P. 1
makalah manris

makalah manris

|Views: 14|Likes:
Published by Dony Ariyanto

More info:

Published by: Dony Ariyanto on May 29, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

12/25/2013

pdf

text

original

MAKALAH

MANAJEMEN RISIKO PADA SISTEM INFORMASI AKADEMIK(SIA)
Disusun untuk memenuhi tugas Mata Kuliah Manajemen Risiko Dosen Pengampu : M.Mustakim, M.T

Disusun Oleh :

1. Subkhan Indra Gunawan 2. Doni Ariyanto

(11650026) (11650036)

TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKHNOLOGI UIN SUNAN KALIJAGA YOGYAKARTA

2013

resiko terkena banjir di musim hujan dan sebagainya.Kemudian ancaman lain yaitu jika system database yang ada di SIA mengalami kebocoran dan lain-lain. Resiko merupakan bagian dari kehidupan kerja individual maupun organisasi. dapat menyebabkan kita menanggung kerugian jika resiko-resiko tersebut tidak kita antisipasi dari awal.jika SIA tiba-tiba mati pada saat jam-jam dimana mahasiswa sedang mengakses SIA tentunya akan menimbulkan dampak yang begitu besar.salah satu implementasi hal tersebut adalah adanya sistem informasi akademik di perguruan tinggi baik negeri maupun swasta. . Melihat realita yang terjadi maka peran manajemen risiko terhadap potensi ancaman yang mungkin timbul menjadi sangat penting sekali bagi organisai atau suatu institusi tertentu. Berbagai macam resiko.melihat nilai.model pembelajaran dll. seperti resiko kebakaran. Dewasa ini kebututhan informasi yang realtime sangalah di butuhkan selain kebutuhan informasi efisiensi pun menjadi hal yang sangat di perlukan tidak terkecuali di bidang akademis.Sistem informasi akademik atau biasa disingat SIA ini berguna untuk menyajikan informasi yang dibutuhkan oleh para mahasiswa dari mulai menginputkan krs. kerusakan.PENDAHULUAN Dalam kehidupan sehari-hari kita sering mendengar kata “Resiko” dan sudah biasa dipakai dalam percakapan sehari-hari oleh kebanyakan orang.bahakan berkembang digunakan dalam mengisi sebuah kuisioner baik kuisioner dalam penilainan kinerja seorang dosen. Namun dalam implemntasinya banyak sekali hal-hal yang ancaman SIA yang sewaktuwaktu bisa mati (offline).

c) dukungan pihak manajemen terhadap pengembangan teknologi informasi. Proses menganalisa serta memperkirakan timbulnya suatu resiko dalam suatu kegiatan disebut sebagai manajemen resiko. Catastrophic (Bencana) b. dan d) skedul waktu penerapan pengembangan teknologi informasi. Negligible (dapat diabaikan) Adapun pengaruh atau dampak yang ditimbulkan terhadap suatu proyek sistem informasi dapat berpengaruh kepada a) nilai unjuk kerja dari sistem yang dikembangkan. faktor resiko dalam suatu perencanaan sistem informasi. Critical (Kritis) c. hal ini juga dapat menghambat proses pencapaian misi organisasi. pengembangan unit usaha yang berupaya menerapkan sistem informasi dalam organisasinya telah menjadi kebutuhan dasar dan semakin meningkat dari tahun ke tahun. Pada dasarnya resiko dari suatu kegiatan tidak dapat dihilangkan akan tetapi dapat diperkecil dampaknya terhadap hasil suatu kegiatan. Marginal (kecil) d. dapat diklasifikasikan ke dalam 4 kategori resiko. atau meningkatnya nilai investasi dari plafon yang seharusnya. Suatu resiko perlu didefinisikan dalam suatu pendekatan yang sistematis. yaitu : a. Pada dasarnya. b) biaya yang dikeluarkan oleh suatu organisasi yang mengembangkan teknologi informasi. Akan tetapi pola pembangunan sistem informasi yang mengindahkan faktor resiko telah menyebabkan beberapa organisasi mengalami kegagalan menerapkan teknologi informasi tersebut. Pengertian Manajemen Risiko Resiko adalah suatu umpan balik negatif yang timbul dari suatu kegiatan dengan tingkat probabilitas berbeda untuk setiap kegiatan. Mendefinisikan suatu resiko dalam pengembangan teknologi informasi pada suatu organisasi terkait dengan Siklus Hidup .PEMBAHASAN 1. sehingga pengaruh dari resiko yang timbul atas pengembangan teknologi informasi pada suatu institusi kampus dapat diantisipasi dan di identifikasi sebelumnya. Seiring dengan berkembangnya teknologi informasi yang bergerak sangat cepat dewasa ini.

