Escolar Documentos
Profissional Documentos
Cultura Documentos
Information Technology Risk Analysis Based On Risk Management Using Iso 31000
(Case Study : i-Gracias Telkom University)
Andi Novia Rilyani1. Yanuar Firdaus A W ST., MT 2, Dawam Dwi Jatmiko ST., MT 3
Departemen Teknik Informatika, Universitas Telkom
Jalan Telekomunikasi No.1, Dayeuhkolot Bandung 42057 Indonesia
1
novia.rilyani@gmail.com, 2yanuar@telkomuniversity.ac.id, 3dawamdjs@telkomuniversity.ac.id
Abstrak
Sistem Informasi pada Direktorat SISFO merupakan salah satu sistem terintegrasi yang menjadi media
penghubung antara civitas akademik. Hal ini menjadikan aktivitas-aktivitas yang terjadi di dalamnya menjadi
sangat krusial. Berjalannya elemen dan komponen sistem dengan baik menjadi hal yang sangat penting guna
menunjang kinerja dari sistem itu sendiri. Namun, tidak dapat dipungkiri bahwa kemungkinan munculnya
berbagai ancaman dan risiko dapat menghambat bahkan melumpuhkan aktivitas di dalam sistem, salah satunya
disebabkan oleh teknologi informasi yang digunakan.
Untuk itu, perlu dilakukan analisis risiko terhadap berbagai kemungkinan risiko yang muncul di dalam sistem.
Berdasarkan hasil analisis akan didapatkan gambaran mengenai aset fisik beserta kemungkinan risiko yang
muncul pada aset tersebut. Analisis Risiko Teknologi Informasi Berbasis Risk Management menggunakan ISO
31000 dan difokuskan pada perangkat keras dan infrastruktur jaringan pada sistem i-Gracias.
Dari hasil penelitian didapatkan Nilai Prioritas Risiko (RPN) berdasarkan proses pengukuran yang telah
dilakukan pada tiap-tiap risiko yang telah diidentifikasi dan dianalisis sebelumnya. Sehingga organisasi dapat
melakukan pencegahan, penanganan serta perbaikan untuk ke depannya sesuai dengan tingkat prioritas risiko.
Kata Kunci : Direktorat SISFO, ISO 31000, Manajemen Risiko, Risk Management, Sistem Informasi, Sistem, i-
Gracias.
Abstract
Information System on Direktorat SISFO is one of integration system that connects between academic
stakeholders. Every activities inside the system is a crucial thing to execute. The availability is the main priority
to support the system to work. But, the possibility of having risk and threat will crash the system from any part,
one of them is caused by information technology.
It is necessary to analyze the risks that possibly appear to crash the system. According to the result of the
analyzing, it shows the result about the physical assets with its own risks. Information Technology Risk Analysis
based on Risk Management using ISO 31000 focus on hardware and network infrastructure for i-Gracias System.
The research purposes is to get the Risk Priority Value based on the measurement process to all identified risk
and analyzed. So that in the future, the organization will be able to prevent, handle and fix everything based on
the risk priority level.
Keyword : Direktorat Sisfo, ISO 31000, Risk Management, Information System, System, i-Gracias.
pegawai untuk semua Fakultas di lingkungan untuk mengelolanya dan mitigasi risiko dengan
Telkom University. i-Gracias merupakan sistem menggunakan pemberdayaan/ pengelolaan
terintegrasi berbagai kegiatan akademik maupun non sumberdaya.
akademik di Telkom University. Oleh sebab itu, Strategi yang dapat diambil antara lain adalah
kehadiran i-Gracias dinilai sangat penting dalam memindahkan risiko kepada pihak lain, menghindari
penyampaian informasi ke seluruh civitas akademik, risiko, mengurangi efek negatif risiko, dan
hal ini membuat i-Gracias harus tetap berjalan baik menampung sebagian atau semua konsekuensi
dan konsisten. risiko tertentu. Manajemen risiko tradisional
Namun tidak dapat dipungkiri bahwa terfokus pada risiko-risiko yang timbul oleh
kemungkinan berbagai ancaman dan risiko yang penyebab fisik atau legal (seperti bencana alam atau
muncul dalam sistem akan mengganggu bahkan kebakaran, kematian, serta tuntutan hukum. [3]
melumpuhkan aktivitas di dalam sistem sehingga Manajemen risiko dapat diterapkan ke seluruh
sistem tidak dapat berjalan secara optimal. organisasi, pada keseluruhan area kegiatan dan pada
Berangkat dari permasalahan diatas, maka perlu setiap tingkatan, setiap saat, baik pada suatu fungsi
dilakukan suatu analisis risiko terhadap khusus, proyek, proses maupun suatu kegiatan.
