Dukcapil), Ministry of Home Affairs. Nomor Induk Kependudukan (NIK) is a
form of program implementation NIN. Implemented in 2011-2012 Electronic
Identity Card application services (e-KTP) in all parts of Indonesia. Ditjen
Dukcapil is inseparable from the use of Information Technology (IT) to generate
information and provide a quality ICT services.
The use of IT in addition to improving the speed and accuracy of information and
ICT services, also increases the risk of various types . The high level of
dependence on ICT services organization to run the main tasks and functions
become important need for IT risk management to reduce and mitigate the risks
that may occur so that the organization's business losses can be minimized.
At the end of this work, researchers try to construct profiles of IT risk, mitigation
measures and mitigation of IT risks in the implementation of e-ID card service. IT
risk management standards used RiskIT framework.
The results of this study in the form of IT risk profile, mitigation measures and
recommendations to control the risk and IT risk management procedures that have
been happening.
Keywords: IT Risks, IT Risk Management, RiskIT
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
ix Universitas Indonesia
DAFTAR ISI
HALAMAN PERNYATAAN ORISINALITAS ................................................ ii
HALAMAN PENGESAHAN .............................................................................. iii
KATA PENGANTAR .......................................................................................... iv
HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA
AKHIR UNTUK KEPENTINGAN AKADEMIS ............................................. vi
ABSTRAK ........................................................................................................... vii
ABSTRACT ........................................................................................................ viii
DAFTAR ISI ......................................................................................................... ix
DAFTAR GAMBAR ............................................................................................ xi
DAFTAR TABEL ............................................................................................... xii
DAFTAR LAMPIRAN ...................................................................................... xiii
BAB 1 PENDAHULUAN ................................................................................... 1 1.1 Latar Belakang ......................................................................................... 1
1.2 Perumusan Masalah .................................................................................. 4
1.3 Ruang Lingkup Masalah .......................................................................... 6
1.4 Tujuan Penelitian ...................................................................................... 7
1.5 Manfaat Penelitian .................................................................................... 7
1.6 Sistematika Penulisan ............................................................................... 7
BAB 2 TINJAUAN PUSTAKA ......................................................................... 9
2.1 Risiko TI ................................................................................................... 9
2.2 Manajemen Risiko TI ............................................................................. 10
2.3 Profil Risiko TI ....................................................................................... 11
2.4 RiskIT ..................................................................................................... 12
2.4.1 Prinsip RiskIT ................................................................................ 15
2.4.2 Identifikasi Risiko RiskIT ............................................................. 16
2.4.3 Analisis Risiko RiskIT .................................................................. 20
2.4.4 Respon Risiko TI ........................................................................... 22
2.4.5 Mendeskripsikan dan Mengkespresikan Risiko ............................ 23
2.4.6 Mengekspresikan Frekuensi .......................................................... 24
2.4.7 Mengekspresikan Dampak ............................................................ 24
2.4.8 Risk map dan Risk Register ........................................................... 25
2.5 Kerangka Kerja COBIT .......................................................................... 26
2.6 Kerangka Kerja NIST Special Publication 800-300 .............................. 28
2.7 Perbandingan Kerangka Kerja ................................................................ 31
2.8 Penelitian Studi Kasus (Case Study Research) ...................................... 32
2.9 Perbandingan Penelitian Sebelumnya .................................................... 33
2.10 Kerangka Penelitian ............................................................................... 35
BAB 3 METODOLOGI PENELITIAN ......................................................... 37 3.1 Metode Pengumpulan Data .................................................................... 37
3.2 Tahapan Penelitian ................................................................................. 37
BAB 4 PROFIL ORGANISASI ....................................................................... 41 4.1 Tugas, Fungsi dan Kewenangan Ditjen Dukcapil .................................. 41
4.2 Visi dan Misi Ditjen Kependudukan dan Pencatatan Sipil .................... 44
4.3 Tujuan Organisasi Ditjen Dukcapil ........................................................ 48
4.4 Struktur Organisasi Ditjen Dukcapil ...................................................... 49
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
x Universitas Indonesia
4.5 Direktorat Pengelolaan Informasi Administrasi Kependudukan ............ 49
BAB 5 PENETAPAN KONTEKS DAN SKENARIO RISIKO TI .............. 51 5.1 Menetapkan Level dan Cakupan Aset TI ............................................... 52
5.1.1 Penetapan Proses Kerja dan Aset TI Prioritas ............................... 53
5.2 Menentukan Skenario Risiko TI ............................................................. 55
5.3 Menentukan Parameter Probabilitas/Likelihood/Kecenderungan .......... 58
5.4 Menentukan Parameter Dampak ............................................................ 58
5.5 Menentukan Standar Rating Risiko ........................................................ 60
BAB 6 PENILAIAN RISIKO .......................................................................... 62 6.1 Metodologi Penilaian Risiko .................................................................. 63
6.2 Pengisian Template Risiko Aset Informasi ............................................ 64
6.3 Pengisian Form Kompilasi Analisis Risiko ........................................... 64
6.4 Pengukuran Efektivitas Kontrol ............................................................. 65
6.5 Validasi Hasil Kompilasi Analisis Risiko .............................................. 65
6.6 Analisis Hasil Kompilasi Analisis Risiko .............................................. 65
6.7 Hasil Penilaian Risiko ............................................................................ 65
6.7.1 Daftar Risiko TI ............................................................................. 66
6.7.2 Hasil Penilaian Risiko Terhadap Inherent Risk ............................. 67
6.7.3 Hasil Penilaian Risiko Terhadap Residual risk ............................. 69
BAB 7 STRATEGI DAN LANGKAH MITIGASI ........................................ 74
BAB 8 KESIMPULAN DAN SARAN ............................................................. 83 8.1 Kesimpulan ............................................................................................. 83
8.2 Saran ....................................................................................................... 84
DAFTAR PUSTAKA .......................................................................................... 85
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
xi Universitas Indonesia
DAFTAR GAMBAR
Gambar 1.1 Analisis Masalah dengan Diagram Fishbone ...................................... 6
Gambar 2.1 Risiko TI di dalam Hirarki Risiko Organisasi ..................................... 9
Gambar 2.2. Kerangka Kerja RiskIT .................................................................... 14
Gambar 2.3 Prinsip RiskIT ................................................................................... 16
Gambar 2.4 Pembangunan Skenario Risiko TI ..................................................... 17
Gambar 2.5 Faktor-Faktor Risiko TI .................................................................... 18
Gambar 2.6 Komponen Skenario Risiko .............................................................. 20
Gambar 2.7 Proses Analisis Risiko ....................................................................... 21
Gambar 2.8 Proses Respon Risiko ........................................................................ 22
Gambar 2.9 Inherent Risk, Current Risk dan Residual risk .................................. 24
Gambar 2.10 Skala Probabilitas ............................................................................ 24
Gambar 2.11 Skala Dampak ................................................................................. 25
Gambar 2.12 Risk map .......................................................................................... 26
Gambar 2.13 Kerangka Kerja COBIT 4.1 ............................................................ 27
Gambar 2.14 IT Governance Focus Areas ............................................................ 28
Gambar 2.15 Framework NIST Special Publication 800-30 ................................ 30
Gambar 2.16 Perbandingan dan Standar Manajemen Risiko TI ........................... 31
Gambar 2.17 Theoritical Framework ................................................................... 36
Gambar 3.1 Metodologi Penelitian ....................................................................... 38
Gambar 4.1 Struktur Organisasi DPIAK .............................................................. 50
Gambar 5.1 Jaringan Komunikasi Data Penerapan e-KTP ................................... 51
Gambar 5.2 Proses Kerja Utama Penerapan e-KTP di Ditjen Dukcapil ............... 52
Gambar 6.1 Metodologi Penilaian Risiko ............................................................. 63
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
xii Universitas Indonesia
DAFTAR TABEL
Tabel 2.1 Contoh Profil Risiko TI Bank ABC ...................................................... 12
Tabel 2.2 Domain RiskIT ...................................................................................... 15
Tabel 2.3 Mapping Generic IT Risk Scenario ke Proses COBIT ......................... 19
Tabel 2.4 Perbandingan Penelitian Sebelumnya ................................................... 33
Tabel 5.1 Proses Kerja dan Aset TI Prioritas ........................................................ 53
Tabel 5.2 Hasil Pemetaan Aset TI ke Skenario Risiko TI .................................... 55
Tabel 5.3 Parameter Probabilitas/Likelihood/Kecenderungan .............................. 58
Tabel 5.4 Standar Parameter Dampak ................................................................... 58
Tabel 5.5 Matriks Risiko ....................................................................................... 60
Tabel 5.6 Matriks Nilai Risiko .............................................................................. 61
Tabel 6.1 Rekapitulasi Risiko Berdasarkan Aset .................................................. 66
Tabel 6.2 Rekapitulasi Risiko Berdasarkan Skenario Risiko TI ........................... 66
Tabel 6.3 Hasil Penilaian Risiko Inherent Risk Kategori Aset ............................. 68
Tabel 6.4 Hasil Penilaian Risiko Inherent Risk Kategori Skenario Risiko ........... 68
Tabel 6.5 Hasil Penilaian Risiko Residual risk Kategori Aset ............................. 70
Tabel 6.6 Hasil Penilaian Risiko Residual risk Kategori Skenario Risiko ........... 70
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
xiii Universitas Indonesia
DAFTAR LAMPIRAN
Lampiran 1 : Template Risiko Aset Informasi ...................................................... 87
Lampiran 2 : Form Kompilasi Analisis Risiko ................................................... 112
Lampiran 3 : Form Pengukuran Efektivitas Kontrol .......................................... 124
Lampiran 4 : Profil Risiko TI .............................................................................. 140
Lampiran 5 : Transkrip Wawancara .................................................................... 157
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
1 Universitas Indonesia
BAB 1
PENDAHULUAN
Bab ini membahas mengenai latar belakang, perumusan masalah, ruang lingkup
masalah, manfaat penelitian dan sistematika penulisan pada penelitian ini.
1.1 Latar Belakang
Pesatnya perkembangan Teknologi Informasi dan Komunikasi (TIK) di Indonesia
sangat mempengaruhi berbagai aspek kehidupan masyarakat saat ini.
Perkembangan tersebut telah banyak diimplementasikan baik di sektor korporat
maupun pemerintahan. Implementasi TIK pada sektor pemerintahan yang lebih
dikenal dengan sebutan e-Government diharapkan dapat membantu Pegawai
Negeri Sipil (PNS) dalam percepatan proses pelayanan baik kepada masyarakat
maupun kepada PNS itu sendiri.
Salah satu program flagship Dewan Teknologi, Informasi dan Komunikasi
Nasional berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu Nomor
Identitas Nasional (NIN). NIN ini merupakan komponen inti pada blueprint TIK
Indonesia tentang e-Government. Pelaksana program ini adalah Direktorat
Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil), Kementerian
Dalam Negeri. Nomor Induk Kependudukan (NIK) merupakan bentuk
pelaksanaan program NIN.
Administrasi Kependudukan adalah rangkaian kegiatan penataan dan penertiban
dalam penerbitan dokumen dan data kependudukan melalui pendaftaran
penduduk, pencatatan sipil, pengelolaan informasi administrasi kependudukan
serta pendayagunaan hasilnya untuk pelayanan publik dan pembangunan sektor
lain. Menurut Undang-Undang Dasar (UUD) 1945 Pasal 26 ayat (3) menyatakan
bahwa “Hal-hal mengenai Warga Negara dan Penduduk diatur dengan Undang-
Undang” sehingga disusun Undang-Undang (UU) No. 23 tahun 2006 tentang
Administrasi Kependudukan. Direktorat Jenderal Kependudukan dan Pencatatan
Sipil (tata nama sebelumnya Direktorat Jenderal Administrasi Kependudukan)
memiliki visi yaitu “Tertib Administrasi Kependudukan dengan Pelayanan Prima
Menuju Penduduk Berkualitas Tahun 2015.” Berdasarkan Permendagri No. 41
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
2
Universitas Indonesia
Tahun 2010 tentang Organisasi dan Tata Kerja Kementerian Dalam Negeri
(Kemdagri), Pasal 382 ayat (1) menyatakan bahwa Direktorat Jenderal
Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil) merupakan unsur
pelaksana Kementerian Dalam Negeri di bidang kependudukan dan pencatatan
sipil.
Pemerintah melaksanakan Program Penerapan Kartu Tanda Penduduk (KTP)
berbasis Nomor Induk Kependudukan (juga disebut KTP Elektronik atau e-KTP)
secara nasional pada tahun 2011 dan 2012 berdasarkan Perpres No. 26 Tahun
2009 tentang Penerapan KTP Berbasis NIK Secara Nasional. Selanjutnya
diterbitkan Perpres No. 35 Tahun 2010 tentang Perubahan Atas Perpres No. 26
Tahun 2009 bahwa Penerapan e-KTP paling lambat akhir tahun 2012 dan Perpres
No. 67 Tahun 2011 tentang Perubahan Kedua Atas Perpres No. 29 Tahun 2009
bahwa e-KTP Berlaku Secara Nasional di Seluruh Wilayah Negara Kesatuan
Republik Indonesia (NKRI).
Dalam pelaksanaan tertib administrasi kependudukan, Ditjen Dukcapil telah,
sedang dan secara terus menerus mengumpulkan, mengolah dan menyimpan serta
menyajikan sejumlah informasi terkait kependudukan kepada para pemangku
kepentingan (stakeholders).
Sistem Informasi/Teknologi Informasi (SI/TI) memiliki peranan dan fungsi
strategis di Ditjen Dukcapil karena berada dari level kecamatan, kabupaten/kota,
provinsi sampai dengan Pusat, yaitu:
1. Pada aplikasi Sistem Informasi Administrasi Kependudukan (SIAK) SI/TI
berperan penting pada proses penerimaan data dari 497 kabupaten/kota ke
Pusat (Data Center Kalibata). Sedangkan pada aplikasi e-KTP SI/TI
berperan penting pada proses penerimaan data dari 6.234 kecamatan ke
Pusat (Data Center Medan Merdeka Utara);
2. SI/TI berperan dalam integrasi database antara database aplikasi e-KTP
dengan SIAK;
3. SI/TI berperan dalam penyediaan/penyajian data melalui data warehouse
(DWH) dan web service data kependudukan;
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
3
Universitas Indonesia
4. SI/TI memiliki peranan dalam menentukan tingkat keamanan dan
kerahasiaan data dan informasi. Misalnya digunakannya jaringan VPN web
service data kependudukan, penggunaan username dan password pada web
service dan DWH data kependudukan, dan Key Management System (KMS)
pada pengelolaan data e-KTP.
Berdasarkan peranan dan fungsi SI/TI tersebut di atas tidak bisa dipungkiri bahwa
ketergantungan terhadap TI sangat tinggi, TI dipergunakan untuk tersedianya
informasi dan layanan yang berkualitas. Hal tersebut digunakan oleh semua pihak
yang dilayani baik pihak internal maupun eksternal. Pihak internal adalah seluruh
unit kerja yang ada di Ditjen Dukcapil sedangkan pihak eksternal meliputi
penduduk yang melakukan perekaman di daerah (kecamatan dan kabupaten/kota)
dan kementerian/lembaga (K/L) yang memanfaatkan data kependudukan.
Berdasarkan Undang-Undang No. 23 Tahun 2006 Pasal 1 ayat (22) menyatakan
bahwa Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat,
dan dijaga kebenaran serta dilindungi kerahasiaannya. Risiko kebocoran informasi
menyebabkan kehancuran reputasi organisasi dan berimplikasi pada pidana.
Risiko tersebut bisa saja berasal dari TI karena peranan TI sangat penting dalam
proses pengelolaan data dan informasi.
Penggunaan TI selain meningkatkan kecepatan dan keakuratan informasi serta
pelayanan TIK, juga meningkatkan berbagai jenis risiko yang dapat berpengaruh
negatif terhadap pencapaian target organisasi. Ketergantungan organisasi terhadap
TI semakin memperbesar dampak risiko TI bagi organisasi sehingga dapat
dikatakan bahwa risiko terkait TI merupakan hal yang harus dijalani dan dipahami
sebagai risiko organisasi itu sendiri. Risiko yang timbul sebagai akibat dari
implementasi TI dapat menyebabkan proses kerja yang tidak optimal, kerugian
finansial, menurunnya reputasi organisasi, atau bahkan hancurnya organisasi.
Direktorat Pengelolaan Informasi Administrasi Kependudukan (DPIAK)
merupakan direktorat dalam bidang TI yang memiliki peranan penting untuk
mencapai keberhasilan implementasi fungsi SI/TI dengan melaksanakan kegiatan
pengembangan, pengelolaan, dan pengendalian kualitas operasional, infrastruktur,
layanan, dan keamanan TI. Dalam melaksanakan kegiatan mendukung dan
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
4
Universitas Indonesia
memberi nilai tambah proses kerja, tidak pernah bebas dari dan harus selalu
berhadapan dengan kemungkinan timbulnya berbagai macam gangguan TI.
Apabila gangguan tersebut tidak ditangani secara serius, selain menimbulkan
risiko operasional, juga mempengaruhi risiko reputasi dan berdampak pada
menurunnya tingkat kepercayaan publik. Oleh sebab itu, perlu dilakukan
pengelolaan terhadap risiko tersebut.
Untuk pengelolaan risiko TI diperlukan Kerangka Kerja Manajemen Risiko TI (IT
Risk Management Framework), RiskIT sebagai salah satu kerangka kerja
manajemen risiko bisa dipertimbangkan dan diterapkan oleh Ditjen Dukcapil yang
serius dalam memanfaatkan TI sebagai salah satu komponen penting untuk
mencapai tujuan organisasi.
1.2 Perumusan Masalah
Beberapa program kegiatan DPIAK dalam Renstra Ditjen Dukcapil adalah
sebagai berikut:
1. Terbangunnya dan beroperasinya SIAK dan database kependudukan
berbasis nomor induk kependudukan (NIK) nasional di Kabupaten/Kota,
Provinsi dan Nasional secara online dan real time database kependudukan
SIAK yang tersambung (online) dengan provinsi dan nasional;
2. Terhubungnya instansi/lembaga yang sistem database-nya relasional
dengan database kependudukan melalui koneksitas NIK; dan
3. Terekamnya foto dan sidik jari dan penerapan Kartu TP berbasis NIK secara
Nasional (e-KTP) bagi penduduk wajib KTP.
Kegiatan pelayanan TI tidak dapat terhindar dari gangguan atau kerusakan yang
disebabkan oleh alam maupun manusia misalnya terjadi gempa bumi, kebakaran,
banjir, listrik, serangan virus komputer, kesalahan teknis, kelalaian manusia dan
sebagainya. Kerusakan yang terjadi tidak hanya berdampak pada kemampuan
teknologi yang digunakan, tetapi juga berdampak pada kegiatan operasional
pelayanan.
Beberapa kejadian yang pernah terjadi terkait operasional pada tahun belakangan
ini antara lain:
1. Kegagalan Listrik;
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
5
Universitas Indonesia
Pada tahun 2012 sudah terjadi kegagalan listrik dari PLN yang tidak bisa
mensuplai ke UPS sehingga dukungan listrik pada Data Center (DC) e-KTP
di Medan Merdeka Utara (MMU) terganggu yang menyebabkan beberapa
server dimatikan sehingga layanan TI untuk sementara waktu tidak
berfungsi. Hal ini menyebabkan tersendatnya aliran data hasil perekaman e-
KTP dari kecamatan ke Pusat (DC MMU).
2. Terputusnya Jaringan Komunikasi Data;
Sampai saat ini masih terdapat wilayah (kecamatan dan kabupaten/kota)
yang mengalami putus sambung terkait jaringan komunikasi data, sehingga
terjadi pengendapan data. Selain itu beberapa kementerian/lembaga terkait
koneksitas NIK masih mengalami kendala jaringan komunikasi data yang
putus sambung.
3. Virus komputer;
Serangan virus merupakan ancaman terhadap aset TI dengan probabilitas
yang cukup tinggi. Penggunaan anti virus sudah dilakukan namun
kesadaran kewaspadaan terhadap virus yang masih perlu ditingkatkan.
Adanya gangguan operasional TI mendorong pentingnya pengelolaan risiko.
Untuk pengelolaan risiko salah satunya harus memiliki daftar IT Risk Profile
(profil risiko TI). Dengan mengetahui profil risiko TI, unit kerja DPIAK dapat
mengoptimalkan manfaat dan mengurangi dampak risiko akibat penggunaan TI
dalam menjalankan tugas pokok dan fungsi (Tupoksi) mendukung proses kerja
Ditjen Dukcapil. DPIAK diharapkan dapat menyusun IT Risk Profile secara
lengkap dan mitigasi terhadap risiko tersebut sebagai salah satu langkah terpadu
untuk menjamin keberlangsungan layanan agar tetap dapat berfungsi dengan baik.
Pada saat ini, belum pernah dilakukan proses penilaian dan mitigasi risiko TI
terkait aset TI. Untuk itu perlu dilakukan evaluasi pengelolaan risiko TI agar
dampak kerugian yang ditimbulkan oleh penggunaan TI dapat diminimalisasi.
Rumusan permasalahan yang ingin diteliti adalah Apa saja profil risiko dan
langkah mitigasi terhadap risiko TI?
Analisis lebih lanjut dengan menggunakan diagram fishbone sebagai berikut:
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
6
Universitas Indonesia
Gangguan pelayanan
penerapan e-KTP
yang relatif tinggi
SDM
Kebijakan
Panduan yang kurang lengkap
Sistem
Aplikasi e-KTP masih belum
kompatibel
Belum ada SDM yang mampu
memberikan penyelesaian
yang cepat
Kurangnya pelatihan
SDM
Belum ada pengelolaan
risiko TI
Jarkomdat masih ada masalah
dan terus diperbaharui
Gambar 1.1 Analisis Masalah dengan Diagram Fishbone
Berdasarkan Gambar di atas beberapa akar masalah penyebab gangguan
pelayanan penerapan e-KTP yang relatif tinggi yaitu:
1. Kurangnya pelatihan sumber daya manusia (SDM);
2. Belum adanya SDM yang mampu memberikan penyelesaian yang cepat;
3. Aplikasi e-KTP masih ada masalah dan terus diperbaharui;
4. Jaringan komunikasi data masih ada masalah;
5. Panduan yang kurang lengkap;
6. Belum ada pengelolaan risiko TI.
Ditjen Dukcapil pada saat ini belum melakukan pengelolaan risiko TI sehingga
diharapkan Ditjen Dukcapil melakukannya dengan menggunakan standar
manajemen risiko TI yang ada. Pengelolaan risiko TI meningkatkan kinerja TI
serta dapat menurunkan dampak kerugian yang ditimbulkan oleh risiko yang ada.
1.3 Ruang Lingkup Masalah
Ruang lingkup masalah pada penelitian ini adalah sebagai berikut:
1. Penelitian ini menggunakan metode penelitian studi kasus yang
dilaksanakan pada Ditjen Dukcapil, Kementerian Dalam Negeri;
2. Penelitian ini menggunakan kerangka kerja RiskIT sebagai acuan di dalam
menyusun IT Risk Profile pada Direktorat Pengelolaan Informasi
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
7
Universitas Indonesia
Administrasi Kependudukan (DPIAK). Domain RiskIT yang digunakan
Risk Evaluation (RE) dan Risk Response (RR);
3. Penelitian ini hanya berfokus pada risiko aset untuk pelayanan penerapan e-
KTP khususnya Data Center e-KTP di Ditjen Dukcapil;
4. Penelitian ini tidak mencantumkan biaya mitigasi risiko.
1.4 Tujuan Penelitian
Penelitian ini bertujuan menyusun profil risiko TI sebagai salah satu langkah
untuk melakukan pengelolaan risiko TI dengan menggunakan standar manajemen
risiko TI yang ada, sehingga dampak risiko terhadap organisasi dapat diperkecil.
Dengan penelitian ini diharapkan:
1. Memberikan kontribusi dalam alokasi dan penggunaan sumber daya yang
lebih efisien;
2. Melindungi dan meningkatkan nilai aset dan citra organisasi.
1.5 Manfaat Penelitian
Adapun manfaat dari penelitian ini sebagai berikut:
1. Bagi Ditjen Dukcapil dapat menerapkan kerangka kerja manajemen risiko
TI RiskIT untuk mengelola risiko TI secara efektif. Sehingga organisasi
dapat memastikan bahwa peluang untuk menciptakan nilai tidak hilang
karena keinginan untuk menghindari semua risiko;
2. Bagi instansi pemerintah lain dapat dijadikan usulan atau rekomendasi
sebagai kerangka kerja manajemen risiko TI di lingkungannya masing-
masing;
3. Bagi dunia pendidikan yaitu memberikan kontribusi bagi perkembangan
bidang IT Risk Management.
1.6 Sistematika Penulisan
Penulisan Karya Akhir ini ditulis secara sistematis dan terdiri atas bab-bab
sebagai berikut:
1. Pada Bab I dijelaskan tentang latar belakang, rumusan masalah, batasan
penelitian, tujuan penelitian dan manfaat penelitian;
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
8
Universitas Indonesia
2. Pada Bab II dijelaskan dasar-dasar teori, metodologi yang digunakan untuk
menjawab pertanyaan penelitian ini. Selain itu dijelaskan tinjauan pustaka
dari berbagai penelitian yang berhubungan dengan penelitian ini;
3. Pada Bab III dijelaskan tahapan-tahapan dari metodologi yang digunakan
dalam penelitian ini;
4. Pada Bab IV berisi profil organisasi Ditjen Dukcapil dan DPIAK yang
digunakan sebagai obyek penelitian;
5. Pada Bab V berisi penetapan konteks dan aset TI yang menjadi obyek
manajemen risiko TI. Aset TI yang sudah dipilih menjadi dasar untuk
menentukan skenario risiko TI organisasi;
6. Pada Bab VI menjelaskan tentang penilaian risiko pada aset yang
mendukung proses kerja utama Ditjen Dukcapil. Penilaian risiko ini
meliputi identifikasi skenario risiko, analisis dan respon terhadap risiko
tersebut. Proses penilaian risiko TI ini untuk menghasilkan profil risiko TI;
7. Pada Bab VII ini berisi tentang strategi dan langkah mitigasi pada risiko
yang diprioritaskan dengan mitigasi risiko yang memperhatikan kecukupan
aspek People, Process dan Technology (manusia, proses dan teknologi);
8. Pada Bab VIII berisi kesimpulan dan saran dari hasil penelitian yang telah
dilakukan.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
9 Universitas Indonesia
BAB 2
TINJAUAN PUSTAKA
Bab ini membahas mengenai teori terkait dengan metode yang digunakan di
dalam penelitian, yaitu mengenai risiko TI, manajemen risiko TI dan model
pengujiannya.
2.1 Risiko TI
Risiko TI adalah risiko organisasi yang diakibatkan oleh penggunaan TI dalam
organisasi, terdiri atas semua kejadian terkait TI yang berpotensi memiliki
dampak pada organisasi (ISACA, 2009). Perspektif umum lingkup risiko TI
semakin berkembang, tidak hanya terkait dengan operasional organisasi tetapi
risiko secara keseluruhan pada organisasi tersebut.
Gambar 2.1 Risiko TI di dalam Hirarki Risiko Organisasi
(Sumber: ISACA, 2009, RiskIT Framework)
Risiko dan Value merupakan dua sisi mata uang yang berbeda, tetapi perusahaan
atau organisasi perlu untuk memastikan bahwa peluang (opportunity) untuk
menciptakan nilai tidak hilang karena keinginan untuk mengeliminasi seluruh
risiko, harus ada keseimbangan.
Menurut ISACA (2009) risiko TI dikategorikan menjadi tiga yaitu sebagai
berikut:
1. IT Benefit/Value Enablement Risk
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
10
Universitas Indonesia
Terkait dengan (hilangnya) opportunity penggunaan teknologi bagi
peningkatan efisiensi dan efektifitas proses bisnis atau sebagai enabler bagi
inisiatif bisnis baru.
2. IT Program and Project Delivery Risk
Terkait dengan kontribusi TI bagi solusi bisnis baru atau memperbaiki
solusi bisnis dalam bentuk proyek atau program.
3. IT Operations and Service Delivery Risk
Terkait dengan seluruh aspek kinerja sistem dan layanan TI, yang dapat
merusak atau mereduksi nilai organisasi atau perusahaan.
2.2 Manajemen Risiko TI
Manajemen risiko TI merupakan proses identifikasi risiko, penilaian risiko, dan
pengambilan langkah-langkah untuk menurunkan risiko sampai tingkatan yang
dapat diterima (Stoneburner, 2002).
Menurut Westerman (2007) manajemen risiko adalah proses identifikasi,
pengkajian, pengembangan strategi mitigasi dan komunikasi risiko TI yang
berpotensi merugikan atau berdampak negatif terhadap organisasi. Mekanisme
kontrol dan pengukuran kinerja manajemen risiko TI yang dilakukan oleh semua
pihak secara efektif dapat memilih risiko mana yang harus diberi perhatian dan
risiko mana yang dapat diterima pada level risiko dan organisasi memfokuskan
pada risiko yang benar-benar penting.
Sedangkan menurut IT Governance, IT Audit dan IT Security (dalam Spremic,
2008), manajemen risiko TI adalah proses untuk memahami dan memberikan
respon terhadap faktor-faktor yang dapat menyebabkan kegagalan dalam
autentikasi, non-repudiation, kerahasiaan, integritas atau ketersediaan dari sistem
informasi.
Symantec (2007) dalam laporannya yang berjudul Symantec Risk Management
Report mengatakan bahwa manajemen risiko memerlukan kompetensi dan
investasi yang tepat untuk mendukung proses di dalamya. Manajemen risiko TI
menggunakan mekanisme kontrol yang terdefinisi dengan baik, dikombinasikan
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
11
Universitas Indonesia
dengan teknologi dan proses yang saling mendukung. Hal ini tentunya perlu
didukung teknologi yang tepat.
Manajemen risiko TI bukanlah hal yang mudah, merupakan hal penting untuk
menjaga keseimbangan dalam proses manajemen risiko yang cukup sulit dan
menghabiskan banyak waktu. Memerlukan keahlian, keuletan, latihan dan
perbaikan secara terus menerus namun demikian hasil usaha yang dikerjakan pada
tahap ini, memberikan masukan yang berharga bagi perusahaan atau organisasi
dalam menghadapi tantangan bisnis masa depan. Meskipun secara umum metode
manajemen risiko yang berbeda-beda sehingga diperlukan manajemen risiko
secara khusus. Terkait dengan pemerintah yang memberikan layanan publik,
dampak dari risiko dapat diukur tidak hanya secara ekonomi, namun juga
pengaruh sosial.
Sesuai dengan kebijakan yang tertuang di dalam Permenkominfo nomor 41 tahun
2007, bahwa dalam rangka melakukan tata kelola TI oleh institusi pemerintahan
perlu dilakukan manajemen risiko yang mencakup risiko proyek, risiko atas
informasi dan risiko atas keberlangsungan layanan (Permenkominfo, 2007).
2.3 Profil Risiko TI
Profil risiko merupakan gambaran keseluruhan risiko organisasi yang berguna
untuk usulan pelaporan. Profil risiko ini mengacu pada data risk register, hasil
analisis risiko dan indikator kinerja.
Pengukuran risiko TI berguna untuk mengetahui profil risiko, analisis terhadap
risiko, kemudian melakukan respon terhadap risiko tersebut sehingga dampak
yang ditimbulkan dapat diperkecil. Profil risiko menampilkan tingkatan risiko
dalam bentuk matriks kecenderungan atau probabilitas (likelihood) dan dampak
(impact). Tugas yang harus dilakukan adalah identifikasi profil risiko (aset,
ancaman terhadap aset, kebutuhan kontrol untuk aset dan deskripsi tentang
dampak risiko terhadap organisasi) dan identifikasi informasi organisasi
(kebijakan, standar operasional prosedur, kelemahan teknologi dan organisasi saat
ini).
Tabel 2.1 merupakan contoh dari hasil risk assessment yang dilakukan bank ABC.
IT risk profile memuat key process, potensi gangguan yang mungkin terjadi (risk
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
12
Universitas Indonesia
issue) serta kontrol yang dilakukan sebagai mitigasi dari risiko terkait (control
design). Setiap risiko juga didefinisikan parameter likelihood yang
menggambarkan kemungkinan risiko terjadi dan parameter impact yang
menggambarkan seberapa besar akibat dampak risiko yang terjadi.