2. Merekomendasikan cara-cara pengendalian resiko i. Melihat realita yang terjadi maka sudah sepatutnya kita membuat manajemen risiko terhadap berbagai impact yang terjadi. Mendokumentasikan hasil keputusan . Mengidentifikasikan kelemahan sistem d. dimana fase-fase penerapan SDLC dalam pengembangan teknologi informasi di spesifikasikan analisa resiko. Menentukan beberapa kemungkinan pemecahan masalah f. Mengidentifikasikan ancaman-ancaman c.Adapun metodologi manajemen reisiko sistem informasi akademik dapat diuraikan sebagai berikut : a. Menentukan resiko h. Menganalisa pengawasan e.Banyak sekali ancaman-ancaman yang terjadi misalnya ancaman SIA yang sewaktuwaktu bisa mati (offline).karena penting karena pencegahan dapat menghindarkan pengelola atau pemilik sistem informasi dari timbulnya kejahatan (computer related crime).jika tidak adanya pencegahan yang dini maka hal ini akan menimbulkan masalah yang dapat merugikan institusi tersebut. Menganalisa pengaruh resiko terhadap sistem akademik g. kerugian yang lebih besar dan upaya atau biaya yang besar dalam upaya melakukan deteksi. Menentukan karakteristik dari suatu sistem akademik b. atau pun upaya menempuh proses hukum dan recovery terhadap sistem informasi yang rusak.Pengembangan Sistem (System Development Life Cycle [SDLC]). upaya-upaya yang bersifat pencegahan (prevention) terhadap potensi ancaman yang mungkin timbul menjadi penekanan yang sangat penting. Manajemen Risiko pada Sistem Informasi Akademik Dalam konteks keamanan sistem informasi akademi(SIA).Untuk menentukan kemungkinan resiko yang timbul selama proses pengembangan sistem informasi berlangsung.Kemudian ancaman lain yaitu jika system database yang ada di SIA mengalami kebocoran dan lain-lain.jika SIA tiba-tiba mati pada saat jam-jam dimana mahasiswa sedang mengakses SIA tentunya akan menimbulkan dampak yang begitu besar. maka universitas yang bermaksud mengembangkan sistem informasi perlu menganalisa beberapa kemungkinan yang timbul dari pengembangan sistem informasi tersebut.

Beberapa hal tambahan yang dapat diklasifikasikan pada karakteristik sistem selain hal tersebut di atas seperti bentuk dari arsitektur keamanan sistem. data dan informasi. Adapun teknik pengumpulan informasi yang dapat diterapkan pada langkah ini meliputi :  Membuat daftar kuesinoner. Review atas dokumen. dan hal lain yang berhubungan dengan masalah keamanan seputar penerapan Teknologi Informasi di PKSI yang bermaksud mengembangkan sistem informasi akademik. tujuan dari sistem. . maupun tools lain. Menentukan Karakterisasi Sistem Informasi Akademik(SIA) Pada langkah pertama ini batasan suatu sistem yang akan dikembangan di identifikasikan. sistem dan data kritis. Review atas dokumen pengembangan sistem. perangkat lunak. Hasil output dari langkah pertama ini akan menghasilkan Penaksiran atas karakteristik sistem IT. atau dokumen keamanan informasi dapat memberikan gambaran yang bermanfaat tentang bentuk dari kontrol yang saat ini diterapkan oleh SI maupun rencanan pengembangan dari pengawasan di masa depan.   Interview.  Penerapan Tool. Manajemen pengawasan yang dipakai pada sistem TI di PKSI. sumber daya manusia yang mendukung sistem IT. sistem interface. Dokumen kebijakan. bentuk topologi jaringan komputer yang dimiliki oleh PKSI di UIN SUKA. Gambaran tentang lingkungan sistem IT serta gambaran tentang batasan dari sistem SIA yang ada di UIN SUKA. Bentuk lain dari pengumpulan data dengan cara interview terhadap IT Support atau personil yang terlibat dalam sistem informasi. kebijakan yang dibuat dalam penanganan keamanan sistem informasi. Daftar kuesioner ini di susun untuk semua level manajemen yang terlibat dalam sistem dengan tujuan mengumpulkan informasi seputar keamanan data dan informasi dengan tujuan untuk memperoleh pola resiko yang mungkin dihadapi oleh sistem. Menggunakan suatu tool aplikasi yang memiliki tujuan untuk mengumpulkan informasi tentang sistem informasi yang digunakan merupakan salah satu cara untuk dapat memetakan sistem secara keseluruhan. serta sistem dan data sensitif. seperti penggunakan network monitor. meliputi perangkat keras.Langkah 1.

