Tugas Mid Berkelompok (Irene Handriani B.S)
-
Upload
oggyandans -
Category
Documents
-
view
27 -
download
9
Transcript of Tugas Mid Berkelompok (Irene Handriani B.S)
IT Risk Management Guideline, Appendix E Risk Assessment TemplateRISK ASSESSMENT SISTEM INFORMASI KEUANGAN UNAI
Version 1.0Maret 2014
Di susun oleh : Rahmat KurniaChristover SimbolonIrene Handriani BadowoJohanToman TobingZitta AprianiBryan Wambrauw
UNIVERSITAS ADVENT INDONESIA2013/2014
Review DateReviewer
Laporan Risk Assessment
1
DAFTAR PUSTAKA
1PENDAHULUAN12KARAKTERISASI SYSTEM IT23IDENTIFIKASI RISIKO44ANALISIS PENGENDALIAN65KEMUNGKINAN RISIKO96ANALISIS DAMPAK RISIKO117PENENTUAN RISIKO KESELURUHAN138SARAN159HASIL DOKUMENTASI16
DAFTAR TABELExhibit 1: Risk Assessment Matrix16
DAFTAR GAMBARFigure 1 IT System Boundary Diagram3Figure 2 Information Flow Diagram3
DAFTAR TABLETable A: Risk Classifications1Table B: IT System Inventory and Definition2Table C: Threats Identified4Table D: Vulnerabilities, Threats, and Risks5Table E: Security Controls6Table F: Risks-Controls-Factors Correlation8Table G: Risk Likelihood Definitions9Table H: Risk Likelihood Ratings9Table I: Risk Impact Rating Definitions11Table J: Risk Impact Analysis11Table K: Overall Risk Rating Matrix13Table L:Overall Risk Ratings Table13Table M:Recommendations15
1 PENDAHULUANMahasiswa Universitas Advent Indonesia melakukan Risk Assessment kepada Sistem Informasi Keuangan yang dimiliki oleh Universitas Advent Indonesia. Penilian risiko ini dilakukan sesuai metodologi yang di jelaskan dalam ITRM pedoman SEC50X 0x, dan wawancara digunakan untuk mengidentifikasi : Kerentanan ; Ancaman ; Risiko ; Kemungkinan risiko, dan Dampak risikoPeserta dan peran mereka dalam Rating risiko ini meliputi : Rahmat Kurnia , membuat laporan terakhir dan menyediakan wawancara, Toman tobing, melakukan wawancara, Bryan wambrauw, melakukan wawancara, Irene handriani, membuat laporan risk assessment, Zitta apriani, membuat laporan risk assessment, Johan, melakukan wawancara, Christover simbolon, melakukan wawancara,
Table A: Klasifikasi RisikoTingkata RisikoPenjelasan Risiko dan Tindakan yang Diperlukan
TinggiHilangnya kerahasiaan, integritas, ketersediaan atau bisa diharapkan memiliki efek samping yang parah atau bencana pada operasi organisasi, aset organisasi atau individu.
SedangHilangnya kerahasiaan, integritas, ketersediaan atau bisa diharapkan memiliki efek samping yang serius pada operasi organisasi, aset organisasi atau individu.
RendahHilangnya kerahasiaan, integritas, ketersediaan atau bisa diharapkan memiliki efek samping yang terbatas pada operasi organisasi, aset organisasi atau individu.
2KARAKTERISTIK SYSTEM ITTable B: IT Sistem Inventarisasi dan Definisi Sistem IT Inventarisasi dan Definisi Dokumen
I. Identifikasi dan Kepemilikan System IT
ID Sistem IT-Nama System ITSunPlus
PemilikUniversitas Advent Indonesia
Lokasi FisikiUniversitas Advent Indonesia
Fungsi Bisnis UtamaPengelolaan bidang Keuangan
Nomber Telepon PemilikSystem Administrator(s)Phone Number
Data PemilikData Custodian(s)Phone Number(s)
II. System It Boundary dan Komponen
Deskripsi dan Komponen System ITSoftware yang digunakan pada system informasi keuangan Universitas Advent Indonesia adalah SunPlus, komponen yang digunakan untuk mendukung software ini adalah sepert, PC digunakan untuk Client, jaringan internet, Server. Software ini tidak terlalu membutuhkan spesifikasi PC yang tinggi, dengan spesifikasi yang rendah pun software ini masih bias digunakan selama ada jaringan Lan tau WLan supaya ada koneksi antara PC Client dan server.