Tabel 2.1 Contoh Profil Risiko TI Bank ABC
Key
Process
Risk
Issue
Control
Design
Inherent Risk
Likelihood Impact Rating
1 2 3 4 5 6
Uji Coba
DRP
Kesiapan
petugas
level
operasiona
l saat
terjadi
disaster
1. Dilakukan
simulasi DRP
2. Sosialisasi
melalui
program
awareness
3. Dokumentasi
prosedur
lengkap
Likely Major Very
high
Pengelo-
laan
menu
user
pada
aplikasi
green
screen
Kesalahan
pemberian
fitur menu
pada user
1. Penerapan
mekanisme
Dual Custody
untuk level OS
dan aplikasi
2. Verifikasi
kesesuaian
antara user
privilege di
sistem dengan
reporting user
ID
administration
Possible High Very
high
(Sumber: Christiyono, 2011, IT Risk Profile Bank ABC)
2.4 RiskIT
RiskIT merupakan kerangka kerja manajemen risiko TI yang didasarkan pada
prinsip-prinsip standar enterprise risk management (ERM) seperti COSO dan
AS/NZS 4360. RiskIT dikembangkan oleh IT Governance Institute (ITGI), yang
merupakan bagian dari Information System Audit and Control Association
(ISACA). RiskIT dan ValIT dapat dijadikan pelengkap COBIT untuk memberikan
pedoman implementasi tata kelola TI. Meskipun demikian RiskIT tidak
membutuhkan penggunaan COBIT ataupun ValIT. RiskIT tidak hanya terbatas
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
13
Universitas Indonesia
pada aspek keamanan informasi saja, tetapi mencakup semua risiko-risiko yang
terkait dengan TI termasuk yang berhubungan dengan sebagai berikut:
1. Keterlambatan penyelesaian proyek;
2. Tidak tercapainya value TI sebagaimana diharapkan;
3. Pemenuhan (compliance);
4. Tidak adanya keselarasan TI dengan kepentingan bisnis;
5. Arsitektur TI yang kadaluarsa ataupun tidak fleksibel;
6. Masalah-masalah dalam penyelenggaraan layanan TI.
RiskIT menjawab kebutuhan sebuah kerangka kerja manajemen risiko yang
komprehensif dan sangat erat terhubung dengan tujuan organisasi. Standar dan
kerangka kerja yang lain bersifat terlalu umum misalnya berorientasi ERM
ataupun terlalu fokus yang efektif dalam sebuah organisasi sehingga RiskIT
memberi manfaat bagi organisasi yaitu untuk:
1. Memberikan panduan untuk membantu eksekutif dan manajemen dalam
mengajukan pertanyaan, membuat keputusan yang lebih baik yang
berdasarkan pengetahuan risiko yang dimiliki dan memandu organisasi agar
dapat mengelola risiko secara efektif;
2. Menghemat waktu, biaya dan usaha dengan alat bantu untuk mengelola
risiko organisasi;
3. Mengintegrasikan manajemen risiko bisnis yang terkait TI ke dalam
manajemen risiko organisasi secara keseluruhan;
4. Memberikan panduan praktis bagi organisasi dalam mengelola risiko terkait
TI;
5. Membawa semua aspek dari risiko TI, termasuk value, perubahan
ketersediaan (availability), project dan pemulihan (recovery);
6. Terhubung dengan konsep dan pendekatan manajemen risiko organisasi
seperti COSO, ERM dan ISO;
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
14
Universitas Indonesia
7. Menawarkan sebuah pandangan yang tunggal dan terpadu tentang risiko
bisnis terkait TI, risiko yang dapat mengakibatkan perusahaan kehilangan
pendapatan atau kesempatan bernilai jutaan dollar per tahun.
ISACA (2009) menjabarkan tiga domain manajemen risiko TI yang membantu
organisasi menentukan risiko keseluruhan organisasi, merespon terhadap risiko,
baik yang belum terjadi maupun yang sudah terjadi dan mengevaluasi risiko. Tiga
domain tersebut yaitu: Risk Governance (RG), Risk Evaluation (RE) dan Risk
Response (RR) yang masing-masing memiliki tiga proses sebagai aktivitas kunci
utamanya yang dapat dilihat pada Gambar 2.2. Esensi Risk Governance meliputi
tanggung jawab dan akuntabilitas untuk risiko, risk appetite dan toleransi risiko,
kesadaran atas risiko dan komunikasi dan budaya risiko. Esensi Risk Evaluation
meliputi skenario risiko dan penjelasan dampak terhadap bisnis. Esensi Risk
Response meliputi Key Risk Indicators (KRIs), definisi Risk Response dan
prioritisasi.
Gambar 2.2. Kerangka Kerja RiskIT
(Sumber: ISACA, 2009, RiskIT Framework)
Ketiga domain utama pada RiskIT, dijabarkan pada Tabel 2.2. sebagai
berikut:
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
15
Universitas Indonesia
Tabel 2.2 Domain RiskIT
Domain Goals
Risk Governance (RG) sebagai
mekanisme kontrol tata kelola risiko
TI.
RG1: Establish and maintain a
common risk view
RG2: Integrate with ERM
RG3: Make risk-aware business
decisions
Esensi RG:
a. Tanggung jawab dan
akuntabilitas untuk risiko
b. Risk appetite dan toleransi risiko
c. Kesadaran atas risiko dan
komunikasi
d. Budaya risiko
Memastikan bahwa praktik
manajemen risiko TI
terimplementasi di organisasi secara
optimal berdasarkan risk adjusted
return
Risk Evaluation (RE)
RE1: Collect data
RE2: Analyze risk
RE3: Maintain risk profile
Esensi RE:
a. Skenario Risiko
b. Penjelasan dampak terhadap
bisnis
Memastikan bahwa risiko TI serta
opportunity penciptaan value
teridentifikasi dan teranalisis dengan
baik.
Risk Response (RR) sebagai
mekanisme komunikasi dan strategi
mitigasi risiko TI
RR1: Articulate Risk
RR2: Manage Risk
RR3: React to events
Esensi RR:
a. Key Risk Indicators (KRIs)
b. Definisi Risk Response dan
prioritisasi
Memastikan adanya respon yang
cost-effective dan berbasis prioritas
bisnis terhadap kemungkinan
terjadinya risiko TI.
(Sumber: ISACA, 2009, RiskIT Framework, “telah diolah kembali”)
2.4.1 Prinsip RiskIT
RiskIT didefinisikan dan didasarkan pada sejumlah prinsip-prinsip panduan untuk
efektivitas manajemen risiko TI. Prinsip-prinsip ini didasarkan pada prinsip ERM
yang umum diterima dimana telah diterapkan pada domain TI. Model proses
RiskIT seperti yang diperlihatkan dalam Gambar 2.3 dirancang dan disusun untuk
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
16
Universitas Indonesia
memungkinkan organisasi menerapkan prinsip-prinsip dalam RiskIT untuk
standar kinerja. Berikut prinsip-prinsip sebagai berikut:
1. Selalu terhubung dengan obyektif perusahaan;
2. Menyelaraskan manajemen risiko bisnis terkait TI dengan manajemen risiko
perusahaan secara keseluruhan;
3. Menyeimbangkan biaya dan manfaat dalam mengelola risiko;
4. Mendukung terjalinnya komunikasi yang terbuka dan sehat tentang risiko
TI;
5. Menghasilkan pendapat yang tepat dari top management sambil menetapkan
dan menguatkan akuntabilitas personal untuk beroperasi dalam tingkatan
toleransi yang dapat diterima dan terdefinisi dengan baik;
6. Memahami bahwa hal ini merupakan proses yang berkelanjutan dan bagian
yang penting dalam aktivitas keseharian.
Gambar 2.3 Prinsip RiskIT
(Sumber: ISACA, 2009, RiskIT Framework)
2.4.2 Identifikasi Risiko RiskIT
Dalam melakukan identifikasi risiko TI, RiskIT memberikan panduan melalui
Generic IT Risk Scenario yang berisi 36 high level skenario terkait TI. Sebuah
skenario risiko TI adalah deskripsi dari suatu peristiwa terkait TI yang dapat
menyebabkan dampak bisnis, ketika dan jika itu harus terjadi (RiskIT, ISACA
2009). Salah satu tantangan manajemen risiko TI adalah mengidentifikasi relevan
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
17
Universitas Indonesia
dan pentingnya semua risiko yang dapat memungkinkan mengarah pada
kegagalan TI atau terkait TI. Salah satu teknik untuk menjawab tantangan tersebut
adalah menggunakan dan membangun skenario risiko yang dapat dilihat pada
Gambar 2.4. Skenario risiko merupakan bagian panduan RiskIT untuk
mengidentifikasi risiko. Secara umum, proses identifikasi risiko menurut RiskIT
dapat dilihat pada Tabel 2.3, dimana High-level Risk Scenario digunakan dan
dibandingkan dengan tujuan organisasi yang ada, dalam hal ini tentu tujuan
organisasi Ditjen Dukcapil. Skenario risiko dapat didorong melalui dua cara
pendekatan yaitu:
1. Pendekatan Top-Down
Organisasi memulai dari keseluruhan tujuan organisasi kemudian
melakukan analisis risiko TI yang paling relevan dan memungkinkan
skenario risiko tersebut berdampak pada tujuan organisasi.
2. Pendekatan Bottom-Up
Generic IT Risk Scenario digunakan untuk menetapkan skenario yang lebih
konkrit untuk disesuaikan, diterapkan pada situasi organisasi.
Gambar 2.4 Pembangunan Skenario Risiko TI
(Sumber: ISACA, 2009, RiskIT Framework)
Skenario risiko yang sudah ditetapkan dapat digunakan untuk analisis risiko
dimana probabilitas dan dampak skenario dinilai. Komponen terpenting dalam
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
18
Universitas Indonesia
penilaian ini adalah faktor risiko seperti ditunjukkan dalam Gambar 2.5. Faktor
risiko diklasifikasikan dalam dua kategori utama yaitu:
1. Faktor Lingkungan
Dibagi menjadi dua kelompok, yaitu faktor eksternal dan internal.
Perbedaannya terletak pada tingkatan pengendaliannya. Faktor internal di
bawah kontrol organisasi sedangkan faktor eksternal di luar organisasi.
Faktor-faktor internal dimaksud antara lain adalah sumber daya manusia,
keuangan, kompetensi, proses, sistem dan teknologi. Selain itu faktor-faktor
arus atau aliran informasi dan proses pengambilan keputusan, pemangku
kepentingan internal, persepsi, nilai dan budaya organisasi, tujuan dan
strategi saat ini, struktur organisasi, serta governance. Faktor-faktor
eksternal yang perlu dipertimbangkan terkait dengan potensi risiko yang
dihadapi antara lain adalah budaya, hukum, politik, regulasi, keuangan,
ekonomi, tingkat kompetisi baik regional maupun internasional.
2. Faktor Kemampuan
Kemampuan organisasi mengelola secara baik aktivitas terkait TI dengan
memanfaatkan tiga kerangka kerja dari ISACA yaitu manajemen risiko TI
(RiskIT), kapabilitas organisasi memperbaiki proses TI (COBIT) dan
kapabilitas organisasi meningkatkan nilai TI (ValIT).
Gambar 2.5 Faktor-Faktor Risiko TI
(Sumber: ISACA, 2009, RiskIT Framework)
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
19
Universitas Indonesia
Tabel 2.3 Mapping Generic IT Risk Scenario ke Proses COBIT
No. High-level Risk Scenario
Keterangan IT Processes Capabilities (COBIT) IT Value Management Processes Capabilities (Val IT)
Plain and Organize
(PO)
Acquire and
Implement (AI)
Deliver and
Support (DS)
Monitor and
Evaluate (ME)
Value Governance
(VG)
Programme Management
(PM)
Investment Management
(IM)
1. IT programme selection Pemilihan proyek-proyek TI yang mendukung target organisasi
PO1, PO2, PO3
AI1, AI3 ME1, ME3
VG1, VG2, VG3, VG5
PM1, PM4, PM5
2. New technologies Adanya perkembangan teknologi baru yang bisa bermanfaat
PO1, PO2, PO3
AI1, AI3 ME1 VG3 PM1, PM4
3. Technology selection Pemilihan jenis teknologi yang diimplementasikan dalam proyek TI
PO2, PO3 AI1, AI3 ME1 IM1, IM2
dan seterusnya.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
20
Universitas Indonesia
2.4.3 Analisis Risiko RiskIT
Analisis risiko adalah estimasi aktual probabilitas dan dampak skenario risiko
pada bisnis. Seperti yang telah didefiniskan pada bagian skenario risiko TI, yang
berupa deskripsi dari suatu peristiwa atau kejadian terkait TI yang dapat
berdampak pada bisnis, maka tahapan berikutnya adalah menganalisis risiko-
risiko tersebut untuk mengetahui probabilitas, dampak dan menentukan tingkat
pengendaliannya. Skenario risiko TI menjadi masukan untuk tahapan analisis
risiko dan penanganannya sebagai masukan bagi pihak manajemen untuk
mengambil keputusan. Komponen-komponen risk scenario seperti yang
ditunjukkan pada Gambar 2.6 sangat diperlukan untuk dapat menganalisis risiko.
Sedangkan proses analisis risiko TI menurut RiskIT dapat dilihat pada Gambar
2.7.
Gambar 2.6 Komponen Skenario Risiko
(Sumber: ISACA, 2009, RiskIT Framework)
Skenario risiko TI menggambarkan kejadian terkait TI yang menimbulkan
dampak bagi organisasi ketika dan jika terjadi. Komponen skenario risiko dalam
RiskIT terdiri dari:
1. Actor
Orang atau pelaku yang membuat ancaman pada aset baik dari eksternal
maupun internal organisasi. Contoh dari internal, yaitu pegawai dan vendor
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
21
Universitas Indonesia
yang bekerjasama dengan organisasi. Sedangkan contoh dari eksternal yaitu
kompetitor, regulasi dan market.
2. Ancaman
Potensi suatu kondisi, kejadian atau rangkaian kejadian atau peristiwa suatu
sumber ancaman, baik disengaja maupun tidak disengaja dieksploitasi.
Tidak semua ancaman membutuhkan aktor yang bisa berasal dari kegagalan
atau alam.
3. Kejadian
Bisa meliputi kebocoran informasi, gangguan pada sistem atau proyek,
pencurian dan perusakan infrastruktur TI, desain sistem dan proses atau
eksekusi yang tidak efektif.
4. Aset/Sumber Risiko
Obyek bernilai yang apabila terjadi kejadian pada obyek tersebut berdampak
bagi organisasi. Aset dikategorikan meliputi aset manusia/organisasi,
infrastruktur TI, proses, infrastruktur fisik, komponen arsitektur organisasi
yaitu aplikasi dan informasi.
5. Waktu
Waktu yang mendeskripsikan kapan kejadian skenario risiko terjadi.
Gambar 2.7 Proses Analisis Risiko
(Sumber: ISACA, 2009, RiskIT Practitioner Guide)
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
22
Universitas Indonesia
2.4.4 Respon Risiko TI
Tujuan dari respon risiko agar risiko selaras dengan batasan risiko global (risk
appetite) setelah dilakukan analisis risiko. Sebagai parameter penentunya, batasan
risiko yang dapat ditoleransi pada tingkat operasional batasan risiko toleransi (risk
tolerance threshold) oleh manajemen terkait. Proses respon risiko TI dapat dilihat
pada Gambar 2.8.
Gambar 2.8 Proses Respon Risiko
(Sumber: ISACA, 2009, RiskIT Practitioner Guide)
1. Pemilihan Respon Risiko
Opsi-opsi yang dapat dipilih untuk merespon risiko yaitu:
a. Risk Avoidance
Yang berarti bahwa menghindari risiko, dalam konteks proses berarti
meniadakan aktivitas terkait proses tersebut. Respon ini berlaku apabila
pilihan respon risiko lain tidak cukup.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
23
Universitas Indonesia
b. Risk Reduction / Mitigation
Adalah mendeteksi risiko dan diikuti dengan aksi untuk mengurangi
kecenderungan (frequency) dan atau dampak (impact) dari risiko.
c. Risk Share/Transfer
Sharing berarti mengurangi frekuensi dan dampak risiko dengan
memindahkan seluruh atau sebagian risiko kepada pihak lain. Contohnya
adalah outsourcing.
d. Risk Acceptance
Tidak ada aksi atau upaya yang dilakukan pada risiko tersebut dan
kerugian diterima apabila risiko itu terjadi. Ini berbeda dengan
mengabaikan risiko (ignorant of risk), risk acceptance diasumsikan risiko
diketahui dan diinformasikan ke level manajemen dan pihak manajemen
menerimanya.
2. Perencanaan Tindakan Risiko
Berdasarkan prioritisasi, maka action plan lebih lanjut dapat disusun
sebagai berikut:
a. Quick-win
Respon yang sangat efisien dan efektif untuk HIGH RISKS.
b. Business case
Respon yang lebih mahal dan sulit untuk HIGH RISKS atau respon yang
efisien dan efektif untuk LOWER RISKS (membutuhkan analisis yang
hati-hati).
c. Deferral
Costly response untuk LOWER RISKS.
2.4.5 Mendeskripsikan dan Mengkespresikan Risiko
Deskripsi risiko dalam RiskIT dibagi tiga yaitu inherent risk, current risk dan
residual risk. Inherent risk adalah risiko dasar yang dimiliki aset yang menjadi
tahapan penetapan konteks ruang lingkup IT Risk Management, sedangkan
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
24
Universitas Indonesia
current risk merupakan risiko setelah adanya estimasi frekuensi dan dampak yang
menjadi tahapan analisis risiko. Residual risk merupakan risiko sisa setelah
adanya kontrol dan di sini merupakan tahapan pemilihan opsi-opsi respon dan
prioritasinya. Hubungan inherent risk, current risk dan residual risk ditunjukkan
pada Gambar 2.9.
Gambar 2.9 Inherent Risk, Current Risk dan Residual risk
(Sumber: RiskISACA, 2009, RiskIT Practitioner Guide)
2.4.6 Mengekspresikan Frekuensi
Frekuensi dalam RiskIT memiliki makna yang sama dengan likelihood atau
probability yaitu jumlah kejadian dalam sebuah durasi waktu tertentu.
Menggunakan hanya label (very frequent, frequent, dan rare) tidak disarankan
karena dia dapat berarti berbeda untuk berbagai skenario dan sebagai
konsekuensinya dapat menimbulkan kebingungan. Gambar 2.10 memperlihatkan
contoh skala probabilitas.
Gambar 2.10 Skala Probabilitas
(Sumber: ISACA, 2009, RiskIT Practitioner Guide)
2.4.7 Mengekspresikan Dampak
Magnitude atau Impact atau Exposure digunakan untuk mendeskripsikan besarnya
konsekuensi dari risiko jika terjadi. Skala untuk impact dapat ditentukan sendiri
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
25
Universitas Indonesia
oleh organisasi sesuai dengan terminologi tujuan organisasi yang dimiliki.
Gambar 2.11 memperlihatkan contoh skala dampak.
Gambar 2.11 Skala Dampak
(Sumber: ISACA, 2009, RiskIT Practitioner Guide)
2.4.8 Risk map dan Risk Register
Setelah seluruh IT Risk Scenario dianalisis frekuensi dan impact-nya, maka
Current Risk tersebut dapat disajikan dalam Risk map. Berdasarkan Risk map
tersebut, risiko-risiko yang masih di atas Risk appetite diregistrasi. Gambar 2.12
memperlihatkan contoh risk map.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
26
Universitas Indonesia
Gambar 2.12 Risk Map
(Sumber: ISACA, 2009, Risk IT Practitioner Guide)
2.5 Kerangka Kerja COBIT
Control Objective for Information and Related Technology (COBIT) merupakan
standar yang dikeluarkan oleh IT Governance Institute (ITGI) (IT Governance
Institute, 2005). COBIT merupakan referensi kerangka kerja untuk
mengimplementasikan kontrol sebagai langkah mitigasi risiko terhadap setiap
proses-proses TI yang terdiri atas 4 domain, yaitu:
1. Plan and Organise (PO);
2. Acquisition and Implementation (AI);
3. Delivery and Support (DS); dan
4. Monitor and Evaluate (ME).
COBIT didasarkan kepada filosofi bahwa sumber daya atau aset TI (infrastruktur,
aplikasi, data dan informasi, dan SDM) perlu dikelola oleh proses-proses TI yang
dikelompokkan dalam siklus (empat domain natural) untuk menghasilkan
informasi bisnis yang memenuhi kriteria tertentu (efektifitas, efisiensi,
kehandalan, kerahasiaan, integritas, ketersediaan dan kepatuhan), yang digunakan
untuk mendukung pencapaian tujuan bisnis. Gambar 2.13 memperlihatkan
kerangka kerja COBIT 4.1.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
27
Universitas Indonesia
Gambar 2.13 Kerangka Kerja COBIT 4.1
(Sumber: ISACA, 2007, COBIT 4.1 Framework)
IT Governance Institute (2007) menjelaskan ada lima area fokus COBIT (Gambar
2.14) yaitu:
1. Strategic Alignment
Fokus untuk menjamin keselarasan antara business dan IT Plan.
2. Value Delivery
Memastikan IT memberikan manfaat yang telah dijanjikan dan
mengoptimalkan biaya.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
28
Universitas Indonesia
3. Resource Management
Mengoptimalkan investasi dan mengelola secara baik sumber daya TI yang
meliputi aplikasi, informasi, infrastruktur dan manusia. Masalah utama
berkaitan dengan optimalisasi pengetahuan dan infrastruktur.
4. Risk Management
Manajemen Risiko memerlukan kesadaran risiko dari pimpinan organisasi.
5. Performance Measurement
Memonitor implementasi strategy, project completion, penggunaan sumber
daya, proses pengukuran dan service delivery.
Gambar 2.14 IT Governance Focus Areas
(Sumber: ISACA, 2007, COBIT 4.1)
2.6 Kerangka Kerja NIST Special Publication 800-300
National Institute of Standard and Technology (NIST) mengeluarkan rekomendasi
melalui publikasi khusus 800-30 tentang Risk Management Guide for Information
Technology System (Stoneburner, 2002). Terdapat tiga proses dalam manajemen
risiko (Gambar 2.15) yaitu:
1. Proses Penilaian Risiko (Risk Assessment);
Terdapat sembilan langkah dalam proses penilaian risiko yaitu:
a. Mengetahui Karakteristik Sistem TI;
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
29
Universitas Indonesia
Sistem TI meliputi hardware, software, infrastruktur, data dan informasi,
orang yang terlibat dalam pengelolaan dan penggunaan sistem TI.
b. Mengidentifikasi Ancaman;
Melakukan identifikasi ancaman terhadap kelemahan sistem TI baik
berasal dari internal maupun eksternal organisasi serta lingkungan.
c. Mengidentifikasi Kelemahan;
Melakukan identifikasi kekurangan atau kelemahan (vulnerability) pada
prosedur keamanan, desain, implementasi, eksternal kontrol dan internal
kontrol terhadap sistem sehingga menghasilkan pelanggaran terhadap
kebijakan keamanan sistem.
d. Melakukan Analisis Pengendalian;
Menganalisis kontrol-kontrol yang sudah diimplementasikan atau
direncanakan untuk diimplementasikan oleh organisasi untuk
mengurangi atau menghilangkan kecenderungan (kemungkinan) dari
suatu ancaman yang menyerang sistem yang vulnerable.
e. Menentukan Kecenderungan (Likelihood);
Penentuan kecenderungan (likelihood) dari kejadian bertujuan untuk
memperoleh penilaian terhadap keseluruhan kecenderungan yang
mengindikasikan kemungkinan potensi vulnerability diserang oleh
lingkungan ancaman yang ada.
f. Menganalisis Dampak Risiko;
Melakukan analisis dampak negatif terhadap keberhasilan penyerangan
vulnerability sistem TI. Seperti loss of integrity, loss of availability, dan
loss of confidentiality. Pengukuran dampak dari risiko TI dapat dilakukan
secara kualitatif maupun kuantitatif. Dampak tersebut dapat
diklasifikasikan menjadi tiga bagian yaitu: high, medium dan low.
g. Menentukan Level Risiko;
Penentuan level risiko dari Sistem TI yang merupakan pasangan ancaman
atau vulnerability merupakan suatu fungsi, yaitu:
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
30
Universitas Indonesia
1) Kecenderungan suatu sumber ancaman menyerang vulnerability dari
sistem TI;
2) Besaran dampak yang terjadi jika sumber ancaman sukses menyerang
vulnerability dari sistem TI;
3) Terpenuhinya perencanaan kontrol keamanan yang ada untuk
mengurangi dan menghilangkan risiko.
h. Merekomendasikan Pengendalian;
Memberikan rekomendasi pengendalian untuk mengurangi level risiko
sistem TI dan data sehingga mencapai level yang dapat diterima.
i. Dokumentasi Hasil Dalam Bentuk Laporan.
2. Proses Pengurangan Risiko (Risk Mitigation)
Strategi di dalam melakukan pengurangan risiko misalnya dengan menerima
risiko (risk assumption), mencegah terjadinya risiko (risk avoidance),
membatasi level risiko (risk limitation), atau mentransfer risiko (risk
transference).
3. Proses Evaluasi Risiko (Risk Evaluation)
Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko
yang diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko kembali
untuk memastikan keberadaan risiko yang teridentifikasi maupun risiko
yang belum teridentifikasi.
Gambar 2.15 Framework NIST Special Publication 800-30
(Sumber: NIST SP 800-30)
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
31
Universitas Indonesia
2.7 Perbandingan Kerangka Kerja
ISACA (2009) membandingkan beberapa framework dan standar terkait
manajemen risiko TI dilihat dari implementasi prinsip risiko TI seperti pada
Gambar 2.16. Dari Gambar tersebut terlihat aspek keselarasan risiko TI dengan
risiko organisasi terpenuhi oleh RiskIT, sedangkan kerangka kerja lain lebih pada
aspek teknis. Karakteristik utama RiskIT dibanding kerangka kerja lain, yaitu
RiskIT selaras dengan COBIT dan ValIT sedangkan kerangka kerja lain perlu
dilakukan pemetaan. RiskIT terhubung dengan konsep dan pendekatan
manajemen risiko perusahaan atau organisasi seperti COSO ERM dan ISO 31000.
Standard dan kerangka kerja yang lain bersifat terlalu umum (misalnya
berorientasi ERM) ataupun terlalu fokus pada satu aspek saja misalnya IT
Security RiskIT fokus pada risiko TI, risiko yang dapat mengakibatkan organisasi
kehilangan reputasi atau bagi perusahaan kehilangan jutaan dollar per tahun.
Gambar 2.16 Perbandingan dan Standar Manajemen Risiko TI
(Sumber: ISACA, 2009, RiskIT Framework)
Aspek Alignment Risiko
TI dan Risiko Bisnis
Aspek Teknis
Risiko-Risiko TI
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
32
Universitas Indonesia
2.8 Penelitian Studi Kasus (Case Study Research)
Menurut Bogdan dan Bikien (1982) case study (studi kasus) merupakan pengujian
secara rinci terhadap satu latar atau satu orang subjek atau satu tempat
penyimpanan dokumen atau satu peristiwa tertentu. Surachrnad (1982) membatasi
pendekatan studi kasus sebagai suatu pendekatan dengan memusatkan perhatian
pada suatu kasus secara intensif dan rinci. Sementara Yin (1987) memberikan
batasan yang lebih bersifat teknis dengan penekanan pada ciri-cirinya. Ary,
Jacobs, dan Razavieh (1985) menjelasan bahwa dalam studi kasus hendaknya
peneliti berusaha menguji unit atau individu secara mendalam. Para peneliti
berusaha menemukan semua variabel yang penting.
Berdasarkan batasan tersebut dapat dipahami bahwa batasan studi kasus meliputi:
(1) sasaran penelitiannya dapat berupa manusia, peristiwa, latar, dan dokumen; (2)
sasaran-sasaran tersebut ditelaah secara mendalam sebagai suatu totalitas sesuai
dengan latar atau konteksnya masing-masing dengan maksud untuk mernahami
berbagai kaitan yang ada di antara variabel-variabelnya.
Jenis-jenis studi kasus (sumber:http://ardhana12.wordpress.com/2008/02/08/
metode-penelitian-studi-kasus/; pada hari Selasa, 02 April 2013 Pukul 23:30
WIB) yaitu (a) Studi kasus kesejarahan mengenai organisasi; (b) Studi kasus
observasi; (c) Studi kasus sejarah hidup; (d) Studi kasus kemasyarakatan; (e)
Studi kasus analisis situasi; dan (f) Mikroethnografi.
Langkah-langkah case study research (penelitian studi kasus) yaitu sebagai
berikut: (a) Pemilihan kasus hendaknya dilakukan secara bertujuan (purposive)
dan bukan secara rambang; (b) Pengumpulan data yang lebih dipakai dalarn
penelitian kasus adalah observasi, wawancara, dan analisis dokumentasi; (c)
Analisis data dilakukan setelah data terkumpul oleh peneliti dengan
mengagregasi, mengorganisasi, dan mengklasifikasi data menjadi unit-unit yang
dapat dikelola; (d) Perbaikan (refinement) dengan pengumpulan data baru
mengharuskan peneliti untuk kembali ke lapangan dan barangkali harus membuat
kategori baru, data baru tidak bisa dikelompokkan ke dalam kategori yang sudah
ada; (e) Penulisan laporan: laporan hendaknya ditulis secara komunikatif, mudah
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
33
Universitas Indonesia
dibaca, dan mendeskripsikan suatu gejala atau kesatuan sosial secara jelas,
sehingga rnemudahkan pembaca untuk mernahami seluruh informasi penting.
2.9 Perbandingan Penelitian Sebelumnya
Dari beberapa penelusuran karya ilmiah yang sudah dilakukan, ditemukan
beberapa penelitian yang berhubungan dengan manajemen risiko TI yang sudah
dilakukan untuk beberapa jenis industri dan organisasi yang berbeda. Tabel 2.4
menampilkan beberapa penelitian mengenai manajemen risiko TI.
Tabel 2.4 Perbandingan Penelitian Sebelumnya
Penulis
Judul Penelitian
Tahun
Yok Christiyono Penilaian risiko dan analisis
profil risiko TI menggunakan kerangka kerja RiskIT: Studi kasus PT. Bank ABC
2011
Ronald Eduard Heinrich Analisa IT Risk Profile Menggunakan Kerangka Kerja RiskIT dan Peraturan Bank Indonesia No. 9/15/PBI/2007: Studi Kasus pada PT. Bank XYZ (Persero), Tbk.
2010
Bambang Hadi Purnomo Evaluasi Pengelolaan Risiko TI pada Instansi Pemerintah : Studi Kasus Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK)
2012
Arion Sharon Rancangan Manajemen Risiko TI Berdasarkan Keamanan Informasi : Studi Kasus PT. XYZ
2010
Yuliansyah Al’Rasyid Analisis dan Kajian Model Kerangka Kerja Manajemen Risiko TI : Studi Kasus PT. Rajawali Nusantara
2009
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
34
Universitas Indonesia
Cahyono Tri Wibowo Kajian Manajemen Risiko TI Berdasarkan Penerapan COBIT Framework dan ISO 27001 : Studi Kasus Pusat Sistem Informasi dan Teknologi Keuangan, Departemen Keuangan RI
2006
Muhammad Mahreza Maulana
Pemodelan Manajemen Risiko TI untuk Organisasi di Negara Berkembang
2006
1. Yok Christiyono (2011), menggunakan pendekatan RiskIT sebagai langkah
untuk membuat mitigasi risiko terhadap profil risiko yang sudah dihasilkan
melalui penilaian risiko yang dilakukan oleh unit kerja manajemen risiko
menggunakan kerangka kerja internal perusahaan yang disebut Information
Technology Risk Management (ITRM) Framework;
2. Ronald Eduard Heinrich (2010), menjelaskan bahwa penulis tidak
melakukan penilaian risiko berdasarkan impact dan likelihood-nya. Penulis
hanya melakukan gap analysis antara risk profile yang sudah ada dengan
generic risk scenario RiskIT. Adanya gap inilah yang kemudian
diidentifikasi untuk ditambahkan ke risk profile yang baru;
3. Bambang Hadi Purnomo (2012), menggunakan pendekatan RiskIT sebagai
langkah untuk membuat mitigasi risiko terhadap profil risiko di PPATK;
4. Arion Sharon (2010) membandingkan kondisi manajemen risiko TI saat ini
di PT. X untuk kemudian dibandingkan dengan kerangka kerja ISO 27001.