Timbulnya ancaman dapat dipicu oleh suatu kondisi dari sumber ancaman. Ancaman Alam Sumber Ancaman SIA Bencana Alam(gempa. Sumber ancaman dapat muncul dari kegiatan pengolahan informasi yang berasal dari 3 hal utama. Adapun alasan yang timbul dari ancaman manusia ini dapat di definisikan dalam tabel berikut : 1. Cracker      Alasan Tantangan Ego Memberontak     Kriminal Perusakan informasi Penyingkapan secara ilegal informasi    Aksi yang timbul Hacking Social Engineering Gangguan sistem Akses terhadap sistem Tindak Kriminal Perbuatan curang Penyuapan . Ancaman yang berasal dari manusia memiliki karakteristik tersendiri. Mengidentifikasikan ancaman-ancaman Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. dan (3) Ancaman Lingkungan.Langkah 2. serta memiliki alasan tersendiri dalam melakukan gangguan terhadap sistem informasi yang ada.banjir. yaitu (1) Ancaman Alam. Ancaman Manusia Sumber Ancaman SIA Hacker. (2) Ancaman Manusia.dll)  Tersambar Petir   Dampak  Kerusakan hardware Sistem Mati(offline) SIA mati total(offline) Hardware rusak pada 2.

trojan. perlu melakukan hubungan dengan badan-badan atau sumber-sumber yang berhubungan dengan keamanan. atau pihak intelijen atau media massa yang dapat mendeteksi sumber ancaman dari manusia. seperti misalnya sumber ancaman dari alam diharapkan hubungan dengan BMG yang menangani masalah alam. .  Teroris     Keuntungan moneter Merubah data Surat kaleng Perusakan Peledakan Balas dendam         Spoofing Intrusi atas sistem Bom/teror Perang informasi Penyerangan sistem Penembusan atas sistem Tampering sistem Pencurian informasi Social engineering Penembusan atas sistem Surat kaleng Sabotase atas sistem Bug sistem Pencurian/penipuan Perubahan data Virus. Ancaman Lingkugan Sumber Ancaman SIA Kebakaran Dampak   Konsleting listrik  Kerusakan hardware Sistem Mati(offline) SIA mati (offline) pada PKSI yang membutuhkan daftar dari sumber ancaman. dll Penyalahgunaan komputer Mata-mata       Mata-mata ekonomi Orang Organisasi dalam Keingintahuan Ego Mata-mata Balas dendam Kelalaian kerja masalah          3.