kemungkinan ancaman dan risiko yang muncul di Adapun sasaran dan tujuan pelaksanaan manajemen
dalam sistem. Sehingga perusahaan atau organisasi risiko adalah untuk mengurangi risiko yang mungkin
dapat melakukan pencegahan, penanganan serta akan muncul (ancaman), mengukur dampak dari
perbaikan terhadap kemungkinan-kemungkinan potensi ancaman, menentukan berapa besar kerugian
risiko tersebut. yang diderita akibat hilangnya potensi bisnis.
Berdasarkan hasil analisis tersebut, didapatkan Ancaman ini bisa disebabkan oleh berbagai
gambaran mengenai aset fisik beserta kemungkinan elemen seperti teknologi, human error, lingkungan,
ancaman dan risiko yang muncul pada tiap-tiap aset politik maupun dari organisasi.
tersebut. Selain itu juga didapatkan nilai risiko yang Manajemen risiko bertujuan untuk mengelola
diperoleh dari proses pengukuran tingkat risiko risiko tersebut sehingga kita dapat memperoleh hasil
untuk tiap-tiap risiko yang telah diidentifikasi dan yang optimal. Manajemen risiko pada dasarnya
dianalisis sebelumnya. Analisis Risiko Teknologi dilakukan melalui proses-proses berikut ini : [5]
Informasi Berbasis Risk Management ini
menggunakan ISO 31000 yang difokuskan pada 1. Identifikasi Risiko
Teknologi dan Infrastruktur jaringan sistem i- Proses ini meliputi identifikasi risiko yang
Gracias. mungkin terjadi dalam suatu aktivitas usaha.
Identifikasi risiko secara akurat dan komplet
sangatlah vital dalam manajemen risiko. Salah
1.2 Perumusan Masalah
satu aspek penting dalam identifikasi risiko
Permasalahan yang akan diselesaikan dalam
adalah mendaftar risiko yang mungkin terjadi
Tugas Akhir ini adalah :
sebanyak mungkin. Teknik-teknik yang dapat
1. Bagaimana analisis risiko teknologi informasi
digunakan dalam identifikasi risiko antara lain:
terhadap sistem i-Gracias menggunakan iso
a) Brainstorming
31000?
b) Survei
2. Bagaimana tingkat risiko teknologi informasi
c) Wawancara
i-Gracias saat ini dan seperti apa perlakuan
d) Informasi historis
risiko yang diberikan?
e) Kelompok kerja, dll
1.3 Tujuan
Tujuan yang ingin dicapai dalam penelitian 2. Analisis Risiko
Setelah melakukan identifikasi risiko, maka
Tugas Akhir ini adalah :
tahap berikutnya adalah pengukuran risiko
1. Melakukan tahapan dan proses analisis risiko
dengan cara melihat potensial terjadinya
teknologi informasi berbasis risk management
seberapa besar severity (kerusakan) dan
sesuai dengan standar dan kerangka kerja ISO
probabilitas terjadinya risiko tersebut.
31000.
Penentuan probabilitas terjadinya suatu event
2. Mengetahui tingkat risiko teknologi informasi
sangatlah subyektif dan lebih berdasarkan
i-Gracias saat ini serta perlakuan risiko yang
nalar dan pengalaman. Beberapa risiko
diberikan.