Perbandingan tersebut untuk mencari gap analysis kondisi manajemen risiko
saat ini berdasarkan kerangka kerja ISO 27001, kemudian dibuatkan model
kerangka kerja manajemen risiko TI berdasarkan keamanan informasi untuk
PT. X;
5. Yuliansyah Al’Rasyid (2009), menggunakan beberapa kerangka kerja
manajemen risiko TI Standard yang kemudian dibandingkan dengan
kerangka kerja manajemen risiko yang eksisting pada PT. Rajawali
Nusantara Indonesia (RNI). Perbandingan tersebut untuk mencari gap antara
best practice dengan kenyataan yang ada, kemudian dibuatkan model
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
35
Universitas Indonesia
kerangka kerja manajemen risiko TI yang dapat mencakup seluruh
kebutuhan TI dan bisnis di PT. RNI;
6. Cahyono Tri Wibowo (2006), menganalisis penerapan kerangka kerja
COBIT. Hal ini dilakukan untuk mencari nilai negatif dari penerapan
COBIT. Nilai negatif yang didapatkan kemudian diselaraskan dengan
beberapa klausul yang ada pada ISO 27001;
7. Muhammad Mahreza Maulana (2006), membandingkan beberapa kerangka
kerja manajemen risiko TI yaitu COBIT, NIST 800-30 dan OCTAVE. Dari
kombinasi beberapa kerangka kerja tersebut kemudian dibuatkan sebuah
model kombinasi manajemen risiko teknologi informasi yang sederhana
untuk dapat digunakan pada negara-negara berkembang.
Perbedaan yang dilakukan dalam penelitian ini, Ditjen Dukcapil belum memiliki
unit kerja yang menangani risiko organisasi secara keseluruhan atau enterprise
risk management sehingga penulis terlibat dalam penentuan probabilitas, dampak
dan parameter risiko yang diperlukan untuk pengukuran risiko. Penulis dalam
penelitian ini melakukan pengukuran efektivitas kontrol yang ada untuk
mengetahui seberapa besar kontrol tersebut dapat mengurangi probabilitas dan
dampak. Setelah itu melakukan strategi mitigasi yang memerhatikan aspek
manusia, proses dan teknologi.
2.10 Kerangka Penelitian
Berdasarkan hasil studi literatur disusunlah kerangka penelitian (theoritical
framework) dengan tujuan untuk menggambarkan pola pikir yang digunakan
sebagai panduan dalam penelitian, untuk menghasilkan keluaran yang menjadi
produk atau hasil penelitian yaitu profil risiko TI dalam RiskIT terdiri dari:
1. Faktor risiko termasuk di dalamnya faktor risiko terkait lingkungan dan
kemampuan TI (vulnerabilities);
2. Hasil penilaian risiko organisasi dan analisis risiko;
3. Perencanaan aksi terhadap risiko;
4. Historis kehilangan data;
5. Hasil penemuan audit terkait risiko TI.
Kaitannya dengan instansi pemerintah yaitu sebagai berikut:
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
36
Universitas Indonesia
1. Faktor risiko yang disebabkan karena keterlambatan anggaran yang
menyebabkan ketidakmampuan TI sehingga menimbulkan ancaman,
kerawanan dan dampak bagi organisasi;
2. Penilaian risiko dan analisis risiko dilakukan secara menyeluruh tidak hanya
pada keamanan informasi saja akan tetapi juga risiko TI yang berhubungan
dengan keterlambatan penyelesaian proyek dan lain-lain;
3. Perencanaan aksi terhadap risiko menggunakan prioritas dan sesuai dengan
anggaran yang tersedia;
4. Historis terhadap kehilangan data yang seharusnya masuk ke Data Center
sehingga menyebabkan target perekaman 172 Juta penduduk wajib KTP
tidak segera terpenuhi;
5. Hasil temuan audit internal Tim Ditjen Dukcapil, Inspektorat Jenderal
Kementerian Dalam Negeri dan Badan Pemeriksa Keuangan (BPK RI)
untuk dilakukan evaluasi dan respon lebih lanjut terkait risiko organisasi.
Gambar 2.17 memperlihatkan komponen penyusun profil risiko TI sebagai
berikut.
Gambar 2.17 Theoritical Framework
(Sumber: ISACA, 2009, RiskIT Framework)
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
37 Universitas Indonesia
BAB 3
METODOLOGI PENELITIAN
Pada bab ini dijelaskan tahapan-tahapan dari metodologi yang digunakan dalam
penelitian ini.
3.1 Metode Pengumpulan Data
Dalam penelitian ini, data yang dijadikan sebagai acuan dalam melakukan
penilaian risiko untuk memperoleh IT Risk Profile, yang kemudian dijadikan
sebagai landasan dalam menyusun strategi dan langkah mitigasi dibagi menjadi
dua, yaitu data primer dan data sekunder.
1. Data Primer
Data primer merupakan data yang diperoleh langsung dari sumber yang
relevan dengan beberapa cara, antara lain: observasi, wawancara dan isian
formulir kompilasi analisis risiko, isian form pengukuran efektivitas kontrol
atau pertanyaan.
2. Data Sekunder
Data sekunder merupakan data yang diperoleh dari dokumen instansi obyek
penelitian maupun hasil penelitian yang dilakukan oleh orang lain. Dalam
penelitian ini, data sekunder didapat dari dokumen rencana strategis
organisasi, kebijakan, pedoman dan Standar Operasional Prosedur (SOP)
Organisasi, daftar pelayanan dan dokumen studi literatur mengenai
manajemen risiko TI.
3.2 Tahapan Penelitian
Metodologi penelitian merupakan rangkaian tahapan sistematis yang dilakukan
untuk menyelesaikan dan menjawab pertanyaan penelitian yang telah ditentukan.
Penelitian ini menggunakan analisis kuantitatif dan kualitatif dengan rangkaian
tahapan dalam metodologi penelitian ini sebagai berikut:
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
38
Universitas Indonesia
INPUT PROSES OUTPUT
Perumusan Masalah Research Question
Pemilihan RiskITPenyusunan Landasan Teori
(Studi Literatur)
Studi Pustaka dan Best
Practices
Belum adanya pengelolaan
risiko TI
Dokumen Internal, Observasi
dan Wawancara
Pengumpulan Data
(Studi Literatur)Kumpulan Dokumen Lengkap
yang Dibutuhkan
Skenario Risiko TIPenetapan Konteks dan
Skenario Risiko TI
Wawancara dan Form
Kompilasi Analisis RisikoPenilaian Risiko Profil Risiko TI
Profil Risiko TIMenyusun Strategi dan
Langkah Mitigasi
Profil Risiko TI Final dan
Langkah Mitigasi
Kesimpulan dan Saran
Gambar 3.1 Metodologi Penelitian
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
39
Universitas Indonesia
Penjelasan dari tahapan di atas sebagai berikut:
1. Perumusan Masalah;
Menjabarkan masalah yang diteliti melalui penelitian ini dan output dari
tahapan ini adalah research question.
2. Studi Literatur;
Mempelajari berbagai macam teori dan metodologi yang digunakan untuk
menjawab research question dalam penelitian ini. Sumber literatur adalah
dari buku, tesis, dokumen instansi obyek penelitian, dokumen perundang-
undangan dan peraturan pemerintah lainnya, dan sumber-sumber lain dari
internet.
3. Pengumpulan Data;
Melakukan pengumpulan data dengan cara wawancara, observasi lapangan
serta studi literatur.
4. Penetapan Konteks dan Skenario Risiko TI;
Menentukan aset TI yang menjadi obyek manajemen risiko TI dan kategori
risiko TI. Aset TI yang sudah dipilih dijadikan sebagai dasar penentuan
skenario risiko TI organisasi yang digunakan untuk langkah analisis risiko.
5. Penilaian Risiko;
Pada tahapan ini menggunakan kerangka kerja RiskIT untuk melakukan
identifikasi risiko dengan menggunakan Generic IT Risk Scenario, analisis
risiko dan respon risiko. Penilaian risiko dilakukan dengan cara pengisian
template risiko aset informasi, pengisian form kompilasi analisis risiko, form
pengukuran efektivitas kontrol oleh person in charge (PIC) dan wawancara
untuk memastikan data yang diisi benar, kemudian hasil dari pengisian
tersebut dilakukan validasi oleh pimpinan unit kerja pemilik risiko TI,
kemudian dari profil risiko tersebut dilakukan prioritasi risiko untuk
dilakukan mitigasi.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
40
Universitas Indonesia
6. Menyusun Strategi dan Langkah Mitigasi;
Pada tahapan ini melakukan penyusunan langkah-langkah mitigasi untuk
mengurangi probabilitas dan dampak risiko.
7. Kesimpulan dan Saran.
Kesimpulan didapatkan dengan cara induktif. Kesimpulan mengakomodasi
tujuan penelitian secara keseluruhan. Saran ditujukan untuk pengembangan
penelitian selanjutnya atau juga bagi obyek penelitian.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
41 Universitas Indonesia
BAB 4
PROFIL ORGANISASI
Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil)
merupakan unsur pelaksana Kementerian Dalam Negeri di bidang kependudukan
dan pencatatan sipil berdasarkan Undang-Undang No. 23 Tahun 2006 tentang
Administrasi Kependudukan dan Peraturan Menteri Dalam Negeri (Permendagri)
No. 41 Tahun 2010 tentang Organisasi dan Tata Kerja Kementerian Dalam Negeri
(Kemdagri), Pasal 382 ayat (1).
Salah satu program flagship Dewan Teknologi, Informasi dan Komunikasi
Nasional berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu Nomor
Identitas Nasional (NIN). NIN ini merupakan komponen inti pada blueprint TIK
Indonesia tentang e-Government. Pelaksana program ini adalah Direktorat
Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil), Kementerian
Dalam Negeri. Nomor Induk Kependudukan (NIK) merupakan bentuk
pelaksanaan program NIN.
4.1 Tugas, Fungsi dan Kewenangan Ditjen Dukcapil
Ditjen Dukcapil memiliki tugas dan fungsi yang diatur dalam pasal 383 dan 384
Permendagri No. 41 Tahun 2010 tentang Organisasi dan Tata Kerja Kementerian
Dalam Negeri (Kemdagri). Berdasarkan pasal 383 Permendagri No. 41 Tahun
2010, Ditjen Dukcapil mempunyai tugas merumuskan serta melaksanakan
kebijakan dan standardisasi teknis di bidang pendaftaran penduduk, pencatatan
sipil, dan pengelolaan informasi administrasi kependudukan, serta fasilitasi dan
penyerasian kebijakan perencanaan kuantitas, kualitas dan mobilitas penduduk di
daerah.
Dalam melaksanakan tugas sebagaimana dimaksud dalam Pasal 384 Permendagri
No. 41 Tahun 2010, Ditjen Dukcapil mempunyai fungsi sebagai berikut:
1. Perumusan kebijakan di bidang pendaftaran penduduk, pencatatan sipil, dan
pengelolaan informasi administrasi kependudukan;
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
42
Universitas Indonesia
2. Fasilitasi dan penyerasian kebijakan perencanaan kuantitas, kualitas dan
mobilitas penduduk di daerah;
3. Pelaksanaan kebijakan di bidang pengelolaan informasi administrasi
kependudukan;
4. Penyusunan norma, standar, prosedur, dan kriteria di bidang pendaftaran
penduduk, pencatatan sipil, dan pengelolaan informasi administrasi
kependudukan;
5. Pemberian bimbingan teknis dan evaluasi di bidang pendaftaran penduduk,
pencatatan sipil, pengelolaan informasi administrasi kependudukan, serta
penyerasian kebijakan perencanaan kuantitas, kualitas, dan mobilitas
penduduk; dan
6. Pelaksanaan administrasi Direktorat Jenderal Kependudukan dan Pencatatan
Sipil.
Berdasarkan Pasal 5 Undang-Undang Nomor 23 Tahun 2006, Ditjen
Kependudukan dan Pencatatan Sipil memiliki kewenangan untuk melakukan
sebagai berikut:
1. Koordinasi antarinstansi dalam urusan Administrasi Kependudukan;
2. Penetapan sistem, pedoman, dan standar pelaksanaan Administrasi
Kependudukan;
3. Sosialisasi Administrasi Kependudukan;
4. Pemberian bimbingan, supervisi, dan konsultasi
5. Pelaksanaan urusan Administrasi Kependudukan;
6. Pengelolaan dan penyajian Data Kependudukan berskala nasional; dan
7. Pencetakan, penerbitan, dan distribusi blangko Dokumen Kependudukan.
Dalam melaksakanan program flagship Dewan Teknologi, Informasi dan
Komunikasi Nasional berdasarkan Keputusan Presiden No. 20 Tahun 2006 yaitu
Nomor Identitas Nasional (NIN) pada Rencana Strategis Ditjen Kependudukan
dan Pencatatan Sipil Tahun 2010-2014, Ditjen Kependudukan dan Pencatatan
Sipil memiliki dukungan pencapaian prioritas nasional, yaitu: ”Pemberian
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
43
Universitas Indonesia
Nomor Induk Kependudukan (NIK) kepada setiap penduduk dengan
menggunakan Sistem Informasi Administrasi Kependudukan (SIAK) dan
aplikasinya untuk penerbitan KTP”. Dalam rangka pencaian prioritas nasional
tersebut telah ditetapkan rencana aksi sebagai berikut:
1. Konsolidasi data kependudukan secara nasional, berjenjang untuk
mewujudkan NIK tunggal;
2. Pemutakhiran database kependudukan kabupaten/kota;
3. Penyempurnaan aplikasi dan pemenuhan kebutuhan jaringan komunikasi,
serta sarana dan prasarana SIAK di daerah maupun Data Center
kependudukan secara online;
4. Pemantapan pengembangan SIAK dan penerapan KTP berbasis NIK secara
Nasional;
5. Mendorong Pemda Kabupaten/Kota menerapkan SIAK dalam pelayanan
administrasi kependudukan secara tersistem dan utuh;
6. Pelaksanaan perekaman biodata, foto dan sidik jari penduduk secara
terintegrasi di daerah;
7. Penyediaan SDM Pengelola SIAK dan Petugas Registrasi;
8. Kabupaten/Kota tahap pertama yang menerapkan KTP berbasis NIK
nasional;
9. Sosialisasi administrasi kependudukan secara terus menerus lepada
masyarakat.
Dalam rumusan Rencana Pembangunan Jangka Menengah Nasional (RPJMN)
Tahun 2010-2014 berisi 11 Prioritas Pembangunan Nasional, salah satunya adalah
Reformasi Birokrasi dan Tata Kelola yang di dalamnya terdapat Program
Nasional terkait Data Kependudukan yang menjelaskan bahwa Penetapan Nomor
Induk Kependudukan (NIK) dan pengembangan Sistem Informasi dan
Administrasi Kependudukan (SIAK) dengan aplikasi pertama pada kartu tanda
penduduk selambat-lambatnya pada 2011. Dalam rangka mendukung pelaksanaan
Prioritas Nasional Tahun 2010-2014, ditetapkan 13 (tiga belas) Program Strategik
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
44
Universitas Indonesia
Kementerian Dalam Negeri, salah satumya adalah Program 3: Penataan
Administrasi Kependudukan (P3). Hal ini didukung dengan Rencana Strategis
(Renstra) Ditjen Dukcapil 2010-2014 mempunyai kebijakan sebagai berikut: (1)
Menjadikan faktor kependudukan sebagai titik sentral pembangunan yang
berkelanjutan; (2) Menyelenggarakan administrasi kependudukan untuk
mendorong terakomodasinya hak-hak penduduk serta perlindungan sosial; (3)
Menciptakan sistem administrasi kependudukan melalui komitmen berbagai pihak
dan peran serta masyarakat; (4) Mengelola program dan kegiatan sesuai dengan
prinsip-prinsip good governance.
4.2 Visi dan Misi Ditjen Kependudukan dan Pencatatan Sipil
Visi Ditjen Kependudukan dan Pencatatan Sipil tertuang dalam Rencana Strategis
(Renstra), yaitu “Tertib Administrasi Kependudukan dengan Pelayanan Prima
Menuju Penduduk Berkualitas Tahun 2015”. Maksud dari visi tersebut adalah
bahwa Ditjen Dukcapil diharapkan dapat mewujudkan sebagai berikut:
1. Tertib Database Kependudukan;
a. Terbangunnya Database Kependudukan yang Akurat ditingkat
Kab/Kota, Provinsi dan Pusat;
b. Database Kependudukan Kabupaten/Kota tersambung (online) dengan
Provinsi dan Pusat menggunakan SIAK;
c. Database Kependudukan Kementerian Dalam Negeri dan Daerah
Tersambung dengan Instansi Pengguna.
2. Tertib Penerbitan NIK;
a. NIK Diterbitkan Setelah Penduduk Mengisi Biodata Penduduk Per
Keluarga (F1-01) dengan Menggunakan SIAK;
b. Tidak Ada NIK Ganda;
c. Pemberian NIK Kepada Semua Penduduk Harus Selesai Akhir Tahun
2011.
3. Tertib Dokumen Kependudukan.
a. Prosesnya Sesuai dengan Ketentuan yang Berlaku;
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
45
Universitas Indonesia
b. Tidak Adanya Dokumen Kependudukan Ganda
dan Palsu.
Untuk mewujudkan pencapaian visi yang telah ditetapkan, maka Ditjen Dukcapil
merumuskan misi, yang merupakan rumusan upaya-upaya yang dilaksanakan
selama tahun 2010-2014 sesuai dengan tugas pokok, fungsi dan kewenangannya,
serta sesuai dengan sumber daya yang dimiliki. Ditjen Dukcapil memiliki misi
sebagai berikut:
1. Memantapkan ketertiban penyelenggaraan pendaftaran penduduk dan
pencatatan sipil, serta sistem informasi administrasi kependudukan nasional
terpadu dan interaktif;
2. Menjadikan perencanaan kependudukan dan kebijakan perkembangan
kependudukan sebagai dasar pembangunan berkelanjutan nasional dan
daerah;
3. Memperkuat pranata hukum, kelembagaan, dan kepedulian masyarakat
dalam administrasi kependudukan.
Sasaran yang merupakan derivasi dari tujuan di atas, terkait tujuan yang ketiga,
terciptanya tertib administrasi kependudukan, yaitu sebagai berikut:
1. Tertib administrasi kependudukan berbasis Nomor Induk Kependudukan
(NIK) Nasional dan pelayanan dokumen kependudukan;
2. Terwujudnya pemberian NIK pada setiap penduduk;
3. Terciptanya koneksitas NIK dengan identitas kependudukan;
4. Tersedianya regulasi daerah tentang administrasi kependudukan;
5. Terwujudnya perencanaan dan keserasian kebijakan kependudukan; dan
6. Meningkatnya peran serta masyarakat dalam administrasi kependudukan.
Berdasarkan Renstra Kemdagri maka disusun pula Renstra Ditjen Dukcapil,
Kemdagri tahun 2010-2014. Sasaran yang ingin dicapai pada Renstra Ditjen
Dukcapil, Kemdagri tahun 2010-2014 yaitu sebagai berikut:
1. Tertib database kependudukan berbasis nomor induk kependudukan (NIK)
nasional dan pelayanan dokumen kependudukan;
2. Terwujudnya pemberian NIK kepada setiap penduduk;
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
46
Universitas Indonesia
3. Terwujudnya NIK sebagai dasar penerbitan dokumen kependudukan oleh
instansi terkait;
4. Terwujudnya perencanaan kependudukan dan kebijakan perkembangan
kependudukan sebagai dasar pembangunan nasional dan daerah;
5. Tersedianya pranata hukum daerah dan kelembagaan penyelenggaraan
administrasi kependudukan yang mampu mendorong penduduk taat
melaporkan dan mencatatkan peristiwa kependudukan dan peristiwa penting
yang dialaminya.
Berdasarkan Renstra Ditjen Dukcapil, Kemdagri tahun 2010-2014 maka disusun
Action Plan Grand Design Sistem Administrasi Kependudukan tahun 2009-2015
terkait Aplikasi dan Database SIAK; Infrastruktur Teknologi, Informasi dan
Komunikasi (TIK); dan NIK dan KTP Elektronik (e-KTP), sebagai berikut:
1. Aplikasi dan Database SIAK
a. Audit Aplikasi SIAK sebagai bahan penyempurnaan apllikasi SIAK
(target keberhasilan yaitu teridentifikasinya bahan penyempurnaan
aplikasi SIAK);
b. Pengembangan dan penyempurnaan modul-modul aplikasi SIAK yg
mengacu kepada UU No. 23/2006 menuju interkoneksi dan integrasi
penggunaan NIK dan Biometric (target keberhasilan yaitu tersedianya
aplikasi SIAK yang menjadi acuan standar nasional dan siap
diimplementasikan ke seluruh daerah);
c. Pengembangan Sistem Integrasi dan Konsolidasi Database dari
Kabupaten/Kota ke Provinsi hingga ke pusat (target keberhasilan yaitu
terkonsolidasinya database mulai dari jenjang wilayah Kecamatan,
Kabupaten/Kota, Provinsi hingga ke pusat));
d. Pengembangan data warehouse kependudukan (target keberhasilan yaitu
tersedianya data warehouse untuk keperluan interkoneksi antar instansi);
e. Penerapan SIAK hasil penyempurnaan dari mulai tingkat Provinsi,
Kabupaten/Kota, hingga ke Kecamatan sebagai upaya penerapan NIK
bagi seluruh penduduk dan KTP berbasis NIK Nasional (target
keberhasilan yaitu diterapkannya SIAK hasil penyempurnaan ke seluruh
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
47
Universitas Indonesia
daerah berdasarkan jenjang kewenangan (Kabupaten/Kota, Provinsi,
Pusat));
f. melaksanakan supervisi kegiatan verifikasi dan validasi data
kependudukan serta penyelenggaraan Admin. Kependudukan (target
keberhasilan yaitu terpeliharannya SIAK baik dari sisi kehandalan
aplikasi dan ketersediaan database);
g. Pengembangan Web Portal Ditjen Adminduk (target keberhasilan yaitu
tersedianya web portal Ditjen Adminduk sebagai media sosialisasi dan
komunikasi baik internal maupun eksternal);
h. Pengembangan Sistem Helpdesk penanganan keluhan SIAK (target
keberhasilan yaitu tersedinaya sistem help-desk untuk penanganan
keluhan komplain operasional SIAK);
i. Pengembangan Sistem informasi pendayagunaan data kependudukan
(target keberhasilan yaitu tersedianya sistem informasi pendayagunaan
data kependudukan untuk kebutuhan rumusan kebijakan dan
pembangunan sektor lainnya).
2. Infrastruktur TIK
a. Pengembangan dan Penyempurnaan Infrastruktur Data Center (target
keberhasilan yaitu tersedianya perangkat Data Center yang mampu
menangani transaksi database SIAK (data pribadi dan biometric
penduduk));
b. Pembangunan DRC (target keberhasilan yaitu terbangunnya DRC
sebagai alternatif operasional Data Center ketika terjadi Disaster);
c. Integrasi perangkat Jaringan dari pusat ke Daerah (target keberhasilan
yaitu terintegrasinya jaringan dari Pusat ke daerah-daerah yang
mengoperasikan SIAK);
d. Pemeliharaan Operasional DC dan DRC (target keberhasilan yaitu
terpeliharannya perangkat DC dan DRC untuk menjamin kelancaran
operasional).
3. NIK Dan KTP Elektronik (e-KTP)
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
48
Universitas Indonesia
a. Pemutakhiran Database Kependudukan (target keberhasilan yaitu
seluruh database kependudukan kabupaten/kota (497 Kabupaten/Kota)
mutakhir sesuai kondisi penduduk);
b. Konsolidasi Database Kependudukan dari Kabupaten/Kota ke Data
Center Pusat (target keberhasilan yaitu antar database kepen-dudukan
kabupaten/kota, provinasi dan nasional (DC) tersambung (online) dan
data kependudukan telah terverifikasi 1: N);
c. Pemberian NIK Kepada Penduduk (target keberhasilan yaitu seluruh
penduduk di 497 kabupaten/kota telah diberikan NIK oleh Pemerintah);
d. Penerapan e-KTP di 197 Kabupaten/Kota (target keberhasilan yaitu
seluruh penduduk wajib KTP di 197 Kabupaten/Kota telah memiliki
kartu identas penduduk berupa e-KTP);
e. Penerapan e-KTP di 300 Kabupaten/Kota (target keberhasilan yaitu
seluruh penduduk wajib KTP di 300 Kabupaten/Kota telah memiliki
kartu identas penduduk berupa e-KTP);
f. Dukungan operasional daerah dalam penerapan e-KTP (target
keberhasilan yaitu adanya dukungan operasional penerapan e-KTP
(sosialisasi, mobilisasi dan operasional penerbitan) oleh kabupaten/kota
yang bersangkutan).
4.3 Tujuan Organisasi Ditjen Dukcapil
Tujuan Direktorat Jenderal Kependudukan dan Pencatatan Sipil dari tahun 2010-
2014 dirumuskan menurut bidang hasil pokok. Tujuan masih bersifat kualitatif
dan umum, sehingga perlu dijabarkan ke dalam sasaran yang lebih spesifik dan
terukur. Berdasarkan misi Direktorat Jenderal Kependudukan dan Pencatatan Sipil
tersebut di atas, maka tujuan yang hendak dicapai adalah:
1. Mewujudkan penerapan kebijakan penyelenggaraan pendaftaran penduduk
dan pencatatan sipil secara tertib untuk mencatat perubahan status
kependudukan, menghimpun data kependudukan, dan menerbitkan
dokumen kependudukan;
2. Meningkatkan keterpaduan sistem informasi administrasi kependudukan
berbasis NIK nasional secara tertib yang mampu menyediakan informasi
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
49
Universitas Indonesia
kependudukan lengkap, akurat dan memenuhi kepentingan publik dan
pembangunan;
3. Mewujudkan perencanaan kependudukan dan kebijakan perkembangan
kependudukan sebagai dasar pembangunan nasional dan daerah yang
berorientasi kepada peningkatan kesejahteraan penduduk;
4. Mewujudkan pranata hukum dan kelembagaan penyelenggaraan
administrasi kependudukan yang kuat guna perlindungan sosial dan
penegakan hak-hak penduduk.
4.4 Struktur Organisasi Ditjen Dukcapil
Berdasarkan Permendagri No. 41 Tahun 2010 tentang Organisasi dan Tata Kerja
Kementerian Dalam Negeri, Direktorat Jenderal Kependudukan dan Pencatatan
Sipil terdiri dari:
1. Sekretariat Direktorat Jenderal;
2. Direktorat Pendaftaran Penduduk;
3. Direktorat Pencatatan Sipil;
4. Direktorat Pengelolaan Informasi Administrasi Kependudukan;
5. Direktorat Pengembangan Kebijakan Kependudukan; dan
6. Direktorat Penyerasian Kebijakan dan Perencanaan Kependudukan.
4.5 Direktorat Pengelolaan Informasi Administrasi Kependudukan
Berdasarkan Grand Design Direktorat Jenderal Kependudukan dan Pencatatan
Sipil Tahun 2010, Direktorat Pengelolaan Informasi Administrasi Kependudukan
memiliki kedudukan sebagai berikut:
1. Direktorat Pengeloaan Informasi Administrasi Kependudukan merupakan
unsur pelaksana Direktorat Jenderal Kependudukan dan Pencatatan Sipil di
bidang informasi kependudukan;
2. Direktorat Pengeloaan Informasi Administrasi Kependudukan dipimpin oleh
seorang Direktur yang berada di bawah dan bertanggungjawab kepada
Direktur Jenderal Kependudukan dan Pencatatan Sipil.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
50
Universitas Indonesia
Direktorat Pengelolaan Informasi Administrasi Kependudukan memiliki tugas
yaitu melaksanakan sebagian tugas Direktorat Jenderal di bidang informasi
kependudukan.
Dalam melaksanakan tugasnya tersebut, Direktorat Pengelolaan Informasi
Administrasi Kependudukan menyelenggarakan fungsi sebagai berikut:
1. Penyiapan perumusan kebijakan dan fasilitasi pengembangan sistem dan
teknologi informasi;
2. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan kelembagaan
sumber daya informatika;
3. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan pengolahan data
kependudukan;
4. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan pelayanan
informasi kependudukan;
5. Pelaksanaan monitoring dan evaluasi pelaksanaan program, dan
dokumentasi kebijakan informasi kependudukan; dan
6. Pelaksanaan urusan tata usaha dan rumah tangga Direktorat.
Gambar 4.1 Struktur Organisasi DPIAK
(Sumber: Grand Design Sistem Administrasi Kependudukan (SAK)
Tahun 2010-2014)
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
51 Universitas Indonesia
BAB 5
PENETAPAN KONTEKS DAN SKENARIO RISIKO TI
Dalam penerapan KTP Elektronik (e-KTP) ini jaringan komunikasi data yang
diterapkan adalah sebagai berikut:
Gambar 5.1 Jaringan Komunikasi Data Penerapan e-KTP
Penetapan konteks dan risk universe diperlukan untuk menyusun cakupan dari
aktivitas manajemen risiko TI. Sebuah risk universe menjelaskan lingkungan
risiko keseluruhan pada organisasi dan memberikan sebuah struktur untuk
mengelola risiko TI. Risk Universe mempertimbangkan keseluruhan tujuan
organisasi, proses kerja dan ketergantungan yang ada di seluruh lingkungan
organisasi. Proses kerja dalam Data Center e-KTP di Ditjen Dukcapil dibagi ke
dalam 2 (dua) besaran yaitu:
1. Proses kerja utama (Core Function); dan
2. Proses kerja pendukung (Non-Core Function/Support)
Proses kerja dalam kategori core merupakan proses kerja yang terkait dengan
fungsi utama Ditjen Dukcapil pada penerapan e-KTP di Data Center e-KTP
(proses kerja core) yaitu:
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
52
Universitas Indonesia
1. Proses penerimaan data hasil perekaman e-KTP dan pengembalian status
data dari dan ke kecamatan tempat perekaman;
2. Proses Identifikasi Ketunggalan Data; dan
3. Proses Penyimpanan Data.
Sedangkan proses kerja dalam kategori support merupakan proses kerja lainnya
yang mendukung fungsi utama Ditjen Dukcapil. Proses kerja utama yang
didukung proses TI dapat dilihat dalam Gambar 5.2.
Perekaman e-KTP di
kecamatan
Cek Kualitas Data
Mulai
PROSES DI
KECAMATANPROSES DI DATA CENTER e - KTP
Penerimaan Data Hasil Perekaman
e-KTP oleh Aplikasi MQ
Pengambilan Data dari Server MQ
oleh Aplikasi BMW
Kualitas data
bagus
Identifikasi ketunggalan dataoleh aplikasi ABIS
Kualitasdatatidak
bagus
Pengembalian datadengan kualitas tidak bagus
agar direkam ulang
Penghapusan data dengan kualitas
tidak bagus
Hasil identifikasi data baik tunggal
maupun ganda
Pengembalian status data hasil identifikasi ketunggalan data ke kecamatan tempat perekaman
oleh aplikasi BMW
Penyimpanan data oleh Aplikasi IDMS
Penyimpanan data hasil identifikasi ketunggalan data
ke aplikasi IDMS oleh aplikasi BMW
Selesai
1
2 3
4
5b5a
6
7
8
9a 9b
10
11
Gambar 5.2 Proses Kerja Utama Penerapan e-KTP di Ditjen Dukcapil
Setiap proses kerja tidak bisa dilepaskan dari penggunaan TI dan semua
penggunaan TI mengandung risiko. Untuk memudahkan dalam penetapan konteks
dan risk universe, langkah yang digunakan sebagai berikut:
5.1 Menetapkan Level dan Cakupan Aset TI
Risiko TI menurut RiskIT dibagi dalam tiga kategori yaitu: level strategis, proyek
dan operasional seperti yang sudah dijelaskan dalam landasan teori subbab 2.1.
Pada penelitian ini kategori risiko yang dipilih adalah level operasional dan
proyek. Pembatasan ini dilakukan karena operasional proses kerja saat ini sudah
berjalan dan ada beberapa proyek TI dalam pengembangan sehingga risiko
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
53
Universitas Indonesia
operasional dan proyek memiliki dampak yang lebih besar terhadap organisasi
apabila terjadi gangguan. Untuk menentukan aset TI yang menjadi obyek dari
manajemen risiko diperlukan prioritas proses kerja, mengingat banyaknya proses
kerja di Ditjen Dukcapil baik yang core maupun support dan masing-masing
memiliki kategori dampak yang berbeda-beda sehingga prioritasi proses kerja
sangat penting.
5.1.1 Penetapan Proses Kerja dan Aset TI Prioritas
Prioritas proses kerja berasal dari tingkat ketergantungan suatu organisasi
terhadap suatu proses kerja. Semakin eksistensi organisasi tersebut bergantung
kepada suatu proses kerja, maka semakin prioritas proses kerja tersebut.
Pada saat ini, seiring dengan perkembangan jaman dan teknologi, semakin vital
pula peranan TI dalam memfasilitasi keberjalanan proses kerja. Oleh karena itu,
analisis keberadaan dan keberjalanan aset TI pendukung proses kerja menjadi
suatu hal penting yang tidak terlepaskan dari analisis prioritas proses kerja pada
suatu organisasi.