Strategi ST&E merupakan metode tes yang di terapkan pada saat proses penilaian atas resiko dilakukan. Analisa pengawasan Tujuan yang diharapkan pada langkah ini adalah untuk menganalisa penerapan kontrol yang telah diimplementasikan atau yang direncanakan. dimana hal tersebut tergantung kepada keberadaan sumber daya atau kondisi IT yang bersifat kritis. yang digunakan untuk memindai beberapa servis sistem yang disinyalir lemah (seperti : Diperbolehkannya anonymous FTP. atau Melakukan penetrasi tes Penggunaan tools untuk mencek kelemahan sistem diterapkan pada institusi kampus dengan kelengkapan jaringan komputer yang memadai.Hasil output dari ancaman ini merupakan pernyataan atau daftar yang berisikan sumber ancaman yang mungkin dapat mengganggu sistem secara keseluruhan. Langkah 4. Bentuk keluaran yang timbul pada langkah ketiga ini memungkinkan pihak penilai resiko mendapatkan daftar dari kelemahan sistem yang dapat dianggap sebagai potensi dari sumber ancaman di kemudian hari. mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh sumber ancaman yang mencoba menyusup terhadap sistem tersebut. dll). menetapkan prosedur. Identifikasi kelemahan Cacat atau kelemahan dari suatu system informasi akademik adalah suatu kesalahan yang tidak terdeteksi yang mungkin timbul pada saat mendesain. sendmail automatis. Kegunaan dari metode ini adalah untuk melihat efektifitas dari kontrol atas sekuriti dari sistem IT terimplementasikan dalam kondisi sistem beroperasi. Langkah 3. Penetrasi tes merupakan metode yang digunakan sebagai pelengkap dalam memeriksa kontrol atas sekuriti dan menjamin tidak adanya masalah sekuriti yang mungkin timbul pada sistem IT. Metode tes yang diterapkan dapat berbentuk :    Penggunaan tool yang menscan kelemahan sistem secara automatis Adanya Evaluasi dan sekuriti tes (ST&E). Bagi PKSI langkah ini perlu untuk . Penerapan metode proaktif atau tersedianya karyawan yang bertugas untuk melakukan sistem test dapat di pakai untuk mencek kelemahan sistem secara efisien. Metode ini diterapkan saat pengembangan dan eksekusi atas Sistem Informasi berjalan yaitu pada bagian test plan.

Menerapkan beberapa kemungkinan . perangkat lunak maupun mekanisme akses kontrol yang digunakan. Kategori pengawasan Kategori pengawasan baik secara teknis maupun non teknis dapat diklasifikasikan dalam 2 pendekatan yaitu pendekatan preventif atau detektif. metode ini contoh pada Microsoft Windows dengan menggunakan teknik audit trails. seperti penerapan policy keamanan. Pendekatan preventif adalah upaya untuk mencegah upaya pelanggaran atas policy keamanan seperti pengaksesan atas sistem IT yang ada di PKSI atau tindakan lain misalnya dengan cara mengenkripsi informasi atau menerapkan otentifikasi atas informasi. Pendekatan detektif adalah cara untuk memperingati pengguna atas terjadinya pelanggaran atau percobaan pelanggaran atas policy keamanan yang ada. metode deteksi penyusupan atau teknik checksum. maupun manajemen personel yang ada. sedangkan metode nonteknis lebih ditekankan kepada pengawasan atas manajemen dan operasional penggunaan sistem IT di PKSI. Teknis analisa pengawasan Analisa pengawasan atas policy keamanan dapat menggunakan teknik checklist pengguna yang mengakses sistem IT atau dengan penggunaan checklist yang tersedia untuk memvalidasi keamanan.meminimalisasi atau bahkan mengeliminasi probabilitas kemungkinan yang timbul dari sumber ancaman atau potensi kelemahan atas sistem. Langkah 5. Hasil yang diharapkan muncul pada tahap ini adalah tersedianya daftar kontrol yang digunakan dan yang sedang direncanakan oleh sistem IT untuk memitigasi kemungkinan adanya kelemahan atas sistem dan memperkecil dampak yang mungkin timbul atas penerapan policy keamanan. prosedur operasional. hal paling penting pada tahap ini adalah mengupdate terus menerus atas checklist pengguna sistem untuk mengontrol pemakai. Metode pengawasan Metode pengawasan terdiri atas metode yang bersifat teknis maupun non teknis. Metode pengawasan secara teknis merupakan salah satu upaya perlindungan kepada PKSI dalam hal perlindungan terhadap perangkat keras komputer.