Antarmuka System ITSoftware SunPlus ini termasuk kedalam software yang friendly user atau mudah digunakan. Setiap user yang login memiliki hak akses yang berbeda, seperti contoh hak akses antara Chasier dengan Chiff Accountan berbeda, interfacenyapun berbeda. Begitu juga dengan halaman interface pembantu Rektor 2. Setiap user memiliki hak akses dan fungsi aplikasi yang berbda, sesuai dengan kebutuhan dan kepentingan masing masing user tersebut.
Boundary System ITAplikasi Sunplus ini digunakan untuk menginsert, edit, delete keungan mahasiswa di Universitas Advent Indonesia
III. Sistem IT Interkoneksi
Badan atau OrganisasiNama System ITIT System IDPemilik System ITStatus Perjanjian Keamanan Interkoneksi
IV. System IT dan Sensitivitas Data
Tipe DataRating SensitivitasSertakan Alasan Untuk Setiap Rating
KerahasiaanIntegritasKetersediaan
Keseluruhan Sistem IT Sensitivitas Rating dan KlasifikasiKeseluruhan Sistem IT Sensitivitas Rating Harus "tinggi" jika sensitivitas dari setiap tipe data berperingkat "tinggi" pada setiap kriteria
High Moderate Low
Sistem Klasifikasi IT Harus "Sensitif" jika sensitivitas secara keseluruhan adalah "tinggi", dianggap sebagai "Sensitif" jika sensitivitas secara keseluruhan adalah "moderat"
Sensitive Non-Sensitive
Keterangan atau diagram dari sistem dan arsitektur jaringan, termasuk semua komponen dari sistem dan link komunikasi yang menghubungkan komponen dari sistem, komunikasi data dan jaringan terkait:
Figure 1 IT System Boundary DiagramKeterangan atau diagram yang menggambarkan aliran informasi ke dan dari sistem TI, termasuk input dan output ke sistem TI dan setiap antarmuka lainnya yang ada ke sistem:
Figure 2 Information Flow Diagram
3IDENTIFIKASI RISIKOIdentifikasi KerentananKerentanan diidentifikasi dengan : Observasi, Wawancara Penggunan Sistem Searching Internet
Identifikasi AncamanAncaman ini diidentifikasi dengan : Observasi, Wawancara Pengguna SystemTable C: Identifikasi AncamanServer MatiJaringan MatiGempa Bumi
Mati listrikPetirKebakaran
Server rusakHardisk gilangPC Hang
CrackHackVirus
Windows CrashSoftware CrashHuman Error
SabotaseKerusakan hardwareBencana Alama
Listrik tidak stabil
Identifikasi RisikoRisiko yang diidentifikasi oleh :
The way vulnerabilities combine with credible threats to create risks is identified Table D.
Table D: Kerentanan, Ancaman dan ResikoRisikoNo.KerentananAncamanRisiko KompromiKesimpulan Risiko
1Jaringan internet leletAkses lambatData menjadi tidak singkronJaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkron
2Temperatur Pendingin yang tidak teraturServer LeletKerja Sistem Tidak Maksimalyang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimal
3Hardware yang kurang perawatanKehilangan dataData menjadi hilangaHardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.
4Listrik tidak stabilkebakaranData habisListrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habis
5Server yang terletak di UNAIpencurianData hilangKarena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilang
4ANALISIS PENGENDALIANTable E documents the IT security controls in place and planned for the IT system.Table E: Pengendalian KemananControl AreaSaat ini / perencanaanPenjelasan Pengendalian
1 Manajemen Risiko
1.1 IT Security Roles & ResponsibilitiesSaat ini
1.2 Business Impact Analysis
1.3 IT System & Data Sensitivity Classification
1.4 IT System Inventory & Definition
1.5 Risk Assessment
1.6 IT Security AuditsSetiap user yang melakukan transaksi atau melakukan kegiatan apapun pada system ini akan terekam jejaknya, karena system ini menggunakan hak akses yang berbeda setiap usernya.
2 Perencanaan Kontigensi IT
2.1 Continuity of Operations Planning
2.2 IT Disaster Recovery Planning
2.3 IT System & Data Backup & RestorationSaat iniPegawai Universitas Advent Indonesia selalu melakukan backup data secara teratur, hal ini dilakukan apabila ada hal hal yang tidak diinginkan seperti ada kebakaran, gempa bumi yang menyebabkan data pada server hilang, Universitas Advent Indonesia masih memiliki cadangan data. Universitas Advent Selalu Melakukan Backup data seminggu sekali Unai, sedangkan Untuk GC 1 kali sebualan.