Ketiga proses kerja prioritas (core) tersebut diciptakan karena berjalannya fungsi
Ditjen Dukcapil untuk identifikasi ketunggalan data penduduk sehingga terwujud
tertib administrasi kependudukan sesuai dengan amanat Undang-Undang No. 23
Tahun 2006 tentang Administrasi Kependudukan.
Oleh karena itu aset TI yang terkait dengan keberjalanan proses pengolahan
menjadi aset prioritas yang harus dijaga keberadaan dan keberjalanannya. Aset TI
yang mendukung proses kerja dan analisis ditunjukkan pada Tabel 5.1.
Tabel 5.1 Proses Kerja dan Aset TI Prioritas
Fungsi Proses Kerja
Prioritas Aset TI
1. Fungsi
penerimaan data
hasil perekaman
e-KTP dan
pengembalian
status data dari
dan ke kecamatan
1. Penerimaan data
hasil perekaman
e-KTP dan
pengembalian
status data dari
dan ke
kecamatan
1. People (SDM):
o Team Leader/Project
Manager
o Project Admin
o Team DBA
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
54
Universitas Indonesia
tempat
perekaman
2. Fungsi
identifikasi
ketunggalan data
3. Fungsi
penyimpanan data
tempat
perekaman
2. Identifikasi
Ketunggalan
Data
3. Penyimpanan
data
o Sistem Administrator
o Security Jaringan
o Helpdesk Administrator
o Sistem Analis
o Ahli Mekanikal dan Elektrikal
2. Process:
o Kebijakan/SOP Data Center
KTP Elektronik (e-KTP)
3. Technology:
o Aplikasi Message Queue (MQ)
o Aplikasi Biometric
Middleware (BMW)
o Aplikasi Automated Biometric
Identification System (ABIS)
o Aplikasi IDMS Pusat
o Sistem Operasi, Software
Analysis, Software Database,
Software Backup, dan
Software Development
o Perangkat Server
257 Perangkat keras HP Server
Blade BL 460 C
o Perangkat Jaringan
a. ProCurve dengan tipe :
ProCurve 6120G/XG Blade
Switch;
b. Perangkat core dan
Distribution Switch (Cisco
Catalyst 6500; Cisco
Firewall ASA 5020; Cisco
ACS 1120; Cisco Catalyst
4948; Cisco Catalyst 3750;
dan Cisco Nexus 5020);
c. Perangkat SAN Switch
dengan tipe : ProCurve
6120G/XG Blade Switch.
o Perangkat Storage
a. 4 Rack Storage 3Par V800;
b. 2 Rack Storage 3Par T800.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
55
Universitas Indonesia
o Perangkat Pendukung
a. Perangkat UPS (5 Module
UPS merek Vektor @ 5
Ampere);
b. Perangkat AC (AC Citec
masing-masing 10 PK);
c. Perangkat Genset (1 unit
Genset dengan kapasitas
250 KVA).
5.2 Menentukan Skenario Risiko TI
RiskIT menyediakan Generic IT Risk Scenario yang dapat digunakan sebagai titik
awal untuk analisis risiko. Berdasarkan level dan daftar aset TI prioritas yang
telah ditetapkan menjadi obyek manajemen risiko TI maka dilakukan pemetaan
skenario risiko TI yang relevan dengan level dan aset TI tersebut. Hasil pemetaan
aset TI ke High Level Generic Scenario terlihat pada Tabel 5.2.
Tabel 5.2 Hasil Pemetaan Aset TI ke Skenario Risiko TI
No. Aset TI Konteks Ancaman Skenario Risiko
1. Arsitektur TI Strategi TI
untuk core
business
Failure New Technologies
2. Sistem
Operasi,
Software
Analysis,
Software
Database,
Software
Backup, dan
Software
Development
Software
operasional
core business
Failure Ageing of application
software
3. Aplikasi MQ,
BMW, ABIS
dan IDMS
Proyek e-KTP Failure Software
Implementation
4. Proses
penerimaan
barang/jasa
Proyek e-KTP Failure Project Quality
5. Proses
Pengelolaan
Penyedia Jasa
untuk Support
Failure Selection/ performance
of third party suppliers
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
56
Universitas Indonesia
Layanan
Pihak Ketiga
Operasional
core Business
6. Server Infrastruktur Malicious Infrastructure Theft
7. Infrastruktur
TI
Infrastruktur
core business
Accidental,
Malicious
Destruction of
Infrastructure
8. Proses
pengelolaan
SDM TI
Staf TI dalam
operasional
core business
Failure IT Staff
9. SDM Keahlian staf
TI dalam
operasional
core business
Failure IT Expertise and Skills
10. Aplikasi MQ,
BMW, ABIS
dan IDMS
Aplikasi MQ,
BMW, ABIS
dan IDMS
Accidental,
Malicious
Software Integrity
11. Server,
switch, router,
LAN, Firewall
Perangkat
server core
Accidental,
Malicious
Infrastrucure
(hardware)
12. Aplikasi MQ,
BMW, ABIS
dan IDMS
Kinerja
Aplikasi MQ,
BMW, ABIS
dan IDMS
Failure Software performance
13. Server
aplikasi dan
database
Penyediaan
kapasitas
Aplikasi MQ,
BMW, ABIS
dan IDMS
Failure System capacity
14. Sistem
Operasi,
Software
Analysis,
Software
Database,
Software
Backup, dan
Software
Development
Umur
software
operasional
core business
Failure Ageing of
infrastructural
software
15. Server, laptop,
sistem
operasi,
aplikasi (MQ,
BMW, ABIS
dan IDMS),
Software
Analysis,
Software
Database,
Infrastruktur
core business
Malicious Malware
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
57
Universitas Indonesia
Software
Backup, dan
Software
Development
16. Proses
memastikan
keamanan
sistem,
arsitektur
aplikasi,
arsitektur TI
Serangan dari
internet
terhadap
sistem core
business
Malicious Logical attacks
17. SOP Data
Center e-KTP
Media
portable
Failure Information Media
18. UPS, prosedur
pengelolaan
layanan
dengan pihak
ketiga
Power Failure Utilities performance
19. Data Data hasil
perekaman e-
KTP (core
database)
Failure,
Malicious
Data(base) integrity
20. PC, aplikasi
(MQ, BMW,
ABIS dan
IDMS), sistem
database dan
data
Hak akses Malicious Logical trespassing
21. Prosedur
backup data,
SOP Data
Center e-KTP,
Sistem
Operasi,
Sistem
Database
Kegiatan
backup
Failure Operational IT errors
22. Proses
kepatuhan
terhadap
lisensi
Lisensi
software
untuk core
business
Failure,
Malicious
Contractual
Compliance
23. Infrastruktur,
SDM
Bencana alam Natural Acts of nature
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
58
Universitas Indonesia
5.3 Menentukan Parameter Probabilitas/Likelihood/Kecenderungan
Parameter Probabilitas/Likelihood/Kecenderungan yang digunakan dalam
penelitian ini sebagai berikut:
Tabel 5.3 Parameter Probabilitas/Likelihood/Kecenderungan
(Sumber: Risk Based Audit, Audit Internal Bank XYZ, 2007,
“telah diolah kembali”)
Nilai Jumlah Kejadian Per Tahun (N) Keterangan
1 N ≤ 0,1 Sangat jarang
2 0,1 < N ≤ 1 Jarang
3 1 < N ≤ 10 Kadang-kadang
4 10 < N ≤ 100 Sering
5 N > 100 Sangat sering
5.4 Menentukan Parameter Dampak
Parameter Dampak yang digunakan dalam penelitian ini sebagai berikut:
Tabel 5.4 Standar Parameter Dampak
(Sumber: Risk Based Audit, Audit Internal Bank XYZ, 2007,
“telah diolah kembali”)
Nilai Keuang-
an
Strategis Operasi-
onal
Legal Reputasi
Sangat
kecil
1 X ≤ 50
Juta
Tidak memiliki
dampak
Tidak
memiliki
dampak
Tidak memiliki
dampak
Tidak
memiliki
dampak
Kecil 2 50 Juta
< X ≤
100 Juta
Tertundanya
implementasi rencana
organisasi dalam
jangka pendek (s/d 1
tahun), namun tidak
mengubah rencana
strategis
Operasional
terganggu,
namun
dapat
diatasi
segera
dengan
sumber
daya yang
ada
Adanya
keberanian dari
pihak
stakeholder
terhadap
pelanggaran
ketentuan
perundang-
undangan
Terbentuknya
opini negatif
antar
Kelompok
Kerja,
sehingga
berdampak
hilangnya
kepercayaan
pada
organisasi
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
59
Universitas Indonesia
Sedang 3 100 Juta
< X ≤
500 Juta
Tertundanya
implementasi rencana
strategis jangka
panjang (> 1 tahun),
namun tidak
mengubah rencana
strategis
Operasional
terganggu
dan tidak
dapat
diatasi
segera
dengan
sumber
daya yang
ada, namun
tidak
terhentinya
proses
bisnis lain
Adanya surat
peringatan dari
individu/instansi
yang
berwenang,
namun tidak
menimbulkan
kerugian
signifikan
terhadap
organisasi
Terbentuknya
opini negatif
dari Pihak
Eksternal
(Pihak
Pelapor),
sehingga
berdampak
hilangnya
kepercayaan
pada internal
organisasi
Besar 4 500 Juta
< X ≤ 1
Milyar
Tertundanya
implementasi rencana
strategis, sehingga
organisasi harus
melakukan perubahan
rencana strategis
Operasional
terganggu
dan tidak
dapat
diatasi
segera
dengan
sumber
daya yang
ada,
sehingga
sebagian
proses
bisnis
lainnya
terhenti
Adanya tuntutan
hukum dari
individu
dan/atau
instansi yang
berwenang,
sehingga dapat
menimbulkan
kerugian
signifikan
terhadap
organisasi
namun tidak
sampai
menyebabkan
organisasi
terhenti
Terbentuknya
opini negatif
yang terjadi
sampai
Masyarakat
luas dan
publikasi
oleh media
massa,
sehingga
berdampak
hilangnya
kepercayaan
pada
organisasi
secara
keseluruhan
namun tidak
menyebabkan
organisasi
terhenti
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
60
Universitas Indonesia
Sangat
besar
5 X > 1
Milyar
Tidak dapat
mengimplementasikan
rencana strategis,
sehingga organisasi
gagal dalam
melaksanakan peran
dan fungsinya.
Operasional
terganggu
dan tidak
dapat
diatasi
segera,
sehingga
sebagian
besar
proses
bisnis
lainnya
terhenti
Adanya tuntutan
hukum dari
individu
dan/atau
instansi yang
berwenang
terhadap
keseluruhan
organisasi,
sehingga
menimbulkan
kerugian sangat
besar dan dapat
menyebabkan
organisasi
terhenti/dilarang
beroperasi
Terbentuknya
opini negatif
yang terjadi
sampai
dengan
masyarakat
luas dan
publikasi
oleh media
massa,
sehingga
berdampak
hilangnya
kepercayaan
dan
terhentinya
organisasi
secara
keseluruhan
5.5 Menentukan Standar Rating Risiko
Standar Rating Risiko yang digunakan dalam penelitian ini sebagai berikut:
Tabel 5.5 Matriks Risiko
(Sumber: Risk Based Audit, Audit Internal Bank XYZ, 2007,
“telah diolah kembali”)
Nilai
Kecen-
derung-
an
Nilai Dampak
Sangat
Kecil
(1)
Kecil
(2)
Sedang
(3)
Besar
(4)
Sangat
Besar
(5)
Sangat
Jarang
(1)
Rendah
(1) Rendah (2)
Menengah
Rendah
(3)
Menengah
(4)
Menengah
(5)
Jarang
(2)
Rendah
(2)
Menengah
(4)
Menengah
(6)
Menengah
(8)
Menengah
Tinggi (10)
Kadang-
kadang
(3)
Menengah
Rendah
(3)
Menengah
(6)
Menengah
(9)
Menengah
Tinggi (12) Tinggi (15)
Sering
(4)
Menengah
(4)
Menengah
(8)
Menengah
Tinggi (12) Tinggi (16) Tinggi (20)
Sangat
Sering
(5)
Menengah
(5)
Menengah
Tinggi (10) Tinggi (15) Tinggi (20) Tinggi (25)
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
61
Universitas Indonesia
Tabel 5.6 Matriks Nilai Risiko
(Sumber: Risk Based Audit, Audit Internal Bank XYZ, 2007,
“telah diolah kembali”)
Rentang rating
risiko (R)
Deskripsi
14 < R ≤ 25 Tinggi (H)
9 < R ≤ 14 Menengah Tinggi (MH)
3 < R ≤ 9 Menengah (M)
2 < R ≤ 3 Menengah Rendah (LM)
0 < R ≤ 2 Rendah (L)
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
62 Universitas Indonesia
BAB 6
PENILAIAN RISIKO
Penilaian Risiko merupakan bagian dari kegiatan proses manajemen risiko yang
mencakup keseluruhan proses dari kegiatan menganalisis risiko dan mengevaluasi
risiko. Kegiatan menganalisis risiko berupa kegiatan menggunakan informasi
yang tersedia secara sistematis untuk menentukan kemungkinan kejadian yang
terjadi yang berdampak pada organisasi. Sedangkan kajian risiko merupakan suatu
proses yang digunakan untuk menentukan prioritas risiko gangguan dengan cara
membandingkan tingkatan suatu risiko dengan standar, target ataupun kriteria
lainnya.
Maksud dari penilaian risiko adalah menentukan peristiwa dan lingkungan sekitar
yang dapat mempengaruhi suatu organisasi dan sumber dayanya, dampak
kerusakan dari peristiwa tersebut, dan pengendalian yang diperlukan untuk
mencegah atau meminimalkan dampak dari potensi kerugian. Tujuannya adalah
untuk mengetahui kontrol yang diperlukan untuk mengurangi risiko, sehingga
kemudian organisasi dapat melakukan investasi dalam pengendalian untuk
mengurangi risiko. Potensi gangguan atau bencana tersebut dapat bermacam-
macam, seperti yang alamiah oleh alam, oleh manusia (sengaja atau tidak
disengaja), risiko kerja, spesifik terkait teknologi informasi dan lain-lain.
Tujuan dari penilaian risiko dalam penggunaan TI ini adalah mendapatkan profil
risiko TI yang dapat membantu manajemen untuk mengelola risiko dari
pemanfaatan TI di organisasi.
Pada proses penilaian risiko, penulis memberikan Form kompilasi analisis risiko
TI yang diperoleh dari hasil proses penetapan konteks dapat dilihat pada Tabel 5.2
Hasil Pemetaan Aset TI ke Skenario Risiko TI dan melakukan wawancara dengan
Person In Charge (PIC) dan Kasubdit Pengelolaan Data Administrasi
Kependudukan selaku Ketua Tim Teknis Penerapan e-KTP secara langsung.
Selain wawancara, penulis juga melakukan observasi atas potensi risiko bencana
dan pengendalian yang telah diterapkan di lingkungan Data Center e-KTP.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
63
Universitas Indonesia
Pada saat ini Ditjen Dukcapil belum memiliki kerangka kerja manajemen risiko
TI, untuk penilaian risiko menggunakan acuan Kerangka Kerja RiskIT yang telah
menyediakan skenario risiko berjumlah 36 high level scenario. Dalam penelitian
ini hanya menggunakan 23 high level dengan pertimbangan relevansi dengan level
dan cakupan aset TI yang sudah ditentukan pada penetapan konteks dan risk
universe.
6.1 Metodologi Penilaian Risiko
Penilaian risiko adalah untuk menilai sejauh mana dampak dari kejadian atau
keadaan dapat mengganggu pencapaian tujuan organisasi. Besar dari dampak
diketahui dari inherent risk dan residual risk. Kemudian risiko-risiko tersebut
dianalisis dengan melihat kecenderungan atau peluang dan impact atau
consequence, serta besaran dari terealisasinya risiko. Besarnya risiko atas setiap
kegiatan organisasi merupakan perkalian antara likelihood dan consequence.
Inherent risk adalah tingkat risiko sebelum diterapkan pengendalian/kontrol
sedangkan residual risk adalah tingkat risiko setelah diterapkannya
pengendalian/kontrol. Dalam mewujudkan tujuan dari proses evaluasi risiko,
berikut adalah metodologi yang digunakan dalam penilaian risiko:
Gambar 6.1 Metodologi Penilaian Risiko
Pengisian
Form
Kompilasi
Analisis
Risiko
Validasi
Hasil
Kompilasi
Analisis
Risiko
Analisis
Hasil
Validasi
Hasil
Penilaian
Risiko
Pengisian
Template
Risiko
Aset
Informasi
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
64
Universitas Indonesia
6.2 Pengisian Template Risiko Aset Informasi
Dalam melakukan penilaian risiko digunakan Template Risiko Aset Informasi
untuk menghasilkan gambaran dampak risiko jika terjadi gangguan pada aset TI.
Pengisian Form ini melibatkan PIC yang menangani aset TI dan hasilnya
divalidasi oleh Kasubdit Pengelolaan Data Administrasi Kependudukan (PDAK)
selaku Ketua Tim Teknis Penerapan e-KTP. Tabel Template Risiko Aset
Informasi yang digunakan untuk mengumpulkan data kajian risiko secara lengkap
diberikan dalam Lampiran 1.
6.3 Pengisian Form Kompilasi Analisis Risiko
Dalam melakukan pengukuran risiko selanjutnya digunakan Form Kompilasi
Analisis Risiko untuk menghasilkan gambaran dampak risiko jika terjadi
gangguan pada aset TI. Pengisian form ini melibatkan PIC yang menangani aset
TI dan hasilnya divalidasi oleh Kasubdit Pengelolaan Data Administrasi
Kependudukan (PDAK) selaku Ketua Tim Teknis Penerapan e-KTP.
Dalam Form Kompilasi Analisis Risiko tersebut, PIC mengisi probabilitas dari isu
risiko (risk issue) aset TI yang mungkin timbul, dampak dari risk issue aset TI jika
terjadi dan efektivitas kontrol. Nilai efektivitas kontrol diperoleh dengan cara
mengukur kontrol eksisting dengan memperhatikan faktor kemudahan operasional
dan ketahanan dari ancaman. Sedangkan dampak risiko di Ditjen Dukcapil sudah
didefinisikan dalam Tabel 5.4. Setelah dilakukan pengisian probabilitas, dampak
dan efektivitas kontrol maka diketahui Nilai Risiko Dasar (NRD) atau inherent
risk dan Nilai Risiko Akhir (NRA) atau residual risk. NRD merupakan hasil
perkalian antara nilai probabilitas dan nilai dampak sedangkan NRA nilai setelah
adanya pengendalian atau efektivias kontrol. NRA dapat diperoleh dari hasil
perkalian probabilitas residual dengan dampak residual. Probabilitas residual
adalah nilai probabilitas yang tersisa setelah adanya efektivitas kontrol yang dapat
mengurangi probabilitas awal. Dampak residual adalah nilai dampak yang tersisa
setelah adanya efektivitas kontrol yang dapat mengurangi dampak awal. Tabel
Form Kompilasi Analisis Risiko yang digunakan untuk mengumpulkan data
kajian risiko secara lengkap diberikan dalam Lampiran 2.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
65
Universitas Indonesia
Form Kompilasi Analisis Risiko ini berasal dari kombinasi Tabel 5.2 Hasil
Pemetaan Aset TI ke Skenario Risiko TI pada subbab 5.2 dengan probabilitas dan
dampak yang ada.
6.4 Pengukuran Efektivitas Kontrol
Pengukuran dilakukan dengan cara memberikan Form efektivitas kontrol kepada
PIC untuk membandingkan kontrol best practices dari COBIT dengan kontrol
eksisting untuk setiap skenario risiko TI. Perbandingan tersebut memperhatikan
efektivitas desain (keberadaan kontrol) dan operasional (kemudahan penggunaan).
Dari efektivitas operasional inilah yang dijadikan sebagai ukuran untuk
menentukan seberapa besar kontrol eksisting dapat mengurangi probabilitas dan
dampak. Nilai efektivitas kontrol pada probabilitas dan dampak dalam bentuk
persentase. Hasil pengukuran efektivitas kontrol ini terdapat di Lampiran 3 Form
Pengukuran Efektivitas Kontrol sebagaimana terlampir.
6.5 Validasi Hasil Kompilasi Analisis Risiko
Setelah dilakukan pengisian form kompilasi analisis risiko oleh PIC, penulis
melakukan validasi kembali kepada PIC tersebut untuk memastikan bahwa data
yang diisikan benar kemudian setelah itu melakukan rekapitulasi dan
menyampaikan ke pimpinan TI untuk mendapatkan persetujuan.
6.6 Analisis Hasil Kompilasi Analisis Risiko
Hasil validasi kompilasi analisis risiko disesuaikan dengan tingkat risiko
organisasi yang sudah disepakati dalam draft final pedoman manajemen risiko.
Tingkat risiko yang disepakati adalah rendah, untuk itu hasil NRD dan NRA
apabila nilai risiko di atas rendah maka harus dilakukan pengendalian untuk
mendapatkan nilai risiko yang diterima organisasi. Penyesuaian tingkat risiko
dilakukan agar data tersebut lebih mewakili potensi risiko Ditjen Dukcapil.
6.7 Hasil Penilaian Risiko
Setelah melakukan evaluasi atas hasil validasi kompilasi analisis risiko, maka
dapat dilakukan penilaian risiko terhadap penggunaan TI untuk mendukung
proses kerja pelaporan dan analisis data transaksi keuangan. Penilaian tersebut
dilakukan dengan melakukan analisis atas risiko dan kecukupan pengendalian
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
66
Universitas Indonesia
yang ada. Hal tersebut untuk memastikan kecukupan pengendalian pada proses
operasional penggunaan TI.
Hal yang menjadi perhatian dalam penilaian risiko adalah mengidentifikasi
kemungkinan terjadinya gangguan (probability), tingkat kerusaakan (severity),
akibat (impact) yang dapat terjadi yang disebabkan oleh ancaman terhadap aset
TI.
6.7.1 Daftar Risiko TI
Daftar risiko TI yang dihasilkan terdiri dari 64 risk issue dengan rekapitulasi
seperti tampak pada Tabel 6.1. Daftar risiko TI secara lengkap diberikan dalam
Lampiran 2.
Tabel 6.1 Rekapitulasi Risiko Berdasarkan Aset
No. Kategori Aset Jumlah Risk issue Presentase (%)
1. Aplikasi 4 6,25
2. Fasilitas 1 1,56
3. Infrastruktur TI 14 21,88
4. Informasi/Data 7 10,94
5. Proses 36 56,25
6. SDM 2 3,13
Total 64 100%
Tabel 6.2 Rekapitulasi Risiko Berdasarkan Skenario Risiko TI
No. Skenario Risiko Jumlah Risk issue
1. New Technologies 1
2. Ageing of application
software
1
3. Software Implementation 2
4. Project Quality 1
5. Selection/performance of
third-party suppliers
1
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
67
Universitas Indonesia
6. Infrastructure theft 2
7. Destruction of
infrastructure
2
8. IT staff 2
9. IT expertise and skills 1
10. Software Integrity 4
11. Infrastructure (hardware) 5
12. Software performance 1
13. System capacity 2
14. Ageing of Infrastructural
Software
3
15. Malware 6
16. Logical attacks 4
17. Information media 3
18. Utilities performance 1
19. Data(base) integrity 4
20. Logical trespassing 6
21. Operasional IT errors 8
22. Contractual compliance 1
23. Acts of nature 3
Total 64
6.7.2 Hasil Penilaian Risiko Terhadap Inherent Risk
Berdasarkan analisis hasil validasi kompilasi analisis risiko dapat diketahui hasil
pengukuran risiko yang menggambarkan dampak risiko yang terdapat pada proses
kerja kritikal yang menggambarkan dampak risiko yang terdapat pada proses kerja
kritikal yang didukung penggunaan TI. Hasil pengukuran risiko dikelompokkan
berdasarkan kategori aset dan skenario risiko sehingga dapat diketahui kategori
risiko dasar (inherent risk) yaitu risiko yang dihitung tanpa memasukkan unsur
pengendalian yang telah diterapkan. Adapun rekapitulasi hasil penilaian risiko
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
68
Universitas Indonesia
dasar disusun berdasarkan aspek aset terlihat pada Tabel 6.3 sedangkan
berdasarkan skenario risiko terlihat pada Tabel 6.4 di bawah ini:
Tabel 6.3 Hasil Penilaian Risiko Inherent Risk Kategori Aset
No. Kategori Aset Nilai Risiko Dasar
Rendah Rendah
Menengah
Menengah Menengah
Tinggi
Tinggi
1. Aplikasi 0 0 3 1 0
2. Fasilitas 0 0 1 0 0
3. Infrastruktur
TI
2 1 9 1 1
4. Informasi/Data 1 0 6 0 0
5. Proses 5 1 29 0 1
6. SDM 0 0 1 1 0
Total 8 2 49 3 2
Tabel 6.4 Hasil Penilaian Risiko Inherent Risk Kategori Skenario Risiko
No. Skenario Risiko Nilai Risiko Dasar
Ren-
dah
Rendah
Me-
nengah
Mene-
ngah
Menengah
Tinggi
Tinggi
1. New Technologies 1
2. Ageing of application
software
1
3. Software
Implementation
2
4. Project Quality 1
5. Selection/performance
of third-party
suppliers
1
6. Infrastructure theft 1 1
7. Destruction of
infrastructure
1 1
8. IT staff 2
9. IT expertise and skills 1
10. Software Integrity 4
11. Infrastructure
(hardware)
5
12. Software performance 1
13. System capacity 1 1
14. Ageing of
infrastructural
software
1 2
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
69
Universitas Indonesia
15. Malware 6
16. Logical attacks 4
17. Information media 1 2
18. Utilities performance 1
19. Data(base) integrity 4
20. Logical trespassing 1 5
21. Operational IT errors 1 1 6
22. Contractual
Compliance
1
23. Acts of Nature 1 2
Total 5 4 53 0 2
6.7.3 Hasil Penilaian Risiko Terhadap Residual risk
Dari hasil wawancara dengan PIC, Kasubdit Pengelolaan Data Administrasi
Kependudukan (PDAK) dan pengumpulan data SOP di Direktorat Pengelolaan
Informasi Administrasi Kependudukan (PIAK), telah terdapat pengendalian
terhadap risiko-risiko yang ada, sehingga pengukuran risiko dapat dilihat dari
potensi risiko setelah dilakukannya pengendalian.
Penilaian ini diperlukan untuk melihat kecukupan pemenuhan pengendalian,
terhadap Inherent Risk sehingga risiko yang timbul dapat diminimalisasi. Setelah
dilakukan mitigasi, maka tingkat risiko tersebut dikatakan sebagai residual risk.
Setelah dilakukan pengendalian terhadap Inherent Risk, maka hasil potensi risiko
berkurang, sehingga dapat diberikan rekomendasi dari Residual risk sesuai
kategori risikonya. Dari rekomendasi atau residual risk tersebut DPIAK dapat
melakukan pengendalian terhadap risiko tersebut. Secara lebih rinci rekomendasi
pengendalian dapat dilihat pada Lampiran 2.
Adapun rekapitulasi tingkat risiko berdasarkan penilaian Residual risk terhadap
aset TI terlihat pada Tabel 6.5 sedangkan terhadap skenario risiko TI dapat dilihat
pada Tabel 6.6.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
70
Universitas Indonesia
Tabel 6.5 Hasil Penilaian Risiko Residual Risk Kategori Aset
No. Kategori
Aset
Nilai Risiko Akhir Total
Ren-
dah
Rendah
Mene-
ngah
Mene-
ngah
Mene-
ngah
Tinggi
Tinggi
1. Aplikasi 3 1 0 0 0 4
2. Fasilitas 1 0 0 0 0 1
3. Infrastruktur
TI
12 1 0 0 1 14
4. Informasi /
Data
6 1 0 0 0 7
5. Proses 32 3 0 1 0 36
6. SDM 1 1 0 0 0 2
Total 55 7 0 1 1 64
Presentase (%) 85,94 10,94 0 1,56 1,56 100
Berdasarkan Tabel 6.6 di atas mayoritas risiko TI adalah rendah yaitu 85,94% (59
risk issue) dari total risk issue (64). Rincian hasil penilaian risiko dapat dilihat
pada Lampiran I. Terdapat 5 risk issue dan 4 skenario risiko TI (Tabel 6.6) yang
perlu mendapat perhatian manajemen karena tingkat risikonya di atas ambang
batas yang dapat diterima oleh organisasi.
Tabel 6.6 Hasil Penilaian Risiko Residual Risk Kategori Skenario Risiko
No. Skenario Risiko Nilai Risiko Akhir
Ren-
dah
Rendah
Mene-
ngah
Mene-
ngah
Mene-
ngah
Tinggi
Tinggi
1. New
Technologies
1
2. Ageing of
application
software
1
3. Software
Implementation
2
4. Project Quality 1
5. Selection/perfor
mance of third-
party suppliers
1
6. Infrastructure
theft
2
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
71
Universitas Indonesia
7. Destruction of
infrastructure
1 1
8. IT staff 2
9. IT expertise and
skills
1
10. Software
Integrity
4
11. Infrastructure
(hardware)
5
12. Software
performance
1
13. System capacity 1 1
14. Ageing of
infrastructural
software
3
15. Malware 5 1
16. Logical attacks 4
17. Information
media
3
18. Utilities
performance
1
19. Data(base)
integrity
3 1
20. Logical
trespassing
6
21. Operational IT
errors
8
22. Contractual
Compliance
1
23. Acts of Nature 3
Total 59 3 0 1 1
Setelah dilakukan penilaian risiko, maka risk issue tersebut dapat disajikan dalam
risk map sebagai berikut:
1. Risk Map
Tabel 6.10 di bawah ini menampilkan distribusi risiko yang dipetakan ke
dalam grafik dua dimensi antara kecenderungan dan dampak disebut risk
map. Keterangan lebih lengkap untuk tingkat kecenderungan dan dampak
yang sudah ditetapkan oleh organisasi dapat dilihat pada sub bab 5.3 dan 5.4
pada penentuan konteks dan skenario risiko.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
72
Universitas Indonesia
Dam
pak
Sangat
besar (5)
0 4 2 0 0 6
Besar (4) 3 1 0 0 0 4
Sedang
(3)
2 11 6 0 0 19
Kecil (2) 4 17 9 1 0 31
Sangat
Kecil (1)
4 0 0 0 0 4
Total 13 33 17 1 0 64
Sangat
Jarang
(1)
Jarang
(2)
Kadang-
kadang
(3)
Sering
(4)
Sangat
Sering
(5)
Total
Probabilitas Kecenderungan
Berdasarkan risk map di atas, distribusi risk issue paling besar ada pada risk
issue yang memiliki dampak kecil yaitu sebanyak 31 risiko. Sedangkan dari
sisi kecenderungan yang paling besar adalah jarang yaitu sebanyak 33 risk
issue. Sehingga secara umum bisa dikatakan risiko masuk kategori
menengah.
2. Top IT Risks
Top IT Risks adalah risiko-risiko TI yang memiliki tingkat risiko di atas risk
appetite yang memerlukan prioritas untuk ditindaklanjuti penanganannya.
Risiko tersebut dikelompokkan ke skenario risiko TI sebagai berikut:
a. Destruction of Infrastructure
Terjadinya sabotase pada DC dan kerusakan laptop yang berisi data
sensitif dan belum adanya BCP, DRP dan DRC yang memadai, karena
yang ada saat ini hanya backup server saja.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
73
Universitas Indonesia
b. System capacity
Sistem tidak dapat menangani volume transaksi ketika jumlah pengguna
naik dan sistem tidak dapat menangani beban ketika aplikasi atau
inisiatif baru di-deploy. Misalnya terdapat penduduk yang telah
melakukan perekaman e-KTP di tempat perekaman dengan jaringan
online ke Data Center (DC) e-KTP, namun saat dicek data penduduk
yang telah merekam tersebut tidak ada di DC.
c. Malware
Intrusion malware pada laptop yang berisi data sensitif.
d. Data(base) integrity
Kesengajaan memasukkan dan memodifikasi data yang menyebabkan
ketidakakuratan data.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
74 Universitas Indonesia
BAB 7
STRATEGI DAN LANGKAH MITIGASI
Untuk melengkapi profil risiko TI organisasi, dilakukan proses mitigasi risiko TI
yang sudah dihasilkan dari proses penilaian risiko. Selanjutnya dapat dirancang
langkah mitigasi dengan melakukan pemetaan skenario risiko TI ke COBIT untuk
mendapatkan proses-proses TI yang relevan. Mitigasi risiko secara umum perlu
memperhatikan kecukupan aspek manusia, proses dan teknologi. Risiko yang
tingkat risikonya di atas batas risk appetite yang sudah ditetapkan organisasi
dilakukan langkah mitigasi. Risiko tersebut dikelompokkan ke skenario risiko TI
untuk memudahkan pemetaan ke COBIT. Skenario risiko TI yang dipetakan yaitu
destruction of infrastructure, malware, system capacity dan data(base) integrity.