apakah dikategorikan penting atau tidak Sistem dan data yang bersifat sensitif Informasi tersebut di atas. dampak yang ditimbulkan dari tingkat ini dapat membuat sistem tidak berfungsi sama sekali.  Marginal:Pada level ini kontrol keamanan mampu mendeteksi sumber ancaman yang menyerang sistem IT. Pressman [3]. Analisa dampak Analisa dampak merupakan langkah untuk menentukan besaran dari resiko yang memberi dampak terhadap sistem secara keseluruhan. Analisa dampak bagi . Terdapat beberapa faktor yang perlu dipertimbangkan dalam upaya mendefinisikan skalabilitas seperti :    Motif dan kapabilitas dari sumber ancaman Kelemahan bawaan dari sistem Eksistensi dan efektifitas kontrol yang di terapkan Adapun level skalabilitas dari ancaman menurut Roger S.Pada langkah ini.  Critical:Level ini dapat dikategorikan cukup membuat merusak sistem IT PKSI. walau tingkat kerusakan pada sistem masih terjadi akan tetapi masih dapat di perbaiki dan dikembalikan kepada kondisi semula  Negligible:Pada level ini sumber ancaman tidak dapat mempengaruhi sistem. akan tetapi penggunaan kontrol yang diterapkan pada sistem telah dapat menahan kondisi kerusakan sehingga tidak menyebabkan kerusakan yang besar pada sistem. dapat diperoleh dari sumber dokumentasi pengembangan sistem di PKSI yang mengembangkan sistem informasi akademik(SIA). Penilaian atas dampak yang terjadi pada sistem berbeda-beda dimana nilai dari dampak sangat tergantung kepada    Tujuan sistem IT tersebut saat di kembangkan Kondisi sistem dan data yang bersifat kritis. dimana sumber ancaman memiliki motif besar saat melakukan kegiatannya. semua skalabilitas kemungkinan yang mungkin timbul dari kelemahan sistem didefinisikan. dimana kontrol atas sistem sangat mampu mengantisipasi adanya kemungkinan ancaman yang dapat mengganggu system Langkah 6. dapat di definisikan dalam 4 kategori yang didefinisi dalam tabel berikut :  Catastrophics:Pada level ini tingkat ancaman dapat dikategorikan sangat merusak.

dapat dianalisa dengan mewawancarai pihak-pihak yang berkompeten. Probabilitas dari setiap ancaman dan dampak yang ditimbulkan dibuat dalam suatu skala misalkan probabilitas yang timbul dari suatu ancaman pada langkah ke 5 di skalakan dalam nilai . Tahap Penentuan Resiko Dalam tahap ini. dampak kualitatif dari kerugian integrity ini adalah menurunkan tingkat produktifitas kerja karena gangguan atas informasi adapun dampak kuantitatif adalah kebutuhan dana dan waktu merecovery informasi yang berubah. Dampak atas Integrity (Integritas) Dampak integritas adalah termodifikasikan suatu informasi. Dampak yang timbul dapat mengarah kepada : a. Adapun dampak kerugian yang mungkin timbul dari suatu resiko dikategorikan dalam 3 (tiga) kemungkinan yang mana dampak tersebut dapat berkonsekuensi atas satu atas kombinasi dari ketiga hal tersebut. Dampak ini akan berakibat kepada sistem dan kerahasiaan data dimana sumber daya indormasi akan terbuka dan dapat membahayakan keamanan data. dampak resiko didefinisikan dalam bentuk matriks sehingga resiko dapat terukur. 5 x 5 yang tergantung dari bentuk ancaman dan dampak yang di timbulkan. sehingga didapatkan gambaran kerugian yang mungkin timbul dari kelemahan dan ancaman yang muncul. Dampak atas Availability (Ketersediaan) Kerugian ini menimbulkan dampak yang cukup signifikan terhadap misi kampus karena terganggunya fungsionalitas sistem dan berkurangnya efektifitas operasional. c. Dampak yang ditimbulkan oleh suatu ancaman maupun kelemahan. Adapun hasil keluaran dari langkah ke 6 ini adalah kategorisasi dampak dari resiko dalam beberapa level seperti dijelaskan pada langkah 5 yang di implementasikan terhadap tingkat CIA tersebut di atas. Penyingkapan atas kerahasiaan data dapat menghasilkan tingkat kerugian pada menurunnya kepercayaan atas sumber daya informasi dari sisi kualitatif. Dampak atas Confidentiality (Kenyamanan). Bentuk dari matriks tersebut dapat berupa matriks 4 x 4. Langkah 7. sedang dari sisi kuantitatif adalah munculnya biaya perbaikan sistem dan waktu yang dibutuhkan untuk melakukan recovery atas data b.beberapa kalangan dapat juga disebut sebagai BIA (Business Impact Analysis) dimana skala prioritas atas sumber daya yang dimiliki memiliki level yang berbeda.