memang mudah untuk diukur, namun
sangatlah sulit untuk memastikan probabilitas
2. Tinjauan Pustaka suatu kejadian yang sangat jarang terjadi.
2.1 Manajemen Risiko Sehingga, pada tahap ini sangatlah penting
Manajemen risiko adalah suatu pendekatan untuk menentukan dugaan yang terbaik supaya
terstruktur/metodologi dalam mengelola nantinya kita dapat memprioritaskan dengan
ketidakpastian yang berkaitan dengan ancaman;
baik dalam implementasi perencanaan
suatu rangkaian aktivitas manusia
manajemen risiko. Kesulitan dalam
termasuk: penilaian risiko, pengembangan strategi
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.2 Agustus 2015 | Page 6203
pengukuran risiko adalah menentukan organisasi yang merupakan kombinasi dari orang-
kemungkinan terjadi suatu risiko karena orang, fasilitas, teknologi, media prosedur-prosedur
informasi statistik tidak selalu tersedia untuk dan pengendalian yang ditujukan untuk
beberapa risiko tertentu. Selain itu, mendapatkan jalur komunikasi penting, memproses
mengevaluasi dampak severity (kerusakan) tipe transaksi rutin tertentu, memberi sinyal kepada
seringkali cukup sulit untuk asset immaterial. manajemen dan yang lainnya terhadap kejadian-
Hasil akhir dari analisis risiko adalah kejadian internal dan eksternal yang penting dan
penentuan risiko (contoh: tingkat bahaya dan menyediakan suatu dasar informasi untuk
kemungkinan dari bahaya yang terjadi). pengambilan keputusan. [10]
3. Metode Penelitian
Gambar 4. 1 Mapping Infrastruktur sistem i-
3.1 Proses Manajemen Risiko
Gracias
Manajemen risiko adalah suatu proses
mengidentifikasi, mengukur risiko, serta
4.1.1.2 Identifikasi Risiko
membentuk strategi untuk mengelolanya melalui
Tahap Identifikasi risiko bertujuan untuk
sumber daya yang tersedia. Manajemen risiko
mengidentifikasi berbagai kemungkinan risiko yang
bertujuan untuk mengelola risiko tersebut sehinga muncul pada aset melalui proses studi literature dan
dapat memperoleh hasil yang optimal. Proses interview. Proses ini dimulai dari mengidentifikasi
manajemen risiko meliputi lima kegiatan, yaitu berbagai kemungkinan risiko yang muncul pada
komunikasi dan konsultasi; menentukan konteks; teknologi dan infrastruktur sistem i-Gracias. Setelah
asesmen risiko; perlakuan risiko; serta monitoring diperoleh daftar risiko yang dapat terjadi maka mulai
dan review. Proses manajemen risiko dapat dianalisis mengapa hal tersebut dapat terjadi dan
ditunjukkan pada gambar di bawah ini. bagaimana dampak yang ditimbulkan dari risiko
tersebut.
Gempa bumi
Petir
Badai
Gambar 3.1 Proses Manajemen Risiko
Embun
4. Pembahasan Radiasi panas
4.1 Penilaian Risiko Suhu yang bervariasi
Pada Penilaian risiko terdapat beberapa tahapan Debu / kotoran
yang harus dilakukan antara lain : Kelembaban
Pencurian perangkat
4.1.1 Identifikasi Aset Informasi diakses oleh pihak yang
Tahapan identifikasi aset akan memberikan tidak berwenang
suatu gambaran mengenai aset-aset yang Kebocoran data atau informasi
berhubungan dengan sistem i-Gracias dilihat dari internal perusahaan / institusi
sisi Teknologi dan Infrastrukturnya melalui proses Data dan informasi tidak sesuai fakta
observasi dan interview dengan pihak-pihak terkait. Penyalahgunaan hak akses / User ID
Manusia
Kegagalan / kerusakan hardware Tabel 3.2 Pilihan jawaban untuk kriteria dampak
Server down Jawaban Singkatan Nilai
Overheat Sangat Ringan SR 1
Sistem dan Infrastruktur
12 Penyalahgunaan Database
5
hak akses / user Server
ID
15 Overload Database
4 19 8
Server
K EM U N GK I N A N
mengakses sistem pada waktu yang bersamaan agar tetap dingin sehingga perangkat terhindar
sehingga beban kerja server semakin bertambah dan dari risiko akibat overheat.
dapat memicu terjadinya server down. Jika dilihat b. Menghilangkan log yang menggunakan kapasitas
dari pemicunya, berikut adalah beberapa hal yang yang besar.
dapat dilakukan untuk mencegah dan menangani c. Melakukan restart database service.
terjadinya risiko database server down, antara lain : d. Memprioritaskan query yang berat.
a. Menggunakan pendingin ruangan yang cukup
untuk menjaga suhu dan temperatur ruangan