Langkah mitigasi skenario risiko TI high level scenario RiskIT untuk Destruction
of Infrastructure sebagai berikut:
Essential
control
Control
reference
Control rule Langkah Mitigasi
1. Destruction of Infrastructure
Deskripsi risiko:
- Terjadinya sabotase pada DC
Ya DS12 DS12.2 Physical
Security
Measures
Manusia:
- Wajib menggunakan kartu
identitas selama berada di
lingkungan kerja;
- Kesadaran memelihara peralatan
yang tidak diberikan;
- Pelatihan SDM;
Ya DS12 DS12.3 Physical
Access
Ya DS12 DS12.5 Physical
Fasilities
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
75
Universitas Indonesia
Management
Proses:
- Membuat Standar Operasional
Prosedur Teknis tentang
Pemeliharaan Peralatan yang
komprehensif;
- Kebijakan melarang masuknya
alat dengan kemampuan merekam
dan meng-copy ke dalam wilayah-
wilayah kerja tertentu, kecuali
telah ada ijin sebelumnya;
- Kebijakan menentukan area kerja
terbatas.
Teknologi:
- Pemasangan CCTV pada Data
Center diperbanyak;
- BCP, DRP dan DRC yang
memadai (tidak hanya backup
server).
Langkah mitigasi skenario risiko TI high level scenario RiskIT untuk malware
sebagai berikut:
Essential
control
Control
reference
Control rule Langkah Mitigasi
2. Malware
Deskripsi risiko:
- Intrusion malware
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
76
Universitas Indonesia
Ya DS5 DS5.5 Security
Testing,
Surveillance
and
Monitoring
Manusia:
- Terdapat staf TI yang
bertanggung jawab atas keamanan
TI;
- Terdapat staf TI yang
bertanggung jawab atas update
patches keamanan dan virus.
Proses:
- Direktorat Pengelolaan Informasi
Administrasi Kependudukan
(PIAK) melakukan sosialisasi
kesadaran keamanan informasi;
- Direktorat Pengelolaan Informasi
Administrasi Kependudukan
(PIAK) melakukan perlindungan
terhadap kode jahat yang
didasarkan pada pendeteksian
awal, perbaikan software,
kesadaran keamanan, dan
pengendalian manajemen
perubahan dan sistem akses yang
memadai;
- Direktorat Pengelolaan Informasi
Administrasi Kependudukan
(PIAK) menetapkan petunjuk
pengelolaan dan tanggungjawab
untuk menangani antisipasi kode
jahat terhadap sistem yang
berjalan, pelatihan yang
diperlukan, pelaporan dan
Ya DS5 DS5.9 Malicious
Software
Prevention,
Detection
and
Correction
Ya PO6 PO6.3 IT Policies
Management
Ya PO6 PO6.4 Policy,
Standard
and
Procedures
Rollout
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
77
Universitas Indonesia
perbaikan dari serangan kode
jahat;
- Direktorat Pengelolaan Informasi
Administrasi Kependudukan
(PIAK) mendeteksi dan
mencegah terjadinya malicious
code yang mungkin dikirim pada
saat terjadinya komunikasi
elektronis;
- Direktorat Pengelolaan Informasi
Administrasi Kependudukan
(PIAK) melarang penggunaan
software secara ilegal di
lingkungan Ditjen Dukcapil dan
melaksanakan petunjuk untuk
perlindungan atas adanya risiko
ketika menerima file dan software
dari jaringan eksternal atau dari
perantara jaringan yang lain;
- Pemeriksaan untuk setiap file
elektronis dan media optik, dan
file yang diterima jaringan,
terhadap kode jahat sebelum
penggunaan.
Teknologi:
- Penggunaan anti virus dan anti
spam
Langkah mitigasi skenario risiko TI high level scenario RiskIT untuk
System Capacity sebagai berikut:
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
78
Universitas Indonesia
Essential
control
Control
reference
Control rule Langkah Mitigasi
3. System Capacity
Deskripsi risiko:
- Sistem tidak dapat menangani volume transaksi ketika jumlah pengguna
naik. Ketidaksengajaan melakukan modifikasi aplikasi yang menyebabkan
hasil yang tidak diharapkan
- Sistem tidak dapat menangani beban ketika aplikasi atau inisiatif baru di-
deploy
Ya DS3 DS3.1 Performance
and Capacity
Planning
Manusia:
Terdapat staf TI yang bertanggung
jawab atas perencanaan dan
monitoring
Proses:
- Kebijakan yang menetapkan
adanya capacity planning,
monitoring dan evaluasi untuk
seluruh implementasi sistem
informasi;
- Untuk setiap sistem informasi
yang dikembangkan harus
memiliki capacity plan.
Teknologi:
- Alat untuk monitoring resource.
Ya AI3 AI3.3 Infrastructure
Maintenance
Ya DS3 DS3.3 Future
Performance
and Capacity
Ya DS3 DS3.4 IT Resources
Avalilability
Ya DS3 DS3.5 Monitoring
and
Reporting
Langkah mitigasi skenario risiko TI high level scenario RiskIT untuk Data(base)
Integrity sebagai berikut:
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
79
Universitas Indonesia
Essential
control
Control
reference
Control rule Langkah Mitigasi
4. Data(base) Integrity
Deskripsi risiko:
- Kesengajaan memasukkan dan memodifikasi data yang menyebabkan
ketidakakuratan data.
Ya PO4 PO4.9 Data and
System
Ownership
Manusia:
- Terdapat staf TI yang
bertanggung jawab atas
pengelolaan database;
- Terdapat staf TI yang
bertanggung jawab atas
keamanan database;
- Menumbuhkan kesadaran untuk
menjaga integritas dan
keamanan data.
Proses:
- Direktorat PIAK berwenang
mengendalikan akses ke jaringan
data dan layanan yang ada di
jaringan data, serta untuk
menetapkan kriteria yang harus
dipenuhi untuk mengakses
jaringan data, siapa saja yang
diperbolehkan mengakses
jaringan data, serta jaringan dan
layanan jaringan apa saja yang
diperbolehkan untuk diakses;
Ya AI6 AI6.1 Change
Standards
and
Procedures
Ya DS9 DS9.3 Configuration
Integrity
Review
Ya DS11 DS11.2 Storage and
Retention
Arrangements
Ya DS11 DS11.6 Security
Requirements
for Data
Management
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
80
Universitas Indonesia
- Pemberian hak akses sesuai
kebutuhan.
- Menerapkan enkripsi pada
informasi yang sensitif/kritikal
baik selama penyimpanan
maupun pemindahan untuk
memastikan kerahasiaan;
- Menyusun SOP tentang
pelabelan dan penanganan
informasi (pemrosesan,
penyimpanan, penyebaran
sampai penghapusannya);
- Melakukan update SOP
database;
- Rotasi pegawai;
- Direktorat PIAK harus
memastikan bahwa penggunaan
jaringan selalu dipantau,
dibatasi, dan/atau dilarang untuk
tujuan tertentu, seperti
pemindahan data yang tidak ada
kaitannya dengan kegiatan
Ditjen Dukcapil, akses interaktif
dan aplikasi interaktif yang dapat
memindahkan data ke tempat
lain;
- Direktorat PIAK menempatkan
fasilitas pengolah informasi yang
menangani data yang sensitif
sedemikian rupa sehingga pada
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
81
Universitas Indonesia
saat aplikasi digunakan,
informasi yang ada di layar tidak
dapat dilihat oleh orang yang
tidak berkepentingan;
- Unit kerja yang membawahi
bidang SDM (Bagian
Kepegawaian) memastikan
bahwa seluruh pegawai Ditjen
Dukcapil menyetujui peran dan
tanggung jawab keamanan
informasi yang diberikan kepada
mereka dengan menandatangani
surat perjanjian yang
menyatakan kesanggupan
menjaga kerahasiaan dan
larangan penyingkapan untuk
jenis aset informasi yang bersifat
sensitif bagi Ditjen Dukcapil;
- Seluruh pegawai Ditjen
Dukcapil harus menandatangani
pembaruan perjanjian
kerahasiaan sebagai bagian dari
perjanjian kontrak kerja
pegawai;
- Dalam aktivitas pengembangan
dan pemeliharaan sistem
informasi unit kerja yang
membawahi bidang
Pengembangan Aplikasi Sistem
serta unit kerja pengguna dan
pemilik aplikasi harus
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
82
Universitas Indonesia
memastikan bahwa seluruh
aplikasi yang ada di Ditjen
Dukcapil telah memiliki
pengendalian memadai, yang
minimal mampu melakukan
validasi data masukan, validasi
pemrosesan, dan validasi data
keluaran.
Teknologi:
Menggunakan kode rahasia / kode
sandi / kode acak / kriptografi yang
berbeda untuk setiap aplikasi yang
berbeda.
Berdasarkan keempat langkah mitigasi risiko dari lima profil risiko di atas sangat
mendukung tugas DPIAK dalam melaksanakan tugasnya yaitu melaksanakan
sebagian tugas Direktorat Jenderal di bidang informasi kependudukan khususnya
dalam menyelenggarakan fungsi sebagai berikut:
1. Penyiapan perumusan kebijakan dan fasilitasi pengembangan sistem dan
teknologi informasi;
2. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan kelembagaan
sumber daya informatika;
3. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan pengolahan data
kependudukan;
4. Penyiapan perumusan kebijakan dan fasilitasi pelaksanaan pelayanan
informasi kependudukan.
Selain dapat mendukung tugas pokok dan fungsi, juga dapat mendukung
terwujudnya tujuan tertib administrasi kependudukan yaitu tertib database
kependudukan, penerbitan NIK dan dokumen kependudukan.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
83 Universitas Indonesia
BAB 8
KESIMPULAN DAN SARAN
Pada bab ini berisi tentang kesimpulan yang didapat dari hasil penelitian dan juga
saran mengenai penelitian ini.
8.1 Kesimpulan
Berdasarkan pembahasan yang dilakukan dari proses penilaian risiko, strategi dan
langkah mitigasi, dapat ditarik kesimpulan sebagai berikut:
1. Terdapat 64 risk issue (isu risiko) dalam penggunaan TI, yang
dikelompokkan ke dalam 23 high level skenario risiko.
2. Secara umum tingkat risiko penggunaan TI untuk mendukung proses kerja
utama Ditjen Dukcapil adalah rendah yaitu 85,94% (59 risk issue) dan
7,81% (5 risk issue dari 4 skenario RiskIT) yang tingkat risikonya di atas
batas risk appetite (risiko yang dapat diterima oleh organisasi).
3. Risiko yang paling tinggi tingkat risikonya adalah terjadinya sabotase pada
DC dengan nilai risiko 15 (tinggi) dan sistem tidak dapat menangani volume
transaksi yang besar dengan nilai risiko 11,25 (menengah tinggi).
4. Strategi untuk merespon risiko dari hasil penelitian ini 59 risk issue diterima
dan 5 risk issue dilakukan mitigasi.
5. Langkah mitigasi risiko yang dilakukan menggunakan kontrol yang ada di
COBIT dengan pendekatan kontrol pada manusia, proses dan teknologi.
6. Dengan profil risiko TI dapat dijadikan masukan atas pertimbangan bagi
manajemen dalam mengambil keputusan yang lebih baik berdasarkan
pengetahuan risiko yang dimiliki sehingga alokasi penggunaan sumber daya
lebih efisien.
7. Dengan mengetahui risiko penggunaan TI mendorong kesadaran bagi
seluruh pegawai untuk melindungi aset TI dan citra organisasi.
8. Secara lengkap profil risiko TI serta langkah mitigasinya dapat dilihat pada
Lampiran 4.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
84
Universitas Indonesia
Evaluasi dan monitoring hasil penilaian risiko ini perlu dilakukan mengingat
perkembangan teknologi informasi begitu cepat.
8.2 Saran
Beberapa saran yang dapat digunakan oleh Ditjen Dukcapil maupun peneliti
selanjutnya sebagai berikut:
1. Kerangka kerja RiskIT dapat dipertimbangkan bagi Ditjen Dukcapil untuk
melakukan pengelolaan risiko TI.
2. Penilaian risiko yang dilakukan baru sebatas aset TI yang mendukung
proses kerja utama Ditjen Dukcapil, ke depan diharapkan semua aset TI
dapat teridentifikasi risikonya.
3. Jika terdapat risiko TI baru yang disebabkan perkembangan TI, dapat
diidentifikasi dan dikategorikan berdasarkan kerangka kerja high level
scenario RiskIT. Kontrol yang didefinisikan juga dirumuskan berdasarkan
contoh yang ada dalam COBIT control practices. Hal ini agar profil risiko
TI tetap berada dalam kerangka RiskIT dan COBIT.
4. Penilaian risiko selain dilakukan oleh unit kerja internal organisasi
sebaiknya melibatkan pihak lain yang bersifat independen sehingga hasilnya
lebih obyektif.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
85
Universitas Indonesia
DAFTAR PUSTAKA
Kementerian Dalam Negeri. (2010). Rencana Strategis Direktorat Jenderal
Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri Tahun 2010-
2014. Jakarta: Kementerian Dalam Negeri.
G. Stoneburner, A. Goguen and A. Feringa. (2002). Risk Management Guide for
Information Technology System. Recommendation of National Institute of
Standards and Technology Special Publication 800-300, July, 2002.
Heidrich, Ronald Eduard. (2010). Analisa IT Risk Proile Menggunakan Kerangka
Kerja Risk IT dan Peraturan Bank Indonesia No. 9/15/PBI/2007: Studi Kasus
pada PT Bank XYZ (Persero), Tbk. Program Studi Magister Teknologi Informasi,
Fakultas Ilmu Komputer, Universitas Indonesia.
ISACA. (2009). The Risk IT Framework Excerpt. USA: ISACA.
ISACA. (2009). The Risk IT Practitioner Guide. USA: ISACA.
Mahreza Maulana, Muhammad. (2006). Pemodelan Manajemen Risiko TI untuk
Perusahaan di Negara Berkembang. Bandung: Prosiding Konferensi Nasional
Teknologi Informasi dan Komunikasi untuk Indonesia, Institut Teknologi
Bandung.
Kementerian Komunikasi dan Informatika. (2007). Permenkominfo tentang
Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional.
Jakarta: Kementerian Komunikasi dan Informatika.
Saron, Arion. (2010). Rancangan Manajemen Risiko TI Berdasarkan Keamanan
Informasi Studi Kasus PT. X. Jakarta: Program Studi Magister Teknologi
Informasi Fasilkom UI.
Spremic, M., and Popovic, M. (2008). Emerging issues in IT Governance:
Implementing the Corporate IT Risk Management Model, WSEAS Transactions in
Systems, issues 3 volume 7.
Symantec. (2007). IT Risk Management Report volume 1.
The IT Governance Institute. (2005). COBIT 4.0. USA: The IT Governance
Institute.
Tri Wibowo, Cahyono. (2006). Kajian Manajemen Risiko TI Berdasarkan
Penerapan COBIT Framework dan ISO 27001 : Studi Kasus Pusat Sistem
Informasi dan Teknologi Keuangan, Departemen Keuangan RI. Jakarta: Program
Studi Magister Teknologi Informasi Fasilkom UI.
Westerman, George and Richard Hunter. (2007). IT Risk: Turning Business
Threats Into Competitive Advantage. Harvard Business School Press.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
86
Universitas Indonesia
Yok Christiyono. (2011). Penilaian Risiko dan Analisa Profil Risiko TI
Menggunakan Kerangka Kerja RiskIT: Studi Kasus PT . Bank ABC (Persero),
Tbk. Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI.
Yuliansyah Al’Rasyid. (2009). Analisa dan Kajian Model Kerangka Kerja
Manajemen Risiko Teknologi Informasi: Studi Kasus pada PT. Rajawali
Nusantara Indonesia. Jakarta: Program Studi Magister Teknologi Informasi
Fasilkom UI.
Hadi Purnomo, Bambang. (2012). Evaluasi Pengelolaan Risiko TI pada Instansi
Pemerintah: Studi Kasus Pusat Pelaporan dan Analisis Transaksi Keuangan
(PPATK). Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI.
Ardhana. (2008). Metode Penelitian Studi Kasus. Internet: http://ardhana12.
wordpress.com/2008/02/08/metode-penelitian-studi-kasus.
Republik Indonesia. (2006). Undang-Undang Nomor 23 Tahun
2006 tentang Administrasi Kependudukan. Jakarta, Indonesia, Setneg.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
87
Universitas Indonesia
Lampiran 1 : Template Risiko Aset Informasi
MANAJEMEN RISIKO TEKNOLOGI INFORMASI
No.
Aset
Infor-
masi
Penanggung
Jawab Aset Risiko
Kerawanan
terhadap Aset
(Vulnerabilities)
Inherent
Kontrol
yang
Ada
Residual Ni-
lai
Ri-
siko
Ha-
rap-
an
Stra-
tegi
Miti-
gasi
Rencana
Kerja
Target
Penye-
lesaian
Ancaman
Dam-
pak
Ke-
cen-
de-
rung-
an
Nilai
Ri-
siko
Da-
sar
Dam-
pak
Ke-
cen-
de-
rung-
an
Nilai
Risiko
Akhir
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
Manusia
1 Team
Lead-
er /
Pro-
ject
Mana-
ger
Subdit
PDAK
Confidentiality
Availability
• Tidak mampu
memimpin dan
mengkoordina-
sikan kepada
bawahan terkait
kegiatan
penyelesaian
proyek
perusahaan
• Kurang Teliti
• Kesalahan
kebijakan dalam
penyelesaian
masalah
aplikasi
• Kebijakan
Sharing
Password
komponen TI
• Tidak ada
• Kualitas data
hasil
perekaman
yang diterima di
DC kurang baik
• Proses
penerimaan
data,
identifikasi
ketunggalan
data dan
penyajian data
menjadi lambat
• Terjadi
kebocoran data
Se-
dang
(3)
Se-
ring
(4)
Me-
ne-
ngah
Ting-
gi
(12)
• Sudah
ada
pemba-
gian
peran
dan
tanggung
jawab
• Sudah
ada
penya-
ringan
dan
(screen-
ing)
terhadap
pihak
ketiga
melalui
proses
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Rendah
(2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
•
Memastikan
bahwa audit
internal
SMKI
dilaksana-
kan
•
Segera
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
88
Universitas Indonesia
kebijakan clear
desk dan clear
screen
• Adanya
kebijakan yang
cenderung
menyebabkan
adanya
kerawanan
misalnya
anggota
memiliki
motivasi untuk
menyalahguna-
kan data
• Jarang
dilakukan
rolling pegawai
penye-
diaan
barang /
jasa
(lelang)
pemerin-
tah
Melaksana-
kan kajian
manajemen
SMKI
• Change
Manage-
ment
• Lakukan
Inspeksi
internal
terhadap
pegawai
outsourcing
•
Pengawasan
dari auditor
eksternal
terkait
penerapan
manajemen
risiko
keamanan
informasi.
•
Bersertifikat
CISM,
CISSP
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
89
Universitas Indonesia
2 Pro-
ject
Ad-
min
Subdit
PDAK
Confidentiality
Availability
• Tidak mampu
memelihara
dokumen proyek
• Tidak mampu
membuat Time
Schedule dan
Material
Schedule
sehingga
kebijakan terkait
keamanan
informasi
tumpang tindih
dan kurang
tepat
• Terjadi
kebocoran data
Se-
dang
(3)
Ja-
rang
(2)
Me-
ne-
ngah
(6)
Dokumen
(salah
satu
unsur di
dalam-
nya
adalah
keaman-
an
informasi
) sudah
disetujui
oleh
manaje-
men, dan
dipubli-
kasikan
serta
dikomu-
nikasikan
kepada
semua
pekerja
dan
pihak-
pihak
luar
terkait
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Rendah
(2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
•
Pengendali-
an dokumen
•
Pengendali-
an rekaman
• Lakukan
Inspeksi
internal
terhadap
pegawai
outsourcing
•
Pengawasan
dari auditor
eksternal
terkait
penerapan
manajemen
risiko
keamanan
informasi
•
Bersertifikat
CISM,
CISSP
Segera
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
90
Universitas Indonesia
3 Team
Data-
base
Ad-
minis-
trator
(DBA)
Subdit
PDAK
Confidentiality
Integrity
Availability
• Tidak mampu
melaksanakan
operasionalisasi
administrasi
database pada
server database,
meliputi:
- Melakukan
administrasi
untuk sistem
database e-KTP;
- Secara rutin
memonitor,
memeriksa dan
mencatat kondisi
database;
- Melakukan
troubleshoot
untuk setiap
incident yang
ditemukan dan
meng-eskalasi
problem kepada
principals
apabila tidak
bisa
diselesaikan;
- Melakukan
tugas
administrasi
untuk
penerimaan data
rekaman e-KTP
dan melakukan
proses offline
data;
• Kualitas data
hasil
perekaman
yang diterima di
DC kurang baik
• Proses
penerimaan
data,
identifikasi
ketunggalan
data dan
penyajian data
menjadi lambat
• Terjadi
kebocoran data
Se-
dang
(3)
Se-
ring
(4)
Me-
ne-
ngah
Ting-
gi
(12)
• Sudah
ada
pembagi
an peran
dan
tanggung
jawab
• Sudah
ada
penya-
ringan
dan
(screen-
ing)
terhadap
pihak
ketiga
melalui
proses
penyedia
an
barang
/jasa
(lelang)
pemerin-
tah
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Rendah
(2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
• Kebijakan
untuk tidak
membawa
barang
apapun
ketika masuk
area
pekerjaan.
• Adanya
pemeriksaan
ketika keluar
dan masuk
area
pekerjaan
• Seragam
standar,
tanpa saku
• Rolling
pegawai
diatur oleh
manajemen
dan
diketahui
oleh Subdit
Segera
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
91
Universitas Indonesia
- Memonitor
Aliran data dari
lokasi ke DC-
MMU dan
melaporkan
perkembangann
ya.
• Kesalahan
dalam
penyelesaian
masalah
database
• Sharing
Password
komponen TI
• Tidak ada
kebijakan clear
desk dan clear
screen
• Adanya
motivasi untuk
menyalahguna-
kan data
PDAK.
• Adanya
Role Author-
ization
•
Penghapus-
an hak akses
kepada
pegawai
ketika
pekerjaan
berakhir
• Adanya
sanksi
terkait
operator
yang
melakukan
sharing
password
• Lakukan
Inspeksi
internal
terhadap
pegawai
outsourcing
•
Pengawasan
dari auditor
eksternal
terkait
penerapan
manajemen
risiko
keamanan
informasi
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
92
Universitas Indonesia
•
Bersertifikat
CISM,
CISSP
4 Sistem
Ad-
minis-
trator
(S-
Adm)
Subdit
PDAK
Confidentiality
Availability
• Tidak mampu
melakukan
pengadministra-
sian sistem
perangkat DC e-
KTP, meliputi:
- Melakukan
tugas sistem
administrator
untuk semua
perangkat
server, storage,
tape dan
network;
- Melakukan
troubleshoot
terhadap
perangkat (HW
& SW)
bermasalah
dengan bekerja
sama dengan
principal-nya;
- Menginisiasi
untuk melakukan
backup dan
memonitor
aktivitas baik
• Kualitas data
hasil
perekaman
yang diterima di
DC kurang baik
• Proses
penerimaan
data,
identifikasi
ketunggalan
data dan
penyajian data
menjadi lambat
• Terjadi
kebocoran data
Se-
dang
(3)
Ja-
rang
(2)
Me-
ne-
ngah
(6)
• Sudah
ada
pemba-
gian
peran
dan
tanggung
jawab
• Sudah
ada
penya-
ringan
dan
(screen-
ing)
terhadap
pihak
ketiga
melalui
proses
penye-
diaan
barang
/jasa
(lelang)
pemerin-
tah
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Ren-
dah (2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
• melakukan
log audit
•
pemantauan
penggunaan
sistem
•
perlindung-
an informasi
log
• log
administra-
tor dan
operator
• log atas
kesalahan
Segera
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
93
Universitas Indonesia
konfigurasi dan
data.
•Tidak mampu
melakukan
monitoring
sistem Data
Center,
meliputi:
- Memonitor
kinerja seluruh
sistem yang ada
di Data Center
seperti
perangkat
server,
perangkat
jaringan, san
storage, AC,
UPS, listrik dan
genset;
- Memonitor,
memeriksa dan
mencatat semua
perangkat
server, storage,
tape, network
dan perangkat
pendukung
seperti AC, UPS
dan genset di
Data Center;
- Melakukan
pengecekan dan
mencatat-nya
secara rutin AC,
UPS, Genset
yang terjadi
(fault
logging)
•
sinkronisasi
penunjuk
waktu
• Analisis
dan
spesifikasi
persyaratan
keamanan
•
Penggunaan
informasi
secara
sistematik
untuk
mengidenti-
fikasi
sumber dan
untuk
memperki-
rakan risiko
• Lakukan
Inspeksi
internal
terhadap
pegawai
outsourcing
•
Pengawasan
dari auditor
eksternal
terkait
penerapan
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
94
Universitas Indonesia
dan ME lainnya
yang ada di
Data Center
serta mem-
follow up
apabila
ditemukan
incident pada
peralatan
tersebut.
manajemen
risiko
keamanan
informasi
•
Bersertifikat
CISM,
CISSP
5 Secu-
rity Ja-
ringan
Subdit
PDAK
Confidentiality
Availability
Tidak mampu
memastikan
fungsi peralatan
jaringan,
meliputi:
- Memastikan
fungsi jaringan
LAN, WAN dan
internet Data
Center;
- Melakukan
troubleshoot
untuk setiap
incident yang
terjadi;
- Melakukan
update
konfigurasi
sesuai
kebutuhan.
• Kualitas data
hasil
perekaman
yang diterima di
DC kurang baik
• Proses
penerimaan
data,
identifikasi
ketunggalan
data dan
penyajian data
menjadi lambat
• Terjadi
kebocoran data
Se-
dang
(3)
Ja-
rang
(2)
Me-
ne-
ngah
(6)
• Oten-
tikasi
penggun
a untuk
koneksi
ekstenal
•
Identifika
si
peralatan
dalam
jaringan
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Ren-
dah (2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
• Kebijakan
penggunaan
layanan
jaringan
•
Perlindung-
an terhadap
remote
diagnostic
dan
configura-
tion port
• Segregasi
dalam
Segera
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
95
Universitas Indonesia
jaringan
•
Pengendali-
an koneksi
jaringan
•
Pengendali-
an routing
jaringan
• Keamanan
layanan
jaringan
6 Help-
desk
Ad-
minis-
trator
Subdit
PDAK
Confidentiality
Availability
• Tidak mampu
memberikan
informasi yang
sebenarnya
kepada Admin
terkait
permintaan
pemohon yang
disetujuti oleh
manajemen
• Tidak mampu
memberikan
informasi yang
sebenarnya
tentang status
permintaan ke
pemohon
• Informasi
yang diberikan
menjadi bias
Se-
dang
(3)
Ja-
rang
(2)
Me-
ne-
ngah
(6)
• Sudah
ada
pemba-
gian
peran
dan
tanggung
jawab
• Sudah
ada
penya-
ringan
dan
(screen-
ing)
terhadap
pihak
ketiga
melalui
proses
penye-
diaan
barang/
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Ren-
dah (2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
Segera
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
96
Universitas Indonesia
jasa
(lelang)
pemerin-
tah
7 Sistem
Analis
Subdit
PDAK
Confidentiality
Availability
• Tidak mampu
melakukan
pengadministras
ian sistem
perangkat DC e-
KTP, meliputi:
- Melakukan
tugas sistem
administrator
untuk semua
perangkat
server, storage,
tape dan
network;-
Melakukan
troubleshoot
terhadap
perangkat (HW
& SW)
bermasalah
dengan bekerja
sama dengan
principal-nya;-
Meng-inisiasi
untuk melakukan
backup dan
memonitor
aktivitas baik
konfigurasi dan
data.
•Tidak mampu
melakukan
• Kualitas data
hasil
perekaman
yang diterima di
DC kurang baik
• Proses
penerimaan
data,
identifikasi
ketunggalan
data dan
penajian data
menjadi lambat
• Terjadi
kebocoran data
Se-
dang
(3)
Ja-
rang
(2)
Me-
ne-
ngah
(6)
• Sudah
ada
pembagi-
an peran
dan
tanggung
jawab
• Sudah
ada
penya-
ringan
dan
(screen-
ing)
terhadap
pihak
ketiga
melalui
proses
penye-
diaan
barang /
jasa
(lelang)
pemerin-
tah
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Rendah
(2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
• melakukan
log audit
•
pemantauan
penggunaan
sistem
•
perlindung-
an informasi
log
• log
administra-
tor dan
operator
• log atas
kesalahan
yang terjadi
(fault
logging)
•
Segera
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
97
Universitas Indonesia
monitoring
sistem Data
Center,
meliputi:
- Memonitor
kinerja seluruh
sistem yang ada
di Data Center
seperti
perangkat
server,
perangkat
jaringan, san
storage, AC,
UPS, listrik dan
genset;
- Memonitor,
memeriksa dan
mencatat semua
perangkat
server, storage,
tape, network
dan perangkat
pendukung
seperti AC, UPS
dan genset di
Data Center;
- Melakukan
pengecekan dan
mencatat-nya
secara rutin AC,
UPS, Genset
dan ME lainnya
yang ada di
Data Center
serta mem-
sinkronisasi
penunjuk
waktu
• Analisis
dan
spesifikasi
persyaratan
keamanan
•
Penggunaan
informasi
secara
sistematik
untuk
mengidenti-
fikasi
sumber dan
untuk
memperki-
rakan risiko
• manajemen
kapasitas
• Lakukan
Inspeksi
internal
terhadap
pegawai
outsourcing
•
Pengawasan
dari auditor
eksternal
terkait
penerapan
manajemen
risiko
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
98
Universitas Indonesia
follow up
apabila
ditemukan
incident pada
peralatan
tersebut.
keamanan
informasi
.•
Bersertifikat
CISM,
CISSP
8 Ahli
Meka-
nikal
dan
Elek-
trikal
Subdit
PDAK
Confidentiality
Availability
• Tidak mampu
menyelesaikan
permasalahan
terkait
kelistrikan
secara cepat
• Tidak mampu
menjaga suhu
ruangan DC
karena AC
kurang dingin
yang sering mati
• Proses
penerimaan
data,
identifikasi
ketunggalan
data dan
penajian data
menjadi lambat
Se-
dang
(3)
Ja-
rang
(2)
Me-
ne-
ngah
(6)
• Sudah
ada
pembagi
an peran
dan
tanggung
jawab
• Sudah
ada
penya-
ringan
dan
(screen-
ing)
terhadap
pihak
ketiga
melalui
proses
penye-
diaan
barang
/jasa
(lelang)
pemerin
tah
• pemeli-
haraan
peralatan
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Rendah
(2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
•
penempatan
dan
perlindung-
an peralatan
• peralatan
harus
dilindungi
dari
kegagalan
catu daya
dan
gangguan
lain yang
disebabkan
oleh
kegagalan
sarana
Segera
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
99
Universitas Indonesia
pendukung
• keamanan
kabel
Proses
9 Proses
Pene-
rima-
an
data
hasil
pere-
kaman
e-KTP
dan
pe-
ngem-
balian
status
data
dari
dan ke
keca-
matan
tempat
pere-
kaman
Subdit
PDAK
Confidentiality
Integrity
Availability
• Sistem pada
DC yang tidak
mampu
menerima data
hasil perekaman
e-KTP di
kecamatan
secara online
dalam jumlah
yang besar
• Adanya
koneksi jaringan
yang lemah
(bandwidth
kecil)
• Kurangnya
pengetahuan
kemampuan tim
dalam
menangani
masalah
• Tidak adanya
prosedur baku
dalam
menangani
masalah
aplikasi
• Tidak
melakukan
dokumentasi
dalam
• Kehilangan
data perekaman
yang
seharusnya
masuk secara
online, sehingga
data tidak
lengkap
• Proses
penerimaan
data berjalan
lambat
• Tidak
diketahui proses
penanganan
yang tepat
dalam
mengatasi
masalah
Se-
dang
(3)
Sa-
ngat
Se-
ring
(5)
Ting-
gi
(15)
•
validasi
data
masukan
•
pengen-
dalian
pengo-
lahan
internal
•
integritas
pesan
•
validasi
data
keluaran
•
kebijakan
tentang
penggun
aan
pengen-
dalian
kripto-
grafi
•
manajem
en kunci
Se-
dang
(3)
Sa-
ngat
Se-
ring
(5)
Tinggi
(15)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
•
pengendali-
an
perangkat
lunak yang
operasional
•
pengendali-
an akses
terhadap
kode sumber
program
• prosedur
pengendali-
an
perubahan
• manajemen
kapasitas
• BCP, DRP
2014
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
100
Universitas Indonesia
menyelesaikan
masalah
dan DRC
10 Proses
Identi-
fikasi
Ke-
tung-
galan
Data
Subdit
PDAK
Confidentiality
Integrity
Availability
• Sistem masih
mencatat ganda
oleh data yang
seharusnya
tunggal, karena
adanya
penduduk yang
menggunakan
contact lens,
sidik jari yang
kotor atau
halus, dan lain-
lain
• Adanya
koneksi jaringan
yang lemah
(bandwidth
kecil)
• Kurangnya
pengetahuan
kemampuan tim
dalam
menangani
masalah
• Tidak adanya
prosedur baku
dalam
menangani
masalah
aplikasi
• Tidak
melakukan
dokumentasi
dalam
• Terdapat
penduduk yang
teridentifikasi
ganda oleh
sistem, padahal
jika dilihat
secara kasat
mata penduduk
tersebut tunggal
• Proses
identifikasi
ketunggalan
data berjalan
lambat
• Tidak
diketahui proses
penanganan
yang tepat
dalam
mengatasi
masalah
Se-
dang
(3)
Sa-
ngat
Se-
ring
(5)
Ting-
gi
(15)
•
validasi
data
masukan
•
pengen-
dalian
pengo-
lahan
internal
•
integritas
pesan
•
validasi
data
keluaran
•
kebijakan
tentang
peng-
gunaan
pengen-
dalian
kripto-
grafi
•
manaje-
men
kunci
Se-
dang
(3)
Sa-
ngat
Se-
ring
(5)
Tinggi
(15)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
•
pengendali-
an
perangkat
lunak yang
operasional
•
pengendali-
an akses
terhadap
kode sumber
program
• prosedur
pengendali-
an
perubahan
• manajemen
kapasitas
• BCP, DRP
dan DRC
2014
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
101
Universitas Indonesia
menyelesaikan
masalah
11 Proses
Pe-
nyim-
panan
data
Subdit
PDAK
Confidentiality
Integrity
Availability
• Kegagalan
penyimpanan
data
• Storage Rusak
• Rusaknya
hasil
penyimpanan
data
• Hilangnya
data yang
tersimpan
dalam sistem
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Ren-
dah
(2)
• Perlu
adanya
manaje-
men
kapasitas
terkait
media
penyim-
panan
data
• Perlu
adanya
prosedur
dan
penjad-
walan
terkait
penyim-
panan
data
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Rendah
(2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
• BCP, DRP
dan DRC
Segera
Teknologi
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
102
Universitas Indonesia
12 Apli-
kasi
Mes-
sage
Queue
(MQ)
Subdit
PDAK
Confidentiality
Integrity
Availability
• Terdapat error
pada saat
penerimaan data
• Tidak ada
dokumentasi
terhadap source
code aplikasi
• Proses
penerimaan
data terhambat
saat jumlah
perekaman
sangat besar
• Proses
Troubleshooting
aplikasi
terhambat
Se-
dang
(3)
Sa-
ngat
Se-
ring
(5)
Ting-
gi
(15)
• Adanya
Role
Author-
ization
• Adanya
prosedur
yang
mewajib-
kan
doku-
mentasi
error
terhadap
setiap
masalah
yang
dihadapi
dan cara
penyele-
saiannya.