1 = 1 100 x 0. dimana skala sangat tinggi di definisikan dalam nilai 100. langkah ke delapan ini adalah membuat suatu rekomendasi dari hasil matriks yang timbul dimana rekomendasi tersebut meliputi beberapa hal sebagai berikut :      Rekomendasi tingkat keefektifitasan suatu system informasi akademik secara keseluruhan Rekomendasi yang berhubungan dengan regulasi dan undang-undang yang berlaku Rekomendasi atas kebijakan PKSI/Kampus Rekomendasi terhadap dampak operasi yang akan timbul Rekomendasi atas tingkat keamanan dan kepercayaan .0 untuk tingkat Catastrophics. tinggi dalam nilai 70.1 untuk tingkat negligible. maka matriks dari langkah ke 7 ini dapat di buat dalam bentuk : Dampak Tingkat Ancaman Catastrophic (1.7 70 x 0.1 = 7 40 x 0.1 = 4 10 x 0.4 = 16 10 x 0.1.4 = 28 40 x 0.7 = 28 10 x 0.7 untuk tingkat critical.1s) 100 x 0.0) Critical (0. 0.4 = 40 70 x 0.7 = 7 Sangat Tinggi (100) 100 x 1= 100 Tinggi (70) 70 x 1 = 70 Sedang ( 40) 40 x 1 = 40 Rendah (10) 10 x 1 = 10 Langkah 8.4) Negligible (0. 0.4 untuk tingkat marginal dan 0.7) Marginal (0.1 = 10 70 x 0.4 = 4 100 x 0. Adapun probabilitas dampak pada langkah ke 6 yang timbul di skalakan dalam 4 skala yang sama dengan nilai 4 dampak.7 = 0. sedang diskalakan dalam penilaian 40 dan rendah diskalakan dalam nilai 10.7 = 49 40 x 0. Rekomendasi kontrol Setelah langkah mendefinisikan suatu resiko dalam skala tertentu.

Pendefinisian skala rekomendasi yang dibuat berdasarkan skala prioritas dari yang telah di tetapkan oleh PKSI dalam lingkungan kampus UIN Sunan Kalijaga. Menganalisa pengaruh resiko terhadap sistem akademik g. Menentukan beberapa kemungkinan pemecahan masalah f. Adapun metodologi manajemen reisiko sistem informasi akademik dapat diuraikan sebagai berikut : a. Menentukan resiko h. Laporan ini bersifat laporan manajemen yang digunakan untuk melakukan proses mitigasi atas resiko di kemudian hari. maupun saat maintenance dilaksanakan. Menganalisa pengawasan e. Menentukan karakteristik dari suatu sistem akademik b. KESIMPULAN Pendekatan manajemen resiko dalam pembangunan atau pengembangan system informasi akademik(SIA) merupakan proses penting untuk menghindari segala kemungkinankemungkinan yang terjadi saat system informasi tersebut dalam proses pengembangan. . Langkah 9. Mengidentifikasikan ancaman-ancaman c. Mendokumentasikan hasil keputusan Proses penganalisaan dampak resiko dengan metode diatas pada SIA dapat di susun secara terstruktur untuk memudahkan para pengambil kebijakan pada proses mitigasi resiko. Dokumentasi hasil pekerjaan Langkah terakhir dari pekerjaan ini adalah pembuatan laporan hasil investigasi atas resiko bidang sistem informasi akademik. Merekomendasikan cara-cara pengendalian resiko i. Mengidentifikasikan kelemahan sistem d.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->