3 Keamanan Sistem IT
3.1 IT System Hardening
3.2 IT Systems Interoperability Security
3.3 Malicious Code ProtectionAplikasi SunPlus ini di install di PC secara Client Server, untuk mengatasi apabila ada Malicious Code atau virus, maka di setiap PC selalu diinstall antivirus
3.4 IT Systems Development Life Cycle Security
4 Logical Access Control
4.1 Account Management
4.2 Password Management
4.3 Remote Access
5 Perlindungan Data
4.4 Data Storage Media Protection
4.5 Encryption
6 Fasilitas Keamanan
6.1 Facilities Security
7 Personil Keamanan
7.1 Access Determination & Control
7.2 IT Security Awareness & Training
7.3 Acceptable Use
8 Manajemen Ancaman
8.1 Threat Detection
8.2 Incident Handling
8.3 Security Monitoring & Logging
9 Manajemen Asset IT
9.1 IT Asset Control
9.2 Software License Management
9.3 Configuration Management & Change Control
Table E correlates the risks identified in Table C with relevant IT security controls documented in Table D and with other mitigating or exacerbating factors.
Table F: Risks-Controls-Factors CorrelationRiskNo.Ringkasan RisikoKorelasi Kontrol Yang Berhubungan dan Faktor Lain
1Jaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkronAkses client akan menjadi terhambat, karena aplikasi ini membutuhkan jaringan internet Lan maupun WLan
2Temperatur yang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimalAkses data dari client ke server menjadi lebih lambat,
3Hardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.Data menjadi tidak dapat diakses lagi
4Listrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habisData menjadi hilang dan tidak bias di akses lagi
5Karena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilangKehilangan server dapat menyebabkan kehilangan datanyapun juga .
5Penentuan Kemungkinan Risiko
Table G: Penentuan Kemungkinan RisikoEfektivitas PengendalianKemungkinan Ancaman Kejadian (Ancaman alam atau lingkungan) atau Ancaman Motivasi dan Kemampuan (Ancaman Manusia)
RendahSedangTinggi
Rendah
SedangTinggiTinggi
Sedang
RendahSedangTinggi
Tinggi
RendahRendahSedang
Table H: Rating Kemungkinan RisikoRiskNo.Ringkasan RisikoEvaluasi Kemungkinan RisikoRating Kemungkinan Risiko
1Jaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkronJaringan intenet yang lelet dapat menyebabkan transportasi antara PC Client dengan Server tidak sinkron atau bahkan tidak dapat terhubungHigh
2Temperatur yang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimalRuang server adalah ruangan yang mesti perlu di jaga temperature nya, karena ruang server ini adalah inti dari system ini. Sehingga apabila temperaturenya terganggu maka akan menyebabkan kinerja syste ini terganggumoderate
3Hardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.Hardware yang sudah tua dapat menyebabkan kinerja system ini terganggumoderate
4Listrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habisListrik juga merupakan salah satu komponen utama yang di perlukan oleh system ini. Apabila terjadi kegagalan listrik maka system ini juga akan terganggumoderate
5Karena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilangserver system ini terletak di UNAI yang pengamananya tidak terlalu ketat menyebabkan Server system ini dapat dicurilow
6Analisis DampakTable I documents the ratings used to evaluate the impact of risks.
Table I: Risk Impact Rating DefinitionsBesaran DampakPenjelasan Dampak
TinggiTerjadinya risiko: (1) dapat menyebabkan kematian manusia atau cedera serius, (2) dapat mengakibatkan hilangnya utama COV nyata aset, sumber daya atau data sensitif, atau (3) secara signifikan dapat membahayakan, atau menghambat misi COV itu, reputasi, atau Ketertarikan.
SedangTerjadinya risiko: (1) dapat menyebabkan cedera manusia, (2) dapat mengakibatkan hilangnya mahal aset atau sumber daya berwujud COV, atau (3) bisa melanggar, kerusakan, atau menghambat misi, reputasi, atau kepentingan COV itu.
RendahTerjadinya risiko: (1) dapat mengakibatkan hilangnya beberapa aset atau sumber daya COV berwujud atau (2) dapat terasa mempengaruhi misi, reputasi, atau kepentingan COV itu.