• Perlu
diminta-
nya
doku-
mentasi
source
code dari
vendor
aplikasi
Se-
dang
(3)
Sa-
ngat
Se-
ring
(5)
Tinggi
(15)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
• Pembuatan
aplikasi
yang
menyimpan
log error
dan solusi
penyelesai-
annya
•
Manajemen
kapasitas
• BCP, DRP
dan DRC
2014
13 Apli-
kasi
Auto-
mated
Bio-
metric
Iden-
Subdit
PDAK
Confidentiality
Integrity
Availability
• Terdapat error
pada saat
identifikasi
ketunggalan
data
• Tidak ada
dokumentasi
• Proses
penerimaan
data terhambat
• Proses
Troubleshooting
aplikasi
terhambat
Se-
dang
(3)
Sa-
ngat
Se-
ring
(5)
Ting-
gi
(15)
• Adanya
Role
Author-
ization
• Adanya
prosedur
yang
Se-
dang
(3)
Sa-
ngat
Se-
ring
(5)
Tinggi
(15)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
2014
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
103
Universitas Indonesia
tifica-
tion
Sys-
tem
(ABIS)
terhadap source
code aplikasi
mewajib-
kan
doku-
mentasi
error
terhadap
setiap
masalah
yang
dihadapi
dan cara
penyele-
saiannya.
• Perlu
diminta-
nya
doku-
mentasi
source
code dari
vendor
aplikasi
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
• Pembuatan
aplikasi
yang
menyimpan
log error
dan solusi
penyelesai-
annya
•
Manajemen
kapasitas
• BCP, DRP
dan DRC
14 Apli-
kasi
Bio-
metric
Mid-
dle-
ware
(BMW
)
Subdit
PDAK
Confidentiality
Integrity
Availability
• Terdapat error
pada saat
sebagai berikut:
- mengambil
data dari
aplikasi MQ
- selanjutnya
data tersebut
dikirimkan ke
aplikasi ABIS
untuk dilakukan
proses
identifikasi
ketunggalan
• Proses
penerimaan
data terhambat
• Proses
Troubleshooting
aplikasi
terhambat
Se-
dang
(3)
Sa-
ngat
Se-
ring
(5)
Ting-
gi
(15)
• Adanya
Role
Author-
ization
• Adanya
prosedur
yang
mewajib-
kan
doku-
mentasi
error
terhadap
setiap
Se-
dang
(3)
Sa-
ngat
Se-
ring
(5)
Tinggi
(15)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
• Pembuatan
aplikasi
2014
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
104
Universitas Indonesia
- Setelah
aplikasi ABIS
memberikan
hasil status
tunggal ataupun
ganda terhadap
data tersebut,
maka aplikasi
BMW
mengirimkan
data tersebut ke
aplikasi IDMS
Pusat untuk
disimpan di
dalam database
dan secara
bersamaan
aplikasi BMW
mengirimkan
status notifikasi
tunggal/ganda
ke daerah
melalui aplikasi
MQ
• Tidak ada
dokumentasi
terhadap source
code aplikasi
masalah
yang
dihadapi
dan cara
penyele-
saiannya.
• Perlu
diminta-
nya
doku-
mentasi
source
code dari
vendor
aplikasi
yang
menyimpan
log error
dan solusi
penyelesai-
annya
•
Manajemen
kapasitas
• BCP, DRP
dan DRC
15 Apli-
kasi
IDMS
Subdit
PDAK
Confidentiality
Integrity
Availability
• Terdapat error
pada saat
penyimpanan
data
• Tidak ada
dokumentasi
terhadap source
code aplikasi
• Proses
penyimpanan
data terhambat
• Data tidak
sesuai dengan
yang
seharusnya
• Proses
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Ren-
dah
(2)
• Adanya
Role
Author-
ization
• Adanya
prosedur
yang
mewajib-
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Rendah
(2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
2014
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
105
Universitas Indonesia
Troubleshooting
aplikasi
terhambat
kan
doku-
mentasi
error
terhadap
setiap
masalah
yang
dihadapi
dan cara
penyele-
saiannya.
• Perlu
diminta-
nya
doku-
mentasi
source
code dari
vendor
aplikasi
Manajemen
Keamanan
Informasi
(SMKI)
• Pembuatan
aplikasi
yang
menyimpan
log error
dan solusi
penyelesai-
annya
• BCP, DRP
dan DRC
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
106
Universitas Indonesia
16 Data-
base e-
KTP
Subdit
PDAK
Confidentiality
Integrity
Availability
• Adanya port
yang dibuka
untuk
komunikasi data
• Sharing
Password
• Hacker
• Virus
• Orang yang
tidak
berwenang
Se-
dang
(3)
Ja-
rang
(2)
Me-
ne-
ngah
(6)
• CCTV
•
Manaje-
men
Akses ke
dalam
database
Server
(Remote
Access)
•
Firewall,
Anti
Virus
• Adanya
back up
data dan
dokumen
• Adanya
Role
Author-
ization
• Perlu
adanya
prosedur
enkripsi
terhadap
data
yang
telah
selesai
diolah
pada
database.
• Adanya
prosedur
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Ren-
dah (2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
• Finger-
print di
setiap akses
ruangan
• Pembelian
aplikasi
yang dapat
mengelola
server
(kapasitas
dan
majemen
port)
(Orion)
2014
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
107
Universitas Indonesia
mana-
jemen
port
• Adanya
sanksi
yang
tinggi
apabila
melaku-
kan
peman-
faatan,
pembo-
coran
data, dan
sharing
password
kepada
pihak
yang
tidak
berwe-
nang
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
108
Universitas Indonesia
17 Pe-
rang-
kat
Server
Subdit
PDAK
Confidentiality
Availability
• Adanya port
yang dibuka
untuk
komunikasi data
• Tidak ada
manajemen
kapasitas
• Server tidak
dapat diakses
• Penyusupan
sistem
• Data tidak
sesuai dengan
yang
seharusnya
• Data dicuri,
hilang dan
rusak
• Server
berjalan lambat
Se-
dang
(3)
Sa-
ngat
Se-
ring
(5)
Ting-
gi
(15)
• Adanya
CCTV
• Mana-
jemen
Akses ke
dalam
Server
(dapat
dilaku-
kan
Remote
Access)
•
Firewall,
Anti
Virus
• Adanya
back up
data dan
dokumen
• Adanya
Role
Author-
ization
•
Melaku-
kan
inventa-
risasi
peralatan
TI secara
rutin
untuk
meng-
hindari
hilang-
Se-
dang
(3)
Sa-
ngat
Se-
ring
(5)
Tinggi
(15)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
•
Fingerprint
di setiap
akses
ruangan
• Pembelian
aplikasi
yang dapat
mengelola
server
(kapasitas
dan
majemen
port)
(Orion)
• BCP, DRP
dan DRC
2014
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
109
Universitas Indonesia
nya
barang
inventa-
ris TI
•
Melaku-
kan
update
antivirus
dan
scanning
virus
secara
berkala
• Perlu
adanya
Manaje-
men
Kapasi-
tas
server
• Adanya
prosedur
mana-
jemen
port
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
110
Universitas Indonesia
18 Pe-
rang-
kat Ja-
ringan
Komu-
nikasi
Subdit
PDAK
Confidentiality
Integrity
Availability
• Adanya port
yang dibuka
untuk
komunikasi data
• Tidak ada
manajemen
kapasitas
• Pencurian dan
perubahan data
• Penyusupan
sistem
• Jaringan
komunikasi
lambat atau
tidak bisa
diakses sama
sekali
Se-
dang
(3)
Ja-
rang
(2)
Me-
ne-
ngah
(6)
• Adanya
CCTV
• Mana-
jemen
Akses ke
dalam
core
Switch
(Remote
Access)
•
Firewall,
Anti
Virus
• Adanya
back up
konfigu-
rasi
• Adanya
Role
Author-
ization
• Adanya
prosedur
manaje-
men port
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Ren-
dah (2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
•
Fingerprint
di setiap
akses
ruangan
• Pembelian
aplikasi
yang dapat
mengelola
server
(kapasitas
dan
majemen
port)
(Orion)
• Penambah-
an kapasitas
bandwidth
2014
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
111
Universitas Indonesia
19 Pe-
rang-
kat
Sto-
rage
Subdit
PDAK
Confidentiality
Availability
• Tidak ada
manajemen
kapasitas
• Tidak ada
pemantauan
(monitoring)
penggunaan
fasilitas
teknologi,
informasi dan
komunikasi
(TIK) secara
komprehensif
• Data tidak
sesuai dengan
yang
seharusnya
• Data dicuri,
hilang dan
rusak
• Kapasitas
memory tidak
mencukupi
• Storage
rusak/crash
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Ren-
dah
(2)
• Perlu
adanya
ma-
najemen
kapasitas
terkait
media
penyim-
panan
data
• Perlu
adanya
prosedur
dan
penjad-
walan
terkait
penyim-
panan
data
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Rendah
(2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
• Penambah-
an Storage
baru
2014
20 Pe-
rang-
kat
Pen-
du-
kung
(UPS,
AC
dan
lain-
lain)
Subdit
PDAK
Availability • Kurangnya
pemeliharaan
sarana
pendukung
• Tidak ada
manajemen
kapasitas
• Ruangan
menjadi kurang
dingin
menyebabkan
proses menjadi
lambat
• Kondisi
software dan
hardware
menjadi cepat
rusak
• Listrik mati
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Ren-
dah
(2)
• Perlu
adanya
manaje-
men
kapasitas
terkait
perang-
kat
pendu-
kung
Kecil
(2)
Sa-
ngat
Ja-
rang
(1)
Ren-
dah (2)
Ren-
dah
Ken-
da-
likan
Ri-
siko-
Ac-
cept
•
Penyusunan
SOP Data
Center KTP
Elektronik
khususnya
terkait
Sistem
Manajemen
Keamanan
Informasi
(SMKI)
• Penambah-
an jumlah
perangkat
yang baru
2014
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
112
Universitas Indonesia
Lampiran 2 : Form Kompilasi Analisis Risiko
No. Skenario
Risiko
Konteks Ancaman Aset TI Deskripsi
Risiko TI
(Risk Issue)
Pro-
ba-
bi-
li-
tas
Dampak Seve-
rity
In-
herent
Risk
Efektivitas
Kontrol
Pro-
ba-
bili-
tas
Resi-
dual
Dam-
pak
Resi-
dual
Residual
Risk
Ke-
uang-
an
Stra-
tegis
Ope-
rasi-
onal
Le-
gal
Re-
pu-
tasi
Pro-
babi-
litas
Dam-
pak
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A Aplikasi
1 Software
Integrity
Aplikasi
MQ, BMW,
ABIS dan
IDMS
Accidental,
Malicious
Aplikasi
MQ, BMW,
ABIS dan
IDMS
kesengajaan
memodifikasi
aplikasi
menyebabkan
kesalahan data
2 1 2 3 1 1 3,00 6,00 50% 67% 1,00 0,99 0,99
2 Software
Integrity
Aplikasi
MQ, BMW,
ABIS dan
IDMS
Accidental,
Malicious
Aplikasi
MQ, BMW,
ABIS dan
IDMS
kesengajaan
memodifikasi
aplikasi
menyebabkan
terjadinya
fraud
3 1 1 2 1 1 2,00 6,00 50% 67% 1,50 0,66 0,99
3 Software
Integrity
Aplikasi
MQ, BMW,
ABIS dan
IDMS
Accidental,
Malicious
Aplikasi
MQ, BMW,
ABIS dan
IDMS
Ketidaksenga-
jaan kesalahan
dalam
pengelolaan
perubahan
atau
konfigurasi
aplikasi
menyebabkan
terjadinya
fraud
3 2 2 2 2 2 2,00 6,00 50% 67% 1,50 0,66 0,99
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
113
Universitas Indonesia
4 Software
Integrity
Aplikasi
MQ, BMW,
ABIS dan
IDMS
Accidental,
Malicious
Aplikasi
MQ, BMW,
ABIS dan
IDMS
Ketidaksenga-
jaan
melakukan
modifikasi
aplikasi
menyebabkan
hasil yang
tidak
diharapkan
2 4 1 5 2 4 5,00 10,00 75% 0% 0,50 5,00 2,50
B Fasilitas
5 Utilities
performance
Power Failure UPS,
Prosedur
pengelolaan
layanan
dengan
pihak ketiga
listrik yang
tidak stabil
3 2 1 2 1 2 2,00 6,00 38% 63% 1,86 0,74 1,38
C Infrastruktur
6 New
Technologies
Strategi TI
untuk core
business
Failure Arsitektur TI Kegagalan
adopsi dan
eksploitasi
teknologi baru
secara tepat
waktu
2 1 1 2 1 1 2,00 4,00 33% 50% 1,34 1,00 1,34
7 Ageing of
application
software
Software
operational
core
business
Failure Sistem
operasi,
software
database,
software
backup
Software
aplikasi untuk
operasional
sudah usang
(teknologi,
poorly
documented,
expensive to
maintain,
difficult to
extend, not
integrated in
1 1 1 1 1 1 1,00 1,00 17% 67% 0,83 0,33 0,27
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
114
Universitas Indonesia
current
architecture)
8 Software
Implementation
Proyek e-
KTP
Failure Aplikasi
MQ, BMW,
ABIS dan
IDMS
Gangguan
operasional
ketika aplikasi
baru mulai
digunakan
3 2 2 3 1 2 3,00 9,00 50% 67% 1,50 0,99 1,49
9 Software
Implementation
Proyek e-
KTP
Failure Aplikasi
MQ, BMW,
ABIS dan
IDMS
persiapan
pengguna
yang kurang
memadai
untuk
menggunakan
dan
mengeksploi-
tasi aplikasi
baru
3 2 1 2 1 2 2,00 6,00 50% 67% 1,50 0,66 0,99
10 Infrastructure
theft
Infrastruktur Malicious Laptop pencurian
laptop yang di
dalamnya
berisi data
sensitif
1 4 1 1 4 4 4,00 4,00 50% 75% 0,50 1,00 0,50
11 Infrastructure
theft
Infrastruktur Malicious Server pencurian
server
pengembangan
1 3 1 3 3 3 3,00 3,00 50% 75% 0,50 0,75 0,38
12 Destruction of
Infrastructure
Infrastruktur
core
business
Accidental,
Malicious
Infrastruktur
TI
terjadinya
sabotase pada
DC
3 5 5 5 2 5 5,00 15,00 0% 0% 3,00 5,00 15,00
13 Destruction of
Infrastructure
Infrastruktur
core
business
Accidental,
Malicious
laptop kerusakan
laptop yang
berisi data
sensitif
2 4 1 5 2 4 5,00 10,00 75% 0% 0,50 5,00 2,50
14 Logical
trespassing
Hak Akses Malicious Sistem
database
Pengguna
mendapatkan
akses ke
informasi yang
2 2 1 2 1 2 2,00 4,00 70% 20% 0,60 1,60 0,96
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
115
Universitas Indonesia
tidak sah
15 Operational IT
errors
Patching/up
grade sistem
operasi
untuk core
business
Failure Sistem
operasi
kegagalan
patching/
upgrade
sistem operasi
untuk core
business
2 1 1 2 1 1 2,00 4,00 20% 90% 1,60 0,20 0,32
16 Operational IT
errors
Patching/up
grade sistem
operasi
untuk core
business
Failure sistem
database
kegagalan
patching/
upgrade
sistem
database
untuk core
business
2 1 1 2 1 1 2,00 4,00 20% 90% 1,60 0,20 0,32
17 Acts of nature Bencana
alam
Natural Infrastruktur,
SDM
Banjir 1 1 2 2 1 1 2,00 2,00 75% 25% 0,25 1,50 0,38
18 Acts of nature Bencana
alam
Natural Infrastruktur,
SDM
Gempa Bumi 2 1 1 2 1 1 2,00 4,00 75% 25% 0,50 1,50 0,75
19 Acts of nature Bencana
alam
Natural Infrastruktur,
SDM
Petir 4 1 1 2 1 1 2,00 8,00 75% 25% 1,00 1,50 1,50
D Informasi/Data
20 Data(base)
Integrity
Data
pelaporan
(core
database)
Failure,
Malicious
Data Kesengajaan
menghapus
data yang
menyebabkan
kehilangan
data
1 3 2 3 4 3 4,00 4,00 70% 10% 0,30 3,60 1,08
21 Data(base)
Integrity
Data
pelaporan
(core
database)
Failure,
Malicious
Data Pencurian data 1 3 2 3 4 3 4,00 4,00 70% 10% 0,30 3,60 1,08
22 Data(base)
Integrity
Data
pelaporan
Failure,
Malicious
Data Kesengajaan
memodifikasi
2 4 2 3 4 4 4,00 8,00 70% 10% 0,60 3,60 2,16
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
116
Universitas Indonesia
(core
database)
data yang
menyebabkan
ketidakakurat-
an data
23 Data(base)
Integrity
Data
pelaporan
(core
database)
Failure,
Malicious
Data Database
corrupt
2 2 2 3 2 2 3,00 6,00 70% 10% 0,60 2,70 1,62
24 Logical
trespassing
Hak Akses Malicious PC Akses ilegal
atas peralatan
komputer end
user
1 2 1 2 1 2 2,00 2,00 70% 20% 0,30 1,60 0,48
25 Logical
trespassing
Hak Akses Malicious Aplikasi
core
Ilegal logical
access pada
sistem aplikasi
core
2 2 1 2 1 2 2,00 4,00 70% 20% 0,60 1,60 0,96
26 Logical
trespassing
Hak Akses Malicious Data Pengguna
mencuri data
sensitif
2 3 1 1 1 3 3,00 6,00 70% 20% 0,60 2,40 1,44
E Proses
27 Project Quality Proyek e-
KTP
Failure Proses
penerimaan
barang/ jasa
proses
penjaminan
kualitas
kualitas yang
tidak memadai
atas
penyerahan
proyek (terkait
dengan
dokumentasi
software,
kesesuaian
dengan
persyaratan
fungsional)
3 2 2 2 2 2 2,00 6,00 50% 67% 1,50 0,66 0,99
28 Selection/
performance of
third-party
penyedia
jasa untuk
support
Failure Proses
pengelolaan
layanan
Penyampaian
service dan
support oleh
2 1 1 2 1 1 2,00 4,00 50% 63% 1,00 0,74 0,74
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
117
Universitas Indonesia
suppliers operasional
core
business
pihak ketiga vendor tidak
sesuai dengan
SLA /
perjanjian
29 Infrastructure
(hardware)
Perangkat
Server core
Accidental Server core kesalahan
konfigurasi
server core
2 1 1 3 1 1 3,00 6,00 50% 75% 1,00 0,75 0,75
30 Infrastructure
(hardware)
Perangkat
Server core
Malicious Server core kerusakan
server core
2 2 1 3 1 2 3,00 6,00 50% 75% 1,00 0,75 0,75
31 Infrastructure
(hardware)
Perangkat
jaringan
Accidental Switch,
router
kesalahan
konfigurasi
perangkat
jaringan
2 1 1 2 1 1 2,00 4,00 50% 75% 1,00 0,50 0,50
32 Infrastructure
(hardware)
Perangkat
jaringan
Malicious Switch,
router, LAN
gangguan
jaringan
3 1 1 2 1 1 2,00 6,00 50% 75% 1,50 0,50 0,75
33 Infrastructure
(hardware)
Perangkat
keamanan
Accidental Firewall, IPS kesalahan
konfigurasi
perangkat
keamanan
2 1 1 2 1 1 2,00 4,00 50% 75% 1,00 0,50 0,50
34 Software
performance
Kinerja
Aplikasi
MQ, BMW,
ABIS dan
IDMS
Failure Aplikasi
MQ, BMW,
ABIS dan
IDMS
gangguan
secara reguler
pada Aplikasi
MQ, BMW,
ABIS dan
IDMS
2 3 1 2 1 3 3,00 6,00 63% 38% 0,74 1,86 1,38
35 System capacity penyediaan
kapasitas
Aplikasi
MQ, BMW,
ABIS dan
IDMS
Failure Server core sistem tidak
dapat
menangani
volume
transaksi
ketika jumlah
pengguna naik
3 5 5 3 1 5 5,00 15,00 25% 0% 2,25 5,00 11,25
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
118
Universitas Indonesia
36 System capacity penyediaan
kapasitas
Aplikasi
MQ, BMW,
ABIS dan
IDMS
Failure Server core sistem tidak
dapat
menangani
beban ketika
aplikasi atau
inisiatif baru
di-deploy
2 2 1 3 1 2 3,00 6,00 50% 0% 1,00 3,00 3,00
37 Ageing of
infrastructural
software
umur
software
operasional
core
business
Failure sistem
operasi
tidak
mendukung-
nya versi
sistem operasi
saat digunakan
untuk
operasional
1 1 1 1 1 1 1,00 1,00 80% 40% 0,20 0,60 0,12
38 Ageing of
infrastructural
software
umur
software
operasional
core
business
Failure Software
backup
tidak
mendukung-
nya versi
aplikasi
backup saat
digunakan
untuk
operasional
1 1 1 1 1 1 1,00 1,00 80% 40% 0,20 0,60 0,12
39 Ageing of
infrastructural
software
umur
software
operasional
core
business
Failure sistem
database
Old version
database
masih
digunakan
1 1 1 1 1 1 1,00 1,00 80% 40% 0,20 0,60 0,12
40 Malware Infrastruktur
core
business
Malicious Server core Intrusion
malware pada
server core
2 1 1 3 1 1 3,00 6,00 63% 25% 0,74 2,25 1,67
41 Malware Infrastruktur
core
business
Malicious,
Accidental
Laptop Intrusion
malware pada
laptop yang
berisi data
sensitif
3 3 1 3 1 3 3,00 9,00 63% 25% 1,11 2,25 2,50
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
119
Universitas Indonesia
42 Malware Infrastruktur
core
business
Malicious Sistem
operasi
penyusupan
malware pada
sistem operasi
core business
mengakibat-
kan kerusakan
sistem operasi
3 2 1 2 1 2 2,00 6,00 63% 25% 1,11 1,50 1,67
43 Malware Infrastruktur
core
business
Malicious,
Accidental
sistem
database
penyusupan
malware pada
sistem
database core
business
mengakibat-
kan kerusakan
sistem
database
2 2 1 2 1 2 2,00 4,00 63% 25% 0,74 1,50 1,11
44 Malware Infrastruktur
core
business
Malicious Software
backup
penyusupan
malware pada
software
backup core
business
mengakibat-
kan kerusakan
software
backup
2 2 1 2 1 2 2,00 4,00 63% 25% 0,74 1,50 1,11
45 Malware Aplikasi
MQ, BMW,
ABIS dan
IDMS
Malicious Aplikasi
MQ, BMW,
ABIS dan
IDMS
penyusupan
malicious code
pada sistem
aplikasi dan
mengakibat-
kan kerusakan
sistem
3 2 1 2 1 2 2,00 6,00 63% 25% 1,11 1,50 1,67
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
120
Universitas Indonesia
46 Logical attacks Serangan
dari internet
terhadap
sistem core
business
Malicious Proses
memastikan
keamanan
sistem,
arsitektur
aplikasi
serangan virus
komputer
3 1 1 3 1 1 3,00 9,00 80% 50% 0,60 1,50 0,90
47 Logical attacks Serangan
dari internet
terhadap
sistem core
business
Malicious Proses
memastikan
keamanan
sistem,
arsitektur
aplikasi
Denial of
Service attack
3 1 1 3 1 1 3,00 9,00 80% 50% 0,60 1,50 0,90
48 Logical attacks Serangan
dari internet
terhadap
sistem core
business
Malicious Proses
memastikan
keamanan
sistem,
arsitektur
aplikasi
Web
defacement
3 3 1 2 1 3 3,00 9,00 80% 50% 0,60 1,50 0,90
49 Logical attacks Serangan
dari internet
terhadap
sistem core
business
Malicious Proses
memastikan
keamanan
sistem,
arsitektur
aplikasi
Pengguna
tidak sah
mencoba
masuk ke
sistem core
business
2 2 1 2 1 2 2,00 4,00 80% 50% 0,40 1,00 0,40
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
121
Universitas Indonesia
50 Information
media
Media
portable
Failure SOP Data
Center e-
KTP
terbukanya
data sensitif
yang ada pada
media
portable
(misalnya CD,
USB drive,
disk portable)
3 3 1 2 1 3 3,00 9,00 63% 50% 1,11 1,50 1,67
51 Information
media
Media
portable
Failure SOP Data
Center e-
KTP
kehilangan
data sensitif
yang ada pada
media
portable
(misalnya CD,
USB drive,
disk portable)
2 2 1 2 1 2 2,00 4,00 63% 50% 0,74 1,00 0,74
52 Information
media
Media
portable
Failure SOP Data
Center e-
KTP
kehilangan
media backup
1 2 1 2 1 2 2,00 2,00 63% 50% 0,37 1,00 0,37
53 Logical
trespassing
Hak Akses Malicious SOP Data
Center e-
KTP
Ilegal logical
access pada
proses
administrasi
2 2 1 1 1 2 2,00 4,00 70% 20% 0,60 1,60 0,96
54 Logical
trespassing
Hak Akses Malicious SOP Data
Center e-
KTP
Tidak
diketahuinya
aktivitas
penyalahguna-
an wewenang
3 1 1 2 1 1 2,00 6,00 70% 20% 0,90 1,60 1,44
55 Operational IT
errors
Kegiatan
backup
Failure Prosedur
backup data
Penyalahguna-
an backup data
oleh pihak
internal
1 2 1 1 2 2 2,00 2,00 20% 90% 0,80 0,20 0,16
56 Operational IT
errors
Kegiatan
backup
Failure Prosedur
backup data
Penyalahguna-
an backup data
oleh pihak
eksternal
2 3 1 1 2 3 3,00 6,00 20% 90% 1,60 0,30 0,48
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
122
Universitas Indonesia
57 Operational IT
errors
Kegiatan
backup
Failure Prosedur
backup data
kegagalan
backup data
2 2 1 2 1 2 2,00 4,00 20% 90% 1,60 0,20 0,32
58 Operational IT
errors
Kegiatan
backup
Failure SOP Data
Center e-
KTP
kehilangan
media backup
1 3 1 2 1 3 3,00 3,00 20% 90% 0,80 0,30 0,24
59 Operational IT
errors
Kegiatan
backup
Failure Prosedur
backup data
tidak dapat
dilakukan
restore atas
backup sesuai
checkpoint
2 2 1 2 1 2 2,00 4,00 20% 90% 1,60 0,20 0,32
60 Operational IT
errors
Kegiatan
backup
Failure Prosedur
backup data
kesalahan saat
melakukan
backup data
2 2 1 2 1 2 2,00 4,00 20% 90% 1,60 0,20 0,32
61 Contractual
Compliance
Lisensi
software
untuk core
business
Failure
Malicious
Proses
kepatuhan
terhadap
lisensi
Ketidakpatuh-
an terhadap
lisensi
software
(penggunaan
software yang
tidak
berlisensi)
2 2 1 2 3 2 3,00 6,00 75% 63% 0,50 1,11 0,56
F SDM
62 IT staff Staf TI
dalam
operasional
core
business
Failure SDM staf TI
mengundurkan
diri / mutasi
sehingga
menyebabkan
kehilangan
staf yang
kompeten di
bidangnya
2 4 1 5 2 4 5,00 10,00 75% 0% 0,50 5,00 2,50
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
123
Universitas Indonesia
63 IT staff Staf TI
dalam
operasional
core
business
Failure Proses
Pengelolaan
SDM TI
tidak
tersedianya
staf TI saat
dibutuhkan
2 4 1 5 2 4 5,00 10,00 75% 0% 0,50 5,00 2,50
64 IT expertise and
skills
Keahlian
staf TI
dalam
operasional
core
business
Failure SDM adanya gap
keahlian staf
TI dengan
teknologi yang
digunakan di
core business
2 2 2 3 1 2 3,00 6,00 50% 67% 1,00 0,99 0,99
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
124
Universitas Indonesia
Lampiran 3 : Form Pengukuran Efektivitas Kontrol
Keterangan Efektivitas Kontrol Efek terhadap probabilitas dan dampak
Y = 1 Tidak ada/sangat rendah/ tidak diperhitungkan = 0%
Menengah Rendah (MR) = 25%
T = 0 Sedang = 50%
Menengah Tinggi (MT) = 75%
Tinggi = 100%
Essential
Control
Control
Reference
Control Title Pertanyaan Efektivitas Kontrol Pengaruh
Desain Operasi Frequency Dampak
1 2 3 4 5 6 7 8
1. New Technologies
Ya PO3 PO3.1 Technological
Direction Planning
Apakah memiliki arah
perencanaan Teknologi yang
ditetapkan manajemen?
Y (Grand Design SIAK) Y Tinggi Sedang
Ya PO3 PO3.3 Monitor Future Trends
and Regulations
Apakah ada penetapan proses
untuk memantau sektor core
business, teknologi,
infrastruktur, tren lingkungan
hukum dan peraturan.
Memasukkan konsekuensi dari
tren ini ke dalam pengembangan
rencana infrastruktur teknologi
TI?
T T Rendah Rendah
Ya PM1 PM1.4 Translate the Business
Strategy and Goals
into IT Strategy and
Goals
Apakah strategi dan tujuan
bisnis sudah dimasukkan ke
dalam strategi SI/TI?
