Post on 21-Apr-2021
APLIKASI MANAJEMEN RISIKO MENGGUNAKAN METODE
OPERATIONALLY CRITICAL THREAT, ASSET, AND VULNERABILITY
EVALUATION DAN FAILURE MODE AND EFFECTS ANALYSIS BERBASIS
ISO 31000:2009 UNTUK MEMBANTU MEMBUAT PROFIL RISIKO
PERUSAHAAN
Skripsi
Oleh
CINDY RAHAYU
NIM : 11140910000079
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGRI SYARIF HIDAYATULLAH
JAKARTA
2018 M/1440 H
ii
LEMBAR PERSETUJUAN
iii
LEMBAR PENGESAHAN
iv
PERNYATAAN ORISINALITAS
v
PERNYATAAN PERSETUJUAN PUBLIKASI SKRIPSI
vi
Penulis : Cindy Rahayu
Program Studi : Teknik Informatika
Judul :Aplikasi Manajemen Risiko Menggunakan Metode
Operationally Critical Threat, Asset And Vulnerability Evaluations dan Failure Mode and Effect Analysis berbasis ISO
31000:2009 Untuk Membantu Membuat Profil Risiko Perusahaan.
ABSTRAK
Setiap organisasi memiliki proses bisnis yang harus dijaga keberlangsungannya,
untuk dapat menjaga kelangsungan bisnis dari gangguan yang disebabkan oleh
risiko organisasi, diperlukan sebuah sistem pengelolaan risiko dengan baik yang
sangat berpengaruh terhadap proses bisnis perusahaan. Manajemen risiko adalah suatu
upaya atau kegiatan yang terkoordinasi untuk mengarahakan dan mengendalikan
kegiatan perusahaan terhadap berbagai kemungkinan risiko yang ada. Metode
penelitian yang digunakan adalah Octave untuk mengelola risiko aset TI dan FMEA
untuk melakukan penilaian terhadap masing-masing risiko, yang kemudian diranking
berdasarkan prioritasnya. Dari hasil penelitian didapatkan profil dari Nilai Prioritas
Risiko (RPN). Sehingga organisasi dapat melakukan pencegahan, penanganan serta
perbaikan untuk ke depannya sesuai dengan tingkat prioritas risiko.
Kata kunci : Manajemen risiko, OCTAVE, FMEA, ISO 31000:2009
vii
Name : Cindy Rahayu
Study Program : Informatic Engineering
Tiltle :Applications Risk Management Using Method
Operationally Critical Threat, Asset