Table J: Analisis Dampak RisikoRiskNo.RisikoDampak RisikoRating Dampak Risiko
1Jaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkronAkses Client ke server menjadi terganggu. High
2Temperatur yang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimalkinerja system menjadi kurang maksimalhigh
3Hardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.Dapat menyebabkan OS dan system menjadi tidak berjalan. Dan menganggu kinerja systemLow
4Listrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habisSystem tidak dapat berjalan kembaliModerate
5Karena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilangServer unai bias hilang dan datanya juga bias hilang. System unai pun tidak akan bias berjalanLow
7PENENTUAN RISIKOTable K documents the criteria used in determining overall risk ratings.
Table K: Matrix Keseluruhan Rating RisikoKemungkinan RisikoDampak Risiko
Rendah(10)Moderate(50)Tinggi(100)
Tinggi(1.0)Rendah10 x 1.0 = 10Sedang50 x 1.0 = 50Tinggi100 x 1.0 = 100
Sedang(0.5)Rendah10 x 0.5 = 5Sedang50 x 0.5 = 25Sedang100 x 0.5 = 50
Rendah(0.1)Rendah10 x 0.1 = 1Rendah50 x 0.1 = 5Rendah100 x 0.1 = 10
Skala Risiko: Rendah (1 to 10); Sedang (>10 to 50); Tinggi (>50 to 100)Table L assigns an overall risk rating, as defined in Table K, to each of the risks documented in Table D.Table L: Keseluruhan Rating RisikoRiskNo.RisikoPenilaiain Kemungkinan RisikoPeniliaian Dampak RisikoKeseluruhan Rating Risiko
1Jaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkronhighhighhigh
2Temperatur yang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimalmoderatehighmoderate
3Hardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.moderatelowlow
4Listrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habismoderatemoderatemoderate
5Karena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilanglowlowlow
8SARAN
Table M: SaranRiskNo.RisikoRating RisikoSaran
1Jaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkronHighMembuat Local Area Network, sehingga koneksi dari Client Ke Server lebih cepat
2Temperatur yang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimalModeratePengecekan temperature pada ruangan service secara periodic, sehingga menanggulangi berubahnya temperature secara mendakak
3Hardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.LowMengganti hardware, seperti PC, Kabel Lan, Hardisk yang sudah terlalu tua dan tidak mungkin lagi untuk digunakan
4Listrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habisModerateSelalu mengecek listrik dan kabel kabel nya . apabila ada kabel yang bocor sehingga dapat diketahui
5Karena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilanglowMenambahkan pengamanan kepada ruang server, sehingga hal hal yang tidak mungki terjadi lebih bias diminimalisir
9HASIL DOKUMENTASIRiskNo.KerentananAncamanRisikoRiskSummaryRating Kemungkinan RisikoRating Dampak RisikoRating Keseluruhan RisikoAnalisis Kontrol Relevan dan Faktor LainnyaSaran
1Jaringan internet leletAkses lambatData menjadi tidak sinkronJaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkronHighHighhighJaringan intenet yang lelet dapat menyebabkan transportasi antara PC Client dengan Server tidak sinkron atau bahkan tidak dapat terhubungMembuat Local Area Network, sehingga koneksi dari Client Ke Server lebih cepat
2Temperatur Pendingin yang tidak teraturServer leletKerja system tidak maksimalyang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimal
ModerateHighModerateRuang server adalah ruangan yang mesti perlu di jaga temperature nya, karena ruang server ini adalah inti dari system ini. Sehingga apabila temperaturenya terganggu maka akan menyebabkan kinerja syste ini tergangguPengecekan temperature pada ruangan service secara periodic, sehingga menanggulangi berubahnya temperature secara mendakak
3Hardware yang kurang perawatanKehilangan dataData menjadi hilangHardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.
ModerateLowLowHardware yang sudah tua dapat menyebabkan kinerja system ini tergangguMengganti hardware, seperti PC, Kabel Lan, Hardisk yang sudah terlalu tua dan tidak mungkin lagi untuk digunakan
4Listrik tidak stabilKebakaranData habisListrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habisModeratemoderateModerateListrik juga merupakan salah satu komponen utama yang di perlukan oleh system ini. Apabila terjadi kegagalan listrik maka system ini juga akan tergangguSelalu mengecek listrik dan kabel kabel nya . apabila ada kabel yang bocor sehingga dapat diketahui
5Server yang terletak di UNAIpencurianData hilangKarena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilanglowlowlowserver system ini terletak di UNAI yang pengamananya tidak terlalu ketat menyebabkan Server system ini dapat dicuriMenambahkan pengamanan kepada ruang server, sehingga hal hal yang tidak mungki terjadi lebih bias diminimalisir