Y (Grand Design SIAK) Y Rendah Tinggi
Skor 66,67% 66,67% 33,33% 50%
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
125
Universitas Indonesia
2. Ageing of application software
Ya AI2 AI2.6 Major Upgrades to
Existing Systems
Apakah dalam hal perubahan
besar pada sistem yang ada
mengakibatkan perubahan
signifikan dalam desain saat ini
dan mengikuti proses
perkembangan yang sama
seperti yang digunakan untuk
pengembangan sistem yang
baru?
Y Y Rendah Tinggi
Ya AI2 AI2.10 Application Software
Maintenance
Apakah ada pengelolaan
software aplikasi?
Y (pengelolaan lisensi
software aplikasi yang
dimasukkan dalam
rencana kerja tahunan
(dengan pengadaan
kegiatan layanan
keahlian DC))
Y Sedang Tinggi
Ya PO1 PO1.3 Assessment of Current
Capability and
Performance
Apakah ada penilaian
kemampuan dan kinerja
software saat ini?
T T Rendah Rendah
Skor 66,67% 66,67% 16,67% 66,67%
3. Software Implementation
Ya AI2 AI2.8 Software Quality
Assurance (QA)
Apakah ada pengembangan
sumber daya dan rencana
pelaksanaan software QA untuk
memperoleh kualitas yang
ditentukan dalam persyaratan
yang sudah didefinisikan pada
kebijakan dan prosedur?
Y (SOP Data Center e-
KTP)
Y Sedang Sedang
Ya AI4 AI4.4 Knowledge Transfer to
Operations and
Support Staff
Apakah ada sistem untuk
transfer pengetahuan bagi staf
pendukung dan operasional?
Y Y Sedang Sedang
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
126
Universitas Indonesia
Ya AI7 AI7.3 Impementation Plan Apakah ada perencanaan
implementasi software yang
disetujui oleh pihak terkait?
Y (SOP Data Center e-
KTP)
Y Sedang Tinggi
Skor 66,67% 66,67% 50% 66,67%
4. Project Quality
Ya PO8 PO8.3 Development and
Acquisition Standards
Apakah ada standar akuisisi dan
pengembangan proyek serta
penandatangan proyek apabila
sudah selesai?
Y Y Tinggi Tinggi
Ya PO10 PO10.10 Project Quality Plan Apakah ada rencana manajemen
mutu yang menggambarkan
sistem kualitas proyek dan
bagaimana hal itu dilaksanakan
dan rencana tersebut secara
resmi dikaji dan disetujui oleh
semua pihak yang
berkepentingan dan kemudian
dimasukkan ke dalam rencana
proyek terpadu?
Y (SOP Data Center e-
KTP)
Y Sedang Sedang
Ya PO3 PO3.4 Technological
Standards
Apakah ada forum / komite
teknologi yang memberikan
solusi teknologi yang konsisten,
efektif dan aman bagi
organisasi?
Y Y Rendah Sedang
Skor 100% 66,67% 50% 66,67%
5. Selection/performance of third-party suppliers
Ya AI5 AI5.3 Supplier Selection Apakah pemilihan vendor
dilakukan secara transparan dan
akuntabel?
Y (pengadaan secara
elektronik)
Y Sedang Tinggi
Ya DS2 DS2.2 Supplier Relationship
Management
Apakah ada SLA dengan
vendor?
Y (perjanjian kontrak
kerja, SLA)
Y Tinggi Sedang
Ya DS2 DS2.3 Supplier Risk
Management
Apakah ada pengelolaan risiko
terhadap vendor?
Y Y Sedang Tinggi
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
127
Universitas Indonesia
Ya DS2 DS2.4 Supplier Performance
Monitoring
Apakah ada monitoring kinerja
vendor?
Y (perjanjian kontrak
kerja, SLA)
Y Rendah Tinggi
Skor 75% 75% 25% 75%
6. Infrastructure Theft
Ya PO6 PO6.3 IT Policies
Management
Apakah ada pengembangan dan
pengelolaan kebijakan untuk
mendukung strategi TI?
Y Y Sedang Tinggi
Ya PO7 PO7.6 Personnel Clearance
Procedures
Apakah ada prosedur
background checks pada proses
penerimaan pegawai TI, kontrak
dan vendor?
Y Y Sedang Tinggi
Ya AI3 AI3.2 Infrastructure
Resource Protection
and Availability
Apakah ada langkah
pengendalian internal,
keamanan dan auditability
selama konfigurasi, integrasi
dan pemeliharaan perangkat
keras dan perangkat lunak
infrastruktur untuk melindungi
sumber daya dan menjamin
ketersediaan dan integritas?
Y Y Tinggi Tinggi
Ya DS12 DS12.2 Physical Security
Measures
Apakah sudah menerapkan
langkah-langkah keamanan fisik
sesuai dengan kebutuhan
organisasi untuk mengamankan
lokasi dan aset fisik. Langkah -
langkah keamanan fisik harus
mampu secara efektif
mencegah, mendeteksi dan
mengurangi risiko yang
berkaitan dengan pencurian?
Y (penempatan CCTV
pada tempat-tempat
terbatas)
Y Rendah Rendah
Skor 75% 75% 50% 75%
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
128
Universitas Indonesia
7. Destruction of Infrastructure
Ya DS12 DS12.2 Physical Security
Measures
Apakah sudah menerapkan
langkah-langkah keamanan fisik
sesuai dengan kebutuhan
organisasi untuk mengamankan
lokasi dan aset fisik. Langkah -
langkah keaman fisik harus
mampu secara efektif
mencegah, mendeteksi dan
mengurangi risiko yang
berkaitan dengan pencurian?
Y (belum optimal, sangat
terbatas)
Y (belum
optimal,
sangat
terbatas)
Tinggi Rendah
Ya DS12 DS12.3 Physical Access Apakah sudah menetapkan dan
menerapkan prosedur untuk
memberikan, membatasi dan
mencabut hak akses ke lokasi
bangunan dan tempat lain sesuai
dengan kebutuhan organisasi,
termasuk keadaan darurat.
Akses ke lokasi bangunan dan
tempat harus dibenarkan, resmi
dicatat dan dimonitor. Ini harus
berlaku untuk semua orang yang
memasuki lokasi, termasuk staf,
pegawai kontrak, klien, vendor,
pengunjung atau pihak ketiga
lainnya?
Y Y Rendah Rendah
Ya DS12 DS12.5 Physical Facilities
Management
Apakah ada pengelolaan
fasilitas fisik?
Y Y Rendah Rendah
Ya DS12 DS12.4 Protection Against
Enironmental Factors
Apakah sudah merancang dan
mengimplementasikan langkah-
langkah untuk perlindungan
terhadap faktor lingkungan.
Memasang peralatan khusus
untuk memantau mengendalikan
lingkungan?
Y Y Rendah Rendah
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
129
Universitas Indonesia
Skor 100% 100% 0 0
8. IT Staf
Ya PO7 PO7.1 Personnel Recruitment
and Retention
Apakah ada prosedur
pengelolaan proses penerimaan
pegawai TI selaras dengan
kebijakan organiasi?
T T Rendah Rendah
Ya PO7 PO7.4 Personnel Training Apakah tersedia training yang
berorientasi pada pencapaian
tujuan organisasi?
Y (program pelatihan
tiap tahun)
Y Tinggi Rendah
Ya PO7 PO7.5 Dependence Upon
Individuals
Apakah sudah meminimalkan
ketergantungan terhadap
personel individu, dengan
membangun dokumentasi ,
knowledge management system,
cadangan staf?
Y (pembentukan tim
proyek)
Y MT Rendah
Ya PO4 PO4.5 IT Organisational
Structure
Apakah struktur organisasi
sesuai kebutuhan bisnis?
Y Y Tinggi Rendah
Ya PO7 PO7.8 Job Change and
Termination
Apakah sudah diatur untuk
setiap perubahan dan
penghentian pekerjaan
dilakukan transfer pengetahuan,
hak akses dihapus?
Y Y Sedang Rendah
Skor 80% 80% 75% 0%
9. IT expertise and skills
Ya PO7 PO7.1 Personnel Recruitment
and Retention
Apakah ada prosedur
pengelolaan proses penerimaan
pegawai TI selaras dengan
kebijakan organiasi?
T T Rendah Rendah
Ya PO7 PO7.4 Personnel Training Apakah tersedia training yang
berorientasi pada pencapaian
tujuan organisasi?
Y Y Tinggi Rendah
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
130
Universitas Indonesia
Ya PO7 PO7.5 Dependence Upon
Individuals
Apakah sudah meminimalkan
ketergantungan terhadap
personel individu, dengan
membangun dokumentasi,
knowledge management system,
cadangan staf?
Y (pembentukan tim
proyek (tim teknis /
tenaga ahli)
Y MT Tinggi
Ya PO7 PO7.7 Employee Job
Performance
Evaluation
Apakah ada evaluasi kinerja
pegawai?
Y (DP3), audit kinerja Y MR Tinggi
Skor 75% 75% 50% 68,75%
10. Software integrity
Ya AI2 AI2.10 Application Software
Maintenance
Apakah ada kebijakan
pengelolaan software aplikasi?
Y (SOP DC e-KTP) Y Tinggi Tinggi
Ya AI6 AI6.1 Change Standards and
Procedures
Apakah ada SOP change
management?
T T Rendah Rendah
Ya AI7 AI7.9 Post Implementation
Review
Apakah ada review setelah
implementasi?
Y Y Rendah Tinggi
Ya DS5 DS5.3 Identity Managemen Apakah sudah memastikan
bahwa semua pengguna
(internal, eksternal dan pegawai
kontrak) dan aktivitas mereka
pada sistem TI (aplikasi
organisasi, lingkungan TI,
operasi sistem, pengembangan
dan pemeliharaan)
teridentifikasi?
Y Y Tinggi TInggi
Ya DS9 DS9.3 Configuration
Integrity Review
Apakah secara berkala me-
review data konfigurasi untuk
memverifikasi dan
mengkonfirmasi integritas dari
konfigurasi saat ini?
Y Y Rendah Tinggi
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
131
Universitas Indonesia
Ya AC3 AC3 Accuracy,
Completeness and
Authenticity Checks
Apakah ada pengecekan bahwa
transaksi yang terjadi sudah
akurat, lengkap dan valid,
memvalidasi data yang masuk
dan mengedit untuk koreksi
data?
Y Y Tinggi Tinggi
Ya AC4 AC4 Processing Integrity
and Validity
Apakah ada proses validasi dan
integritas di seluruh proses
pengolahan data?
Y Y Tinggi Sedang
Ya AC5 AC5 Output Review,
Reconciliation and
Error Handling
Apakah ada prosedur dan PIC
yang bertanggung jawab
terhadap output dan kesalahan
data?
Y Y Tinggi Rendah
Skor 75% 75% 50% 68,75%
11. Infrastructure (hardware)
Ya AI3 AI3.2 Infrastructure
Resource Protection
and Availability
Apakah ada pengendalian
internal yang menjamin
ketersediaan dan melindugi
sumber daya infrastruktur?
Y Y Tinggi Tinggi
Ya DS12 DS12.2 Physical Security
Measures
Apakah sudah menerapkan
langkah-langkah keamanan fisik
sesuai dengan kebutuhan
organisasi untuk mengamankan
lokasi dan aset fisik. Langkah -
langkah keaman fisik harus
mampu secara efektif
mencegah, mendeteksi dan
mengurangi risiko yang
berkaitan dengan pencurian?
Y Y Rendah Rendah
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
132
Universitas Indonesia
Ya DS12 DS12.3 Physical Access Apakah sudah menetapkan dan
menerapkan prosedur untuk
memberikan, membatasi dan
mencabut hak akses ke lokasi
bangunan dan tempat lain sesuai
dengan kebutuhan organisasi,
termasuk keadaan darurat.
Akses ke lokasi bangunan dan
tempat harus dibenarkan, resmi,
dicatat dan dimonitor. Ini harus
berlaku untuk semua orang yang
memasuki lokasi, termasuk staf,
pegawai kontrak, klien, vendor,
pengunjung atau pihak ketiga
lainnya?
Y Y Rendah Rendah
Ya DS9 DS9.3 Configuration
Integrity Review
Apakah secara berkala me-
review data konfigurasi untuk
memverifikasi dan
mengkonfirmasi integritas dari
konfigurasi saat ini?
Y Y Tinggi Tinggi
Skor 100% 75% 50% 75%
12. Software performance
Ya AI2 AI2.10 Application Software
Maintenance
Apakah ada pengelolaan
software aplikasi?
Y Y Tinggi Tinggi
Ya DS3 DS3.5 Monitoring and
Reporting
Apakah kinerja software
dimonitoring dan dilaporkan?
Y Y Sedang Sedang
Ya DS10 DS10.2 Problem Tracking and
Resolution
Apakah ada system audit trail
dan tracking problem?
Y Y Sedang Rendah
Ya AI2 AI2.8 Software Quality
Assurance (QA)
Apakah ada penjaminan kualitas
software?
Y T Sedang Rendah
Skor 100% 75% 62,50% 37,5%
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
133
Universitas Indonesia
13. System capacity
Ya DS3 DS3.1 Performance and
Capacity Planning
Apakah ada perencanaan
kapasitas?
Y T Rendah Rendah
Ya AI3 AI3.3 Infrastructure
Maintenance
Apakah ada prosedur
pengelolaan infrastruktur?
Y (SOP DC e-KTP) Y Sedang Rendah
Ya DS3 DS3.3 Future Performance
and Capacity
Apakah melakukan
forecasting/prediksi kinerja dan
kapasitas sumber daya TI secara
berkala untuk meminimalkan
risiko gangguan layanan karena
kapasitas tidak mencukupi atau
penurunan kinerja?
Y T MR Rendah
Ya DS3 DS3.4 IT Resources
Availability
Apakah tersedia sumber daya
TI?
Y Y MR Rendah
Skor 100% 50% 25% 0%
14. Ageing of Infrastructural Software
Ya PO3 PO3.2 Technological
Infrastructure Plan
Apakah rencana infrastruktur
teknologi sesuai dengan rencana
strategis TI dan dikelola dengan
baik?
Y (Grand Design SIAK) Y Tinggi Sedang
Ya PO3 PO3.5 IT Architecture Board Apakah memiliki arsitektur TI? Y (Grand Design SIAK) Y Tinggi Tinggi
Ya AI1 AI1.1 Definition and
Maintenance of
Business Functional
and Technical
Requirements
Apakah sudah melakukan
identifikasi, prioritisasi,
menentukan dan menyepakati
kebutuhan teknisi dan
fungsional organisasi?
Y Y Tinggi Rendah
Ya AI3 AI3.3 Infrastructure
Maintenance
Apakah ada prosedur
pengelolaan infrastruktur?
Y (SOP DC e-KTP) Y Rendah Rendah
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
134
Universitas Indonesia
Ya AI3 AI3.2 Infrastructure
Resource Protection
and Availability
Apakah ada pengendalian
internal yang menjamin
ketersediaan dan melindugi
sumber daya infrastruktur?
Y Y Tinggi Sedang
Skor 100% 100% 80% 40%
15. Malware
Ya DS5 DS5.5 Security Testing,
Surveillance and
Monitoring
Apakah ada pengujian
keamanan dan pemantauan?
Y Y Tinggi MR
Ya DS5 DS5.9 Malicious Software
Prevention, Detection
and Correction
Apakah sudah menggunakan
tools untuk mencegah,
mendeteksi dan memperbaiki
kerusakan akibat malicious
software?
Y Y Tinggi MR
Ya PO6 PO6.3 IT Policies
Management
Apakah ada kebijakan yang
mendukung strategi TI dan
dikelola dengan baik?
Y (Grand Design SIAK
dan SOP DC e-KTP)
Y MR MR
Ya PO6 PO6.4 Policy, Standard and
Procedures Rollout
Apakah penegakan kebijakan TI
kepada semua staf TI yang
relevan, sehingga mereka
menjadi bagian integral dari
operasi organisasi?
Y Y MR MR
Skor 100% 100% 62,5% 25%
16. Logical attacks
Ya PO6 PO6.3 IT Policies
Management
Apakah ada kebijakan yang
mendukung strategi TI dan
dikelola dengan baik?
Y (Grand Design SIAK
dan SOP DC e-KTP)
Y MR MR
Ya DS4 DS4.2 IT Continuity Plans Apakah sudah memiliki
perencanaan kelangsungan
organisasi/TI?
Y T Tinggi Rendah
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
135
Universitas Indonesia
Ya DS5 DS5.5 Security Testing,
Surveillance and
Monitoring
Apakah ada pengujian
keamanan dan pemantauan?
Y (Pentes, alat
monitoring)
Y Tinggi MR
Ya DS5 DS5.9 Malicious Software
Prevention, Detection
and Correction
Apakah sudah menggunakan
tools untuk mencegah,
mendeteksi dan memperbaiki
kerusakan akibat malicious
software?
Y (anti virus) Y Tinggi Tinggi
Ya DS5 DS5.10 Network Security Apakah menggunakan
perangkat keamanan?
Y (Firewall) Y MT Tinggi
Skor 100% 80% 80% 50%
17. Information Media
Ya DS11 DS11.2 Storage and Retention
Arrangements
Apakah sudah memiliki
prosedur pengelolaan storage
secara efektif dan efisien, dan
prosedur tersebut sudah
dijalankan?
Y Y Sedang Rendah
Ya DS11 DS11.4 Disposal Apakah organisasi sudah
menetapkan dan menerapkan
prosedur untuk memastikan
bahwa persyaratan untuk
perlindungan data sensitif dan
perangkat lunak terpenuhi
ketika data dan perangkat keras
dihanguskan/dibuang atau
ditransfer?
Y Y Tinggi Sedang
Ya DS11 DS11.5 Backup and
Restoration
Apakah sudah memiliki
prosedur backup dan restore
data?
Y (SOP DC e-KTP) Y Sedang Tinggi
DS11 DS11.3 Media Library
Management System
Apakah sudah memiliki sistem
pengelolaan media library untuk
menjamin ketersediaan?
Y Y Sedang Sedang
Skor 100% 100% 62,50% 50%
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
136
Universitas Indonesia
18. Utilities Performance
Ya DS4 DS4.8 IT Services Recovery
and Resumption
Apakah memiliki prosedur
pemulihan layanan TI?
Y Y Rendah Tinggi
Ya DS12 DS12.5 Physical Facilities
Management
Apakah ada pengelolaan
fasilitas fisik?
Y Y Tinggi Tinggi
Ya DS1 DS1.3 Service Level
Agreements
Apakah sudah memiliki SLA
pada layanan kritikal?
Y Y Sedang Sedang
Ya DS4 DS4.2 IT Continuity Plans Apakah sudah memiliki
perencanaan kelangsungan
organisasi/TI?
Y T Rendah Rendah
Skor 100% 75% 37,50% 62,5%
19. Data(base) integrity
Ya PO4 PO4.9 Data and System
Ownership
Apakah unit kerja pemilik data
sudah disediakan prosedur dan
alat yang digunakan untuk
membantu tanggung jawab
terhadap data yang dimiliki?
Y Y Tinggi MR
Ya AI6 AI6.1 Change Standards and
Procedures
Apakah sudah memiliki SOP
tentang perubahan data?
Y (SOP DC e-KTP) Y Tinggi Rendah
Ya DS9 DS9.3 Configuration
Integrity Review
Apakah secara berkala me-
review data konfigurasi untuk
memverifikasi dan
mengkonfirmasi integritas dari
konfigurasi saat ini?
Y T Sedang Rendah
Ya DS11 DS11.2 Storage and Retention
Arrangements
Apakah sudah memiliki
prosedur pengelolaan storage
secara efektif dan efisien, dan
prosedur tersebut sudah
dijalankan?
Y (SOP DC e-KTP) Y Sedang Rendah
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
137
Universitas Indonesia
Ya DS11 DS11.6 Security Requirements
for Data Management
Apakah sudah mendefinisikan
dan mengimplementasikan
kebijakan dan prosedur untuk
mengidentifikasi dan
menerapkan persyaratan
keamanan yang berlaku untuk
pengolahan, penyimpanan,
penerimaan dan output data?
Y (SOP DC e-KTP) Y Sedang MR
Skor 100% 80% 70% 10%
20. Logical trespassing
Ya DS5 DS5.3 Identity Management Apakah sudah memastikan
bahwa semua pengguna
(internal, eksternal dan pegawai
kontrak) dan aktivitas mereka
pada sistem TI (aplikasi
organisasi, lingkungan TI,
operasi sistem, pengembangan
dan pemeliharaan)
teridentifikasi?
Y Y Tinggi Rendah
Ya DS5 DS5.4 User Account
Management
Apakah ada pengelolaan user
account?
Y Y Sedang Rendah
Ya DS5 DS5.5 Security Testing,
Surveillance and
Monitoring
Apakah ada pengujian
keamanan dan pemantauan?
Y (Pentes, alat
monitoring)
Y Tinggi Sedang
Ya PO4 PO4.14 Contracted Staff
Policies and
Procedures
Apakah ada kebijakan dan
prosedur yang mengatur kontrak
pegawai, vendor, pegawai
kontrak?
Y (kontrak kerja) Y Sedang Sedang
Ya PO6 PO6.4 Policy, Standard and
Procedures Rollout
Apakah penegakan kebijakan TI
kepada semua staf TI yang
relevan, sehingga mereka
menjadi bagian integral dari
operasi organisasi?
Y Y Sedang Rendah
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
138
Universitas Indonesia
Skor 100% 100% 70% 20%
21. Operational IT errors
Ya PO7 PO7.4 Personnel Training Apakah organisasi sudah
menyediakan training yang
selaras dengan tujuan
organisasi?
Y Y Tinggi Sedang
Ya DS4 DS4.8 IT Services Recovery
and Resumption
Apakah memiliki prosedur
pemulihan layanan TI?
Y Y Rendah Tinggi
Ya DS7 DS7.1 Identification of
Education and
Training Needs
Apakah kebutuhan pelatihan
dan pendidikan sudah
teridentifikasi?
Y Y Rendah Tinggi
Ya DS7 DS7.2 Delivery of Training
and Education
Apakah delivery pengajar,
mentor sudah sesuai dengan
kualifikasi yang dipersyaratkan?
Y Y Rendah Tinggi
Ya DS13 DS13.1 Operations
Procedures and
Instructions
Apakah ada prosedur dan
petunjuk operasional TI?
Y Y Rendah Tinggi
Skor 100% 100% 20% 90%
22. Contractual Compliance
Ya AI5 AI5.2 Supplier Contract
Management
Apakah ada pengelolaan
perjanjian dengan vendor?
Y Y Tinggi Sedang
Ya DS2 DS2.2 Supplier Apakah hubungan dengan
vendor diformalkan dengan
SLA?
Y Y Tinggi Sedang
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
139
Universitas Indonesia
Ya ME3 ME3.1 Identification of
External Legal,
Regulatory and
Contractual
Compliance
Requirements
Apakah ada identifikasi, secara
terus menerus, hukum lokal dan
internasional, peraturan, dan
persyaratan eksternal lainnya
yang harus dipenuhi untuk
dimasukkan dalam kebijakan
organisasi TI, standar, prosedur
dan metodologi?
Y Y Rendah Sedang
Ya ME3 ME3.4 Positive Assurance of
Compliance
Apakah organisasi selalu patuh
terhadap kualitas?
Y Y Tinggi Tinggi
Skor 100% 100% 75% 62,50%
23. Acts of Nature
Ya DS4 DS4.8 IT Services Recovery
and Resumption
Apakah memiliki prosedur
pemulihan layanan TI?
Y Y Tinggi MR
Ya DS12 DS12.1 Site Selection and
Layout
Apakah pemilihan lokasi
penempatan aset TI sudah
didefinisikan?
Y Y Tinggi MR
Ya DS12 DS12.4 Protection Against
Enironmental Factors
Apakah sudah merancang dan
mengimplementasikan langkah-
langkah untuk perlindungan
terhadap faktor lingkungan.
Memasang peralatan khusus
untuk memantau mengendalikan
lingkungan?
Y Y Rendah Sedang
Ya DS4 DS4.2 IT Continuity Plans Apakah sudah memiliki
perencanaan kelangsungan
organisasi/TI?
Y T Tinggi Rendah
Skor 75% 75% 75% 25%
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
140
Universitas Indonesia
Lampiran 4 : Profil Risiko TI (RE3)
No. Skenario
Risiko
Konteks Aset TI Deskripsi Risiko TI
(Risk Issue)
Kontrol
yang Ada Saat
Ini
Tingkat
Risiko
Risk
Appetite
Strategi/
Respon
Risiko
Langkah
Mitigasi
Komponen
Penyusun Profil
Risiko TI (RE3)
1 2 3 4 5 6 7 8 9 10 11
1 New
Technologies
Strategi TI
untuk core
business
Arsitektur TI Kegagalan adopsi dan
eksploitasi teknologi
baru secara tepat
waktu yang cukup
berdampak bagi
efisienasi organisasi
Grand Design
SIAK
1,34
(Rendah) Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
2 Ageing of
application
software
Software
operasional core
business
Sistem
operasi,
software
analisis,
software
database,
software
backup
Software aplikasi
untuk operasional
sudah usang
(teknologi, poorly
documented,
expensive to maintain,
difficult to extend, not
integrated in current
architecture)
Pengelolaan
lisensi software
aplikasi yang
dimasukkan
dalam rencana
kerja tahunan
1,10
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
3 Software
Implementation
Proyek e-KTP Aplikasi MQ,
BMW, ABIS
dan IDMS)
Gangguan operasional
ketika aplikasi baru
tersebut mulai
digunakan
Penjaminan
kualitas (QA),
Training
1,49
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
141
Universitas Indonesia
4 Software
Implementation
Proyek e-KTP Aplikasi MQ,
BMW, ABIS
dan IDMS)
Persiapan pengguna
yang kurang memadai
untuk menggunakan
dan mengeksploitasi
aplikasi baru
Training bagi
pegawai
0,99
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
5 Project Quality Proyek e-KTP Proses
penerimaan
barang/jasa,
proses
penjaminan
kualitas
Kualitas yang tidak
memadai atas
penyerahan proyek
(terkait dengan
dokumentasi software,
kesesuaian dengan
persyaratan
fungsional)
Kerangka
Acuan Kerja
dan Perjanjian
Kontrak
(Service Level
Agreement
(SLA))
0,99
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
6 Selection/perfor
mance of third-
party suppliers
Penyedia jasa
untuk support
operasional core
business
Proses
pengelolaan
layanan pihak
ketiga
Penyampaian Service
dan Support oleh
vendor tidak sesuai
SLA/perjanjian
e-Procurement
perjanjian
kontrak kerja
0,74
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
7 Infrastructure
theft
Infrastruktur Laptop Pencurian laptop yang
di dalamnya berisi
data sensitif
- penempatan
CCTV yang
terbatas
- SOP Data
Center e-KTP
0,50
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RE1.2,
RE1.3, RR1.3
8 Infrastructure
theft
Infrastruktur Server Pencurian server
pengembangan
0,38
(Rendah) Rendah Diterima - RE1.4, RE2,
RR1.1, RE1.2,
RE1.3, RR1.3
9 Destruction of
Infrastructure
Infrastruktur
core business
Infrastruktur
TI
Terjadinya sabotase
dan gangguan pada
DC
15
(Tinggi)
Rendah Mitigasi Manusia: - wajib menggunakan
kartu identitas selama
berada di lingkungan
kerja
RE1.4, RE2,
RR1.1, RR2.5,
RE1.2, RE1.3,
RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
142
Universitas Indonesia
10 Destruction of
Infrastructure
Infrastruktur
core business
Laptop Kerusakan laptop
yang berisi data
sensitif
SOP Data
Center e-KTP
1,10
(Rendah)
Rendah Diterima - kesadaran memelihara
peralatan yang telah
diberikan
Proses: - Membuat Standar
Prosedur Operasi teknis
tentang pemeliharaan
peralatan
- Kebijakan melarang
masuknya alat dengan
kemampuan merekam
ke dalam wilayah-
wilayah kerja tertentu,
kecuali telah ada ijin
sebelumnya
- Kebijakan
menentukan area kerja
terbatas seperti Data
Center
Teknologi:
- penambahan jumlah
CCTV
- BCP, DRP dan DRC
(tidak hanya sebagai
backup server)
- semua area kerja
dilengkapi dengan
sistem access control
RE1.4, RE2,
RR1.1, RE1.2,
RE1.3, RR1.3
11 IT Staff Staf TI dalam
operasional core
business
Proses
Pengelolaan
SDM TI
Tidak tersedianya staf
TI saat dibutuhkan
Pembentukan
tim untuk
setiap proyek
1,49
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
143
Universitas Indonesia
12 IT Staff Staf TI dalam
operasional core
business
SDM Staf TI mengundurkan
diri / mutasi sehingga
menyebabkan
kehilangan staf yang
kompeten di
bidangnya
Perjanjian
kontrak kerja
0,99
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
13 IT expertise and
skills
keahlian Staf TI
dalam
operasional core
business
SDM Adanya gap keahlian
staf TI dengan
teknologi yang
digunakan di core
business
Program
Pelatihan TI
0,99
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
14 IT expertise and
skills
keahlian Staf TI
dalam
operasional core
business
SDM Kurangnya
pemahaman bisnis
proses pada core
business oleh staf TI
Program
Pelatihan TI
0,99
(Rendah) Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
15 Software
Integrity
Aplikasi MQ,
BMW, ABIS
dan IDMS
Aplikasi MQ,
BMW, ABIS
dan IDMS
Kesengajaan
memodifikasi aplikasi
menyebabkan
kesalahan data
SOP Data
Center e-KTP
0,99
(Rendah) Rendah Diterima - RE1.4, RE2,
RR1.1, RE1.2,
RE1.3, RR1.3
16 Software
Integrity
Aplikasi MQ,
BMW, ABIS
dan IDMS
Aplikasi MQ,
BMW, ABIS
dan IDMS
Kesengajaan
memodifikasi aplikasi
menyebabkan fraud
SOP Data
Center e-KTP
0,99
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RE1.2,
RE1.3, RR1.3
17 Software
Integrity
Aplikasi MQ,
BMW, ABIS
dan IDMS
Aplikasi MQ,
BMW, ABIS
dan IDMS
Ketidaksengajaan
kesalahan dalam
pengelolaan
perubahan atau
konfigurasi aplikasi
menyebabkan
terjadinya fraud
SOP Data
Center e-KTP
0,99
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RE1.2,
RE1.3, RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
144
Universitas Indonesia
18 Infrastructure
(hardware)
Perangkat
Server core
Server core kesalahan konfigurasi
server core
SOP Data
Center e-KTP
0,75
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
19 Infrastructure
(hardware)
Perangkat
Server core
Server core kerusakan server core 0,75
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RE1.2,
RE1.3, RR1.3
20 Infrastructure
(hardware)
Perangkat
jaringan
Switch, router kesalahan konfigurasi
perangkat jaringan
0,75
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
21 Infrastructure
(hardware)
Perangkat
jaringan
Switch, router,
LAN
gangguan jaringan 0,75
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
22 Infrastructure
(hardware)
Perangkat
keamanan
Firewall, IPS kesalahan konfigurasi
perangkat keamanan
0,5
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
23 Software
performance
Kinerja Aplikasi
MQ, BMW,
ABIS dan
IDMS
Aplikasi MQ,
BMW, ABIS
dan IDMS
gangguan secara
reguler pada Aplikasi
MQ, BMW, ABIS dan
IDMS
SOP Data
Center e-KTP
1,38
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
24 System capacity penyediaan
kapasitas
Aplikasi MQ,
BMW, ABIS
dan IDMS
Server core sistem tidak dapat
menangani volume
transaksi ketika
jumlah pengguna naik
- Grand Design
SIAK
- SOP Data
Center e-KTP
11,25
(Mene-
ngah
Tinggi)
Rendah Mitigasi Manusia:
Terdapat staf TI yang
bertanggung jawab atas
perencanaan dan
monitoring
Proses:
- kebijakan yang
menetapkan adanya
capacity planning,
monitoring dan evaluasi
untuk seluruh
implementasi sistem
informasi
- untuk setiap sistem
RE1.4, RE2,
RR1.1, RR2.5,
RE1.2, RE1.3,
RR1.3
25 System capacity penyediaan
kapasitas
Aplikasi MQ,
BMW, ABIS
dan IDMS
Server core sistem tidak dapat
menangani beban
ketika aplikasi atau
inisiatif baru di-deploy
3 (Mene-
ngah
Rendah)
Rendah Mitigasi RE1.4, RE2,
RR1.1, RR2.5,
RE1.2, RE1.3,
RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
145
Universitas Indonesia
informasi yang
dikembangkan harus
memiliki capacity plan
Teknologi:
- Alat untuk monitoring
resource
- BCP, DRP dan DRC
(tidak hanya sebagai
backup server)
26 Ageing of
infrastructural
software
umur software
operasional core
business
sistem operasi tidak mendukungnya
versi sistem operasi
saat digunakan untuk
operasional
- Grand Design
SIAK
- SOP Data
Center e-KTP
0,36
(Rendah) Rendah Diterima - RE1.4, RE2,
RR1.1, RR2.5,
RE1.2, RE1.3,
RR1.3
27 Ageing of
infrastructural
software
umur software
operasional core
business
Software
backup
tidak mendukungnya
versi aplikasi backup
saat digunakan untuk
operasional
- Grand Design
SIAK
- SOP Data
Center e-KTP
0,24
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
28 Ageing of
infrastructural
software
umur software
operasional core
business
sistem
database
Old version database
masih digunakan (saat
ini masih Oracle 11g
seharusnya sudah
Oracle 12c)
- Grand Design
SIAK
- SOP Data
Center e-KTP
0,36
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
29 Malware Infrastruktur
core business
Server core Intrusion malware
pada server core
- pemasangan
antivirus
- pengujian
keamanan
1,67
(Rendah) Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
30 Malware Infrastruktur
core business
Laptop Intrusion malware
pada laptop yang
berisi data sensitif
2,50
(Meneng
ah
Rendah)
Rendah Mitigasi Manusia:
- Terdapat staf TI yang
bertanggung jawab atas
kemanan TI
- Terdapat staf TI yang
bertanggung jawab atas
update patches
RE1.4, RE2,
RR1.1, RR2.5,
RE1.2, RE1.3,
RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
146
Universitas Indonesia
keamanan dan virus
Proses:
- Direktorat
Pengelolaan Informasi
Administrasi
Kependudukan (PIAK)
melakukan sosialisasi
kesadaran keamanan
informasi
- Direktorat
Pengelolaan Informasi
Administrasi
Kependudukan (PIAK)
melakukan
perlindungan terhadap
kode jahat yang
didasarkan pada
pendeteksian awal,
perbaikan software,
kesadaran keamanan,
dan pengendalian
manajemen perubahan
dan sistem akses yang
memadai
- Direktorat
Pengelolaan Informasi
Administrasi
Kependudukan (PIAK)
menetapkan petunjuk
pengelolaan dan
tanggungjawab untuk
menangani antisipasi
kode jahat terhadap
sistem yang berjalan,
pelatihan yang
diperlukan, pelaporan
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
147
Universitas Indonesia
dan perbaikan dari
serangan kode jahat
- Direktorat
Pengelolaan Informasi
Administrasi
Kependudukan (PIAK)
mendeteksi dan
mencegah terjadinya
malicious code yang
mungkin dikirim pada
saat terjadinya
komunikasi elektronis
- Direktorat
Pengelolaan Informasi
Administrasi
Kependudukan (PIAK)
melarang penggunaan
software secara ilegal di
lingkungan Ditjen
Dukcapil dan
melaksanakan petunjuk
untuk perlindungan
atasa adanya risiko
ketika menerima file
dan software dari
jaringan eksternal atau
dari perantara jaringan
yang lain
- Pemeriksaan untuk
setiap file elektronis
dan media optik, dan
file yang diterima
jaringan, terhadap kode
jahat sebelum
penggunaan
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
148
Universitas Indonesia
Teknologi:
- Penggunaan antivirus
dan antispam
- BCP, DRP dan DRC
(tidak hanya sebagai
backup server)
31 Malware Infrastruktur
core business
Sistem operasi penyusupan malware
pada sistem operasi
core business
mengakibatkan
kerusakan sistem
operasi
1,67
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
32 Malware Infrastruktur
core business
sistem
database
penyusupan malware
pada sistem database
core business
mengakibatkan
kerusakan sistem
database
1,11
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
33 Malware Infrastruktur
core business
Software
backup
penyusupan malware
pada software backup
core business
mengakibatkan
kerusakan software
backup
1,11
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
34 Malware Aplikasi MQ,
BMW, ABIS
dan IDMS
Aplikasi MQ,
BMW, ABIS
dan IDMS
penyusupan malicious
code pada sistem
aplikasi dan
mengakibatkan
kerusakan sistem
- pemasangan
antivirus
- pengujian
keamanan
1,67
(Rendah) Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
149
Universitas Indonesia
35 Logical attacks Serangan dari
internet
terhadap sistem
core business
Proses
memastikan
keamanan
sistem,
arsitektur
aplikasi
serangan virus
komputer
- pemasangan
antivirus
- kontrol akses
- alat
monitoring
keamanan
- pemasangan
peralatan
keamanan
(firewall)
0,90
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
36 Logical attacks Serangan dari
internet
terhadap sistem
core business
Proses
memastikan
keamanan
sistem,
arsitektur
aplikasi
Denial of Service
attack
0,90
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
37 Logical attacks Serangan dari
internet
terhadap sistem
core business
Proses
memastikan
keamanan
sistem,
arsitektur
aplikasi
Web defacement 0,90
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
38 Logical attacks Serangan dari
internet
terhadap sistem
core business
Proses
memastikan
keamanan
sistem,
arsitektur
aplikasi
Pengguna tidak sah
mencoba masuk ke
sistem core business
0,40
(Rendah) Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
39 Information
media
Media portable SOP Data
Center e-KTP
terbukanya data
sensitif yang ada pada
media portable
(misalnya CD, USB
drive, disk portable)
SOP
Pemeliharaan
dan
Pengamanan
Data
1,67
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
150
Universitas Indonesia
40 Information
media
Media portable SOP Data
Center e-KTP
kehilangan data
sensitif yang ada pada
media portable
(misalnya CD, USB
drive, disk portable)
SOP
Pemeliharaan
dan
Pengamanan
Data
0,74
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RE1.2,
RE1.3, RR1.3
41 Information
media
Media portable SOP Data
Center e-KTP
kehilangan media
backup
SOP
Pemeliharaan
dan
Pengamanan
Data
0,37
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RE1.2,
RE1.3, RR1.3
42 Utilitis
performance
Power UPS, Prosedur
pengelolaan
layanan
dengan pihak
ketiga
listrik yang tidak
stabil
Perjanjian
kontrak dengan
vendor
1,38
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
43 Data(base)
Integrity
Data e-KTP
(core database)
Data Kesengajaan
menghapus data yang
menyebabkan
kehilangan data
SOP Data
Center e-KTP
1,08
(Rendah)
Rendah Diterima Manusia:
- Terdapat staf TI yang
bertanggung jawab atas
pengelolaan database
- Terdapat staf TI yang
bertanggung jawab atas
keamanan database
- Menumbuhkan
kesadaran untuk
menjaga integritas dan
keamanan data
Proses:
- Menyusun SOP
tentang pelabelan dan
penanganan informasi
RE1.4, RE2,
RR1.1, RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
151
Universitas Indonesia
44 Data(base)
Integrity
Data e-KTP
(core database)
Data Pencurian data 1,08
(Rendah)
Rendah Diterima (pemrosesan,
penyimpanan,
penyebaran sampai
penghapusannya)
berdasarkan klasifikasi
aset informasi di
lingkungan unit kerja
masing-masing
- Menerapkan enkripsi
pada informasi yang
sensitif/kritikal baik
selama penyimpanan
maupun pemindahan
untuk memastikan
kerahasiaan
- Melakukan update
SOP terkait
pengelolaan database
- Rotasi pegawai
- Pembagian tugas
- Direktorat
Pengelolaan Informasi
Administrasi
Kependudukan (PIAK)
berwenang
mengendalikan akses
ke jaringan data dan
layanan yang ada di
jaringan data, serta
untuk menetapkan
kriteria yang harus
RE1.4, RE2,
RR1.1, RE1.2,
RE1.3, RR1.3
45 Data(base)
Integrity
Data e-KTP
(core database)
Data Kesengajaan
memodifikasi data
yang menyebabkan
ketidakakuratan data
2,16
(Mene-
ngah
Rendah)
Rendah Mitigasi RE1.4, RE2,
RR1.1, RR2.5,
RE1.2, RE1.3,
RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
152
Universitas Indonesia
46 Data(base)
Integrity
Data e-KTP
(core database)
Data Database corrupt 1,62
(Rendah)
Rendah Diterima dipenuhi untuk
mengakses jaringan
data, siapa saja yang
diperbolehkan
mengakses jaringan
data, serta jaringan dan
layanan jaringan apa
saja yang diperbilehkan
untuk diakses
- Direktorat
Pengelolaan Informasi
Administrasi
Kependudukan (PIAK)
harus memastikan
bahwa penggunaan
jaringan selalu
dipantau, dibatasi,
dan/atau dilarang untuk
tujuan tertentu, seperti
pemindahan data yang
tidak ada kaitannya
dengan kegiatan Ditjen
Dukcapil, akses
interaktif dan aplikasi
interaktif yang dapat
memindahkan data ke
tempat lain
- Direktorat
Pengelolaan Informasi
Administrasi
Kependudukan (PIAK)
menempatkan fasilitas
pengolah informasi
yang menangani data
yang sensitif
sedemikian rupa
RE1.4, RE2,
RR1.1, RE1.2,
RE1.3, RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
153
Universitas Indonesia
sehingga pada saat
aplikasi digunakan,
informasi yang ada di
layar tidak dapat dilihat
oleh orang yang tidak
berkepentingan
- Unit kerja yang
membawahi bidang
SDM memastikan
bahwa seluruh pegawai
Ditjen Dukcapil
menyetujui peran dan
tanggung jawab
keamanan informasi
yang diberikan kepada
mereka dengan
menandatangani surat
perjanjian yang
menyatakan
kesanggupan menjaga
kerahasiaan dan
larangan penyingkapan
untuk jenis aset
informasi yang bersifat
sensitif bagi Ditjen
Dukcapil
- Seluruh pegawai
Ditjen Dukcapil harus
menandatangani
pembaruan perjanjian
kerahasiaan sebagai
bagian dari perjanjian
kontrak kerja pegawai
- Dalam aktivitas
pengembangan dan
pemeliharaan sistem
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
154
Universitas Indonesia
informasi unit kerja
yang membawahi
bidang Pengembangan
Aplikasi Sistem serta
unit kerja pengguna dan
pemilik aplikasi harus
memastikan bahwa
seluruh aplikasi yang
ada di Ditjen Dukcapil
telah memiliki
pengendalian memadai,
yang minimal mampu
melakukan validasi data
masukan, validasi
pemrosesan, dan
validasi data keluaran
- Pemberian hak akses
sesuai kebutuhan
Teknologi:
- Menyediakan metode
dan atau sistem tools
(alat bantu) dalam
penanganan kriptografi
- pemberian hak akses
sesuai kebutuhan
- BCP, DRP dan DRC
(tidak hanya sebagai
backup server)
47 Logical
trespassing
Hak Akses PC Akses ilegal atas
peralatan komputer
end user
- Kontrol
Akses
- Perjanjian
Kontrak Kerja
Pegawai
0,48
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
48 Logical
trespassing
Hak Akses Aplikasi core Ilegal logical access
pada sistem aplikasi
core
0,96
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
155
Universitas Indonesia
49 Logical
trespassing
Hak Akses SOP Data
Center e-KTP
Ilegal logical access
pada proses
administrasi
0,96
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
50 Logical
trespassing
Hak Akses SOP Data
Center e-KTP
Tidak diketahuinya
aktivitas
penyalahgunaan
wewenang
1,44
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
51 Logical
trespassing
Hak Akses Sistem
database
Pengguna
mendapatkan akses ke
informasi yang tidak
sah
0,96
(Rendah) Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
52 Logical
trespassing
Hak Akses Data Pengguna mencuri
data sensitif
1,44
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
53 Operational IT
errors
Kegiatan
backup
Prosedur
backup data
penyalahgunaan
backup data oleh
pihak internal
- SOP
Pemeliharaan
dan
Pengamanan
Database
Kependudukan
- Pelatihan Staf
TI
- SOP Data
Center e-KTP
0,16
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
54 Operational IT
errors
Kegiatan
backup
Prosedur
backup data
penyalahgunaan
backup data oleh
pihak eksternal
0,48
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
55 Operational IT
errors
Kegiatan
backup
Prosedur
backup data
kegagalan backup
data
0,32
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
56 Operational IT
errors
Kegiatan
backup
SOP Data
Center e-KTP
kehilangan media
backup
0,24
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
57 Operational IT
errors
Kegiatan
backup
Prosedur
backup data
tidak dapat dilakukan
restore atas backup
sesuai checkpoint
0,32
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
156
Universitas Indonesia
58 Operational IT
errors
Kegiatan
backup
Prosedur
backup data
kesalahan saat
melakukan backup
data
0,32
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
59 Operational IT
errors
Patching/
upgrade sistem
operasi untuk
core business
Sistem operasi kegagalan
patching/upgrade
sistem operasi untuk
core business
- SOP Data
Center
- Pelatihan Staf
TI
0,32
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
60 Operational IT
errors
Patching/
upgrade sistem
operasi untuk
core business
sistem
database
kegagalan
patching/upgrade
sistem database untuk
core business
- SOP Data
Center
- Pelatihan Staf
TI
0,32
(Rendah) Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
61 Contractual
Compliance
Lisensi software
untuk core
business
Proses
kepatuhan
terhadap
lisensi
ketidakpatuhan
terhadap lisensi
software (penggunaan
software yang tidak
berlisensi)
pengelolaan
lisensi software
0,56
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
62 Acts of nature Bencana alam Infrastruktur,
SDM
Banjir perbaikan
saluran air
0,38
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
63 Acts of nature Bencana alam Infrastruktur,
SDM
Gempa Bumi Konstruksi
gedung anti
gempa
0,75
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
64 Acts of nature Bencana alam Infrastruktur,
SDM
Petir Pemasangan
penangkal petir
1,50
(Rendah)
Rendah Diterima - RE1.4, RE2,
RR1.1, RR1.3
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
157
Universitas Indonesia Universitas Indonesia
Lampiran 5 : Transkrip Wawancara
1. Peran TI
[Tingkat Kepentingan] Minim (M); Rendah (R); Sedang (S); Tinggi (T); Kritis (K)
No. Pertanyaan Status
Komentar M R S T K
1. Total anggaran tahunan yang
dialokasikan untuk TIK,
sebagai berikut:
- Kurang dari Rp 1 Milyar =
Minim
- Rp 1 Milyar s.d. Rp 3 Milyar
= Rendah
- Rp 3 Milyar s.d. Rp 8 Milyar
= Sedang
- Rp 8 Milyar s.d. Rp 20 Milyar
= Tinggi
- Lebih dari Rp 20 Milyar =
Kritis
v Total anggaran untuk
penerapan e-KTP ini
sebesar ± Rp 6 triliun
untuk tahun jamak
yaitu tahun 2010,
2011 dan 2012.
2. Jumlah staff/pengguna dalam
instansi yang menggunakan
infrastruktur TIK, sebagai
berikut:
- Kurang dari 60 = Minim
- Antara 60 s.d. 120 = Rendah
- Antara 120 s.d. 240 = Sedang
- Antara 240 s.d. 600 = Tinggi
- 600 atau lebih = Kritis
v Pegawai Ditjen
Dukcapil s.d. tahun
2012 berjumlah ± 500
orang, namun yang
menggunakan TIK
dan sebagai
penanggungjawabnya
adalah Direktorat
Pengelolaan
Informasi
Administrasi
Kependudukan
(DPIAK) yang
jumlah pegawainya ±
1. Bapak Dr. Ir. H. Husni Fahmi, MSEE
Jabatan : Kasubdit Pengelolaan Data Administrasi Kependudukan
mewakili Direktur Pengelolaan Informasi Administrasi
Kependudukan
Unit Kerja : Direkorat Pengelolaan Informasi Administrasi Kependudukan
Tanggal : 19 September 2013
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
158
Universitas Indonesia Universitas Indonesia
60 orang.
3. Tingkat ketergantungan
terhadap layanan TIK untuk
menjalankan Tugas Pokok dan
Fungsi Organisasi
v Ketergantungan
terhadap TIK sangat
tinggi terkait untuk
mendukung proses
kerja utama Ditjen
Dukcapil yaitu
pelayanan penerapan
SIAK, e-KTP dan
Koneksitas NIK.
4. Nilai kekayaan intelektual yang
dimiliki dan dihasilkan oleh
Organisasi
v Data kependudukan
merupakan produk
Ditjen Dukcapil yang
bernilai sangat tinggi
dan bersifat sangat
rahasia.
5. Dampak dari kegagalan sistem
TIK utama yang digunakan
Organisasi
v Kegagalan sistem
TIK mempengaruhi
proses kerja utama.
6. Tingkat ketergantungan
ketersediaan sistem TIK untuk
menghubungkan lokasi kerja
organisasi
v Ditjen Ducapil sangat
tergantung terhadap
ketersediaan sistem
TIK ini, dengan
lokasi kerja (tempat
perekaman e-KTP) di
6.234 kecamatan.
7. Dampak dari kegagalan sistem
TIK organisasi terhadap kinerja
instansi pemerintah lainnya
v Produk Ditjen
Dukcapil memang
digunakan oleh
instansi lain namun
bukan berarti kinerja
instansi tersebut
hanya ditentukan oleh
produk Ditjen
Dukcapil
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
159
Universitas Indonesia Universitas Indonesia
8. Tingkat sensitifitas pengguna
sistem TIK di organisasi
v Pengguna
(Pemerintah
Kabupaten/Kota)
sangat sensitif, karena
hal ini terkait
pelayanan kepada
masyarakat sehingga
harus tuntas.
9. Tingkat kepatuhan terhadap UU
dan perangkat hukum lainnya
v Kepatuhan terhadap
UU terkait
Administrasi
Kependudukan untuk
mencapai
ketunggalan data
penduduk.
10. Potensi kerugian atau dampak
negatif dari insiden
ditembusnya keamanan
informasi sistem TIK
Organisasi
v Akan mempengaruhi
kepercayaan dari
pihak pelapor dan
citra Ditjen Dukcapil
menurun.
11. Tingkat ketergantungan
terhadap pihak ketiga dalam
menjalankan/mengoperasikan
sistem TIK
v Tingkat
ketergantungan
terhadap pihak ketiga
dalam menjalankan /
mengoperasikan
sistem TIK sangat
tinggi.
12. Tingkat klasifikasi/kekritisan
sistem TIK di Organisasi,
relatif terhadap ancaman upaya
penyerangan atau penerobosan
keamanan informasi
v Tingkat
klasifikasi/kekritisan
relatif tinggi, karena
hal ini terkait data
penduduk yang
bersifat rahasia dan
dilindungi oleh UU
No.23 Tahun 2006
2. Proses
Berdasarkan struktur organisasi, DPIAK memiliki proses Perencanaan dan
Kebijakan TI, Penyediaan Sarana Infrastruktur, Pengelolaan Data,
Pemeliharaan Kualitas, Pengoperasian dan Pemeliharaan Layanan,
Pengamanan Jaringan dan User Support yang mendukung proses kerja di
Ditjen Dukcapil, apakah benar?
Sependapat.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
160
Universitas Indonesia Universitas Indonesia
Apakah bapak bersedia kita menganalisis setiap proses tersebut dan kemudian
melihat risikonya?
Bisa, apabila memang memerlukan ijin dari atasan kita usahakan. Mungkin
diprioritaskan saja pada aset TI yang mendukung proses kerja utama Ditjen Dukcapil
dalam penerapan e-KTP ini.
Diantara proses tersebut, proses apa saja menurut bapak yang dikategorikan
sebagai kritikal? Kritikal di sini mempunyai dampak signifikan terhadap
bisnis.
Kalau diurutkan no. 1-3 yaitu: pengembangan aplikasi , pengamanan jaringan dan
pengoperasian dan pemeliharaan layanan. Terdapat 3 (tiga) proses kerja prioritas
yaitu:
a. Proses Penerimaan data hasil perekaman e-KTP dan pengembalian status data
dari dan ke kecamatan tempat perekaman;
b. Proses Identifikasi Ketunggalan Data; dan
c. Proses Penyimpanan data.
3. Pengelolaan kebijakan dan prosedur
Apakah semua proses di atas sudah dibakukan dalam bentuk SOP?
Saat ini sudah ada SOP Data Center Kependudukan yang masih perlu
disempurnakan, dan belum detailnya petunjuk teknis.
Apakah SOP tersebut perlu di-update?
Ya, perlu diupdate.
Bagaimana dengan efektivitas SOP/Kebijakan sebagai kontrol untuk
mengendalikan risiko?
Nantinya efektivitas SOP dan pedoman tersebut 75% kecuali untuk pedoman atau
SOP yang baru belum bisa diukur.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
161
Universitas Indonesia Universitas Indonesia
4. Penilaian Risiko
Apakah Bapak setuju setiap aktivitas dalam memberikan layanan TI selalu
mengandung risiko?
Setuju.
Apakah risiko tersebut perlu kelola?
Pasti.
Mengapa pengelolaan risiko TI sangat penting untuk organisasi?
Karena apabila tidak dikelola dengan baik berdampak pada organisasi itu perlu
meminimalkan dampak dengan pengelolaan risiko.
Incident apa yang pernah terjadi dan mendapatkan perhatian serius dari
manajemen?
Kegagalan listrik.
Disebabkan oleh apa incident tersebut terjadi?
Listrik dari PLN tidak bisa menyuplai ke UPS sehingga dukungan power pada Data
Center (DC) terganggu.
Apa kira-kira dampak yang ditimbulkan oleh incident tersebut dari dampak
yang paling ringan hingga dampak serius?
Beberapa server dimatikan, sehingga layanan TI untuk sementara dihentikan.
Lalu kendali apa yang sudah diterapkan untuk mengurangi risiko tersebut?
Ganti Kabel listrik akibat upgrade daya beberapa kali dan penggunaan UPS.
Seberapa sering risiko tersebut terjadi? Berapa kali dalam
sehari/seminggu/setahun?
Untuk tahun 2012 lalu sudah empat kali terjadi namun kemungkinan ke depan
dengan adanya perbaikan yang dilakukan jarang terjadi namun kemungkinan ke
depan dengan adanya perbaikan yang dilakukan jarang terjadi.
Selain itu pada tahun 2012 lalu, DC e-KTP ini pernah mengalami downtime selama 2
minggu dalam 1 tahun.
Seberapa efektifkah kendali tersebut?
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
162
Universitas Indonesia Universitas Indonesia
Cukup efektif, beberapa bulan ini sudah tidak terjadi lagi.
Dari kelima level risiko yaitu sangat tinggi, tinggi, sedang, rendah, sangat
rendah, level risiko manakah yang Bapak tetapkan untuk dapat diterima?
Sesuai dalam draft pedoman manajemen risiko, level risiko yang bisa diterima
organisasi yaitu rendah.
5. Pengelolaan Risiko TI
[Penilaian] Tidak Dilakukan (TD); Dalam Perencanaan (DP); Dalam Penerapan atau
Diterapkan Sebagian (DS); Diterapkan Secara Menyeluruh (DSM)
No. Pertanyaan Status
Komentar TD DP DS DSM
1. Apakah organisasi TI
mempunyai program
kerja pengelolaan risiko
TI?
v
2. Apakah organisasi TI
mempunyai kerangka
kerja pengelolaan risiko
TI yang terdokumentasi
dan secara resmi
digunakan?
v
3. Apakah kerangka kerja
pengelolaan risiko ini
mencakup definisi dan
hubungan tingkat
klasifikasi aset
informasi, tingkat
ancaman, kemungkinan
terjadinya ancaman
tersebut dan dampak
kerugian terhadap
organisasi?
v
4. Apakah organisasi
sudah menetapkan
ambang batas tingkat
v
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
163
Universitas Indonesia Universitas Indonesia
risiko yang dapat
diterima? Dalam draft
manajemen risiko
ambang batas tingkat
risiko adalah low
5. Apakah organisasi TI
sudah mendefinisikan
kepemilikan dan pihak
pengelola (custodian)
aset yang ada, termasuk
aset utama/penting dan
proses kerja utama
yang menggunakan aset
tersebut?
v
6. Apakah ancaman dan
kelemahan yang terkait
dengan aset informasi,
terutama untuk setiap
aset utama sudah
teridentifikasi?
v
7. Apakah dampak
kerugian yang terkait
dengan
hilangnya/terganggunya
fungsi aset utama sudah
ditetapkan sesuai
dengan definisi yang
ada?
v
8. Apakah organisasi TI
sudah menjalankan
inisiatif analisis/kajian
risiko keamanan
informasi secara
terstruktur terhadap aset
v
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
164
Universitas Indonesia Universitas Indonesia
informasi yang ada
(untuk nantinya
digunakan dalam
mengidentifikasi
langkah mitigasi atau
penanggulangan yang
menjadi bagian dari
program pengelolaan
keamanan informasi)?
9. Apakah organisasi TI
sudah menyusun
langkah mitigasi dan
penanggulangan risiko
yang ada?
v
10. Apakah langkah
mitigasi risiko disusun
sesuai tingkat prioritas
dengan target
penyelesaiannya dan
penanggungjawabnya,
dengan memastikan
efektifitas biaya yang
dapat menurunkan
tingkat risiko ke
ambang batas yang bisa
diterima dengan
meminimalisasi
dampak terhadap
operasional layanan
TIK?
v
11. Apakah status
penyelesaian langkah
mitigasi risiko dipantau
secara berkala, untuk
memastikan
penyelesaian atau
kemajuan kerjanya?
v
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
165
Universitas Indonesia Universitas Indonesia
12. Apakah penyelesaian
langkah mitigasi yang
sudah diterapkan
dievaluasi untuk
memastikan konsistensi
dan efektifitasnya?
v
13. Apakah profil risiko
berikut bentuk
mitigasinya secara
berkala dikaji ulang
untuk memastikan
akurasi dan
validitasnya, termasuk
merevisi profil tersebut
apabila ada perubahan
kondisis yang
signifikan atau
keperluan penerapan
bentuk pengamanan
baru?
v
14. Apakah kerangka kerja
pengelolaan risiko
secara berkala dikaji
untuk memastikan
dapat meningkatkan
efektifitasnya?
v
15. Apakah pengelolaan
risiko menjadi bagian
dari kriteria proses
penilaian obyektif
kinerja efektifitas
pengamanan?
v
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
166
Universitas Indonesia Universitas Indonesia
1. Apa gambaran umum tentang proses kerja pengelolaan data administrasi
kependudukan pada Data Center KTP Eletronik di Medan Merdeka Utara?
Terdapat 3 (tiga) proses kerja prioritas yaitu:
a. Proses Penerimaan data hasil perekaman e-KTP dan pengembalian status data
dari dan ke kecamatan tempat perekaman;
b. Proses Identifikasi Ketunggalan Data; dan
c. Proses Penyimpanan data.
2. Hal negatif apa yang mungkin dapat terjadi di proses kerja ini?
a. Storage crash;
b. Listrik mati beberapa kali dan pernah gardu listrik jebol;
c. Ganti Kabel listrik akibat upgrade daya beberapa kali;
d. Jaringan komunikasi data yang tidak stabil, terutama saat menerima data yang
menggunakan VSAT;
e. Adanya penduduk yang telah melakukan perekaman untuk pertama kalinya,
namun dinyatakan ganda (DUPLICATE_RECORD) oleh sistem. Hal ini
disebabkan karena penduduk menggunakan lensa kontak (contact lens) dan
sidik jari penduduk yang kotor;
f. Adanya data hasil perekaman penduduk yang tidak sampai ke DC (Penduduk
sudah merekam tetapi data yang bersangkutan tidak ada di DC).
3. Aktivitas apa saja dalam proses kerja ini?
Operasional Data Center dan penyiapan jaringan komunikasi data.
4. Dalam menjalanan aktivitas tersebut, apakah pernah terjadi
incident/permasalahan?
2. Bapak Dr. Ir. H. Husni Fahmi, MSEE
Jabatan : Kasubdit Pengelolaan Data Administrasi Kependudukan
Unit Kerja : Direkorat Pengelolaan Informasi Administrasi Kependudukan
Tanggal : 19 September 2013
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
167
Universitas Indonesia Universitas Indonesia
Pernah. Database tidak dapat dipakai (corrupt), sistem operasi corrupt, sumber
daya hardware kurang (RAM, memory, storage), storage crash, listrik mati dan
lain-lain.
5. Apa kira-kira dampak yang ditimbulkan oleh incident tersebut dari dampak yang
paling ringan hingga dampak serius?
Terhambatnya pada sistem dalam proses penerimaan data hasil perekaman e-KTP
dan pengembalian status data dari dan ke kecamatan tempat perekaman; proses
identifikasi ketunggalan data; dan proses penyimpanan data.
6. Lalu kendali apa yang sudah diterapkan untuk mengurangi risiko tersebut?
SOP Data Center Kependudukan yang masih disempurnakan.
7. Seberapa sering risiko tersebut terjadi? Berapa kali dalam
sehari/seminggu/setahun?
Pada tahun 2012 lalu, listrik mati terjadi sampai dengan 4 kali dan terjadi
downtime Data Center sampai dengan dua minggu dalam setahun.
8. Apakah incident tersebut mengganggu operasional layanan TI?
Ya.
9. Apakah ada SOP, kebijakan terkait proses kerja ini?
Ada, SOP Data Center KTP Elektronik (e-KTP).
10. Apakah SOP tersebut perlu di-review?
Ya. Adanya perkembangan teknologi dan proses kerja maka ada beberapa hal
yang belum masuk dalam SOP tersebut agar lebih detail.
11. Berapa efektivitas kontrol yang ada untuk mengurangi risiko?
Sekitar 75%.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
168
Universitas Indonesia Universitas Indonesia
12. Apakah Anda membuat dokumentasi permasalahan dan solusi terkait incident
tersebut?
Kadang-kadang.
13. Apa persyaratan yang dibutuhkan agar ketersediaan (availability) data informasi
terjaga?
Manusia (SDM), proses dan teknologi (infrastruktur).
14. Apa sensitifitas tingkat informasi yang dikelola?
Sangat rahasia.
15. Apa dampak potensial terhadap organisasi jika informasi diungkapkan kepada
personel yang tidak berhak?
Kehilangan reputasi.
16. Apa saja persyaratan yang diperlukan untuk menjamin ketersediaan dan
integritas informasi?
Infrastruktur, pembagian peran dan tanggungjawab, hak akses, keamanan dan
kebijakan keamanan informasi.
17. Berapa maksimum waktu toleransi downtime atas sistem proses bisnis ini?
Saat ini belum ada waktu toleransi downtime dan seharusnya memang ada
mengingat hal ini merupakan proses kerja prioritas dalam penerapan e-KTP.
Pada tahun 2012 terjadi downtime selama ± 2 minggu dalam waktu 1 tahun.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
169
Universitas Indonesia Universitas Indonesia
1. Hal negatif/kejadian apa yang mungkin dapat terjadi pada proses pengamanan
jaringan?
Gangguan jaringan, incident keamanan jaringan dan kesalahan konfigurasi.
2. Bagaimana hal tersebut dapat terjadi?
Kesalahan konfigurasi dan faktor eksternal seperti attack
3. Dalam menjalankan aktivitas proses pengamanan jaringan, apakah pernah terjadi
incident/permasalahan?
Pernah, adanya virus di jaringan.
4. Apa kira-kira dampak yang ditimbulkan oleh incident tersebut?
Gangguan jaringan, confidentiality, integrity, availability (CIA).
5. Lalu kendali apa yang sudah diterapkan untuk mengurangi risiko tersebut?
Penggunaan pemasangan pengaman jaringan (Firewall), antivirus, awareness
untuk administrator dan user.
6. Berapa efektivitas kontrol tersebut?
Cukup efektif, kira-kira 90% apabila terkait teknologi, tetapi bila terkait manusia
dan proses kira-kira 50%.
7. Seberapa sering risiko tersebut terjadi? Berapa kali dalam sehari / seminggu /
setahun?
Pada saat ini belum tercatat dengan baik mengenai incident keamanan.
3. Bapak Ir. Tri Sampurno
Jabatan : PIC Pengamanan jaringan
Unit Kerja : Direkorat Pengelolaan Informasi Administrasi Kependudukan
Tanggal : 24 September 2013
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014
170
Universitas Indonesia Universitas Indonesia
8. Apakah incident tersebut mengganggu operasional layanan TI?
Ya, tergantung jenis gangguan.
9. Apakah ada SOP, kebijakan terkait proses kerja ini?
Ada, tapi belum lengkap
10. Apakah SOP tersebut perlu di-review? Mengapa?
Ya, karena belum lengkap.
11. Apakah Anda membuat dokumentasi permasalahan dan solusi terkait incident
tersebut?
Belum ada.
12. Apa persyaratan yang dibutuhkan agar ketersediaan (availability) jaringan?
Infrastruktur terutama alat pengamanan jaringan.
Evalasi pengelolaan ..., Sigit Samaptoaji, Fasilkom UI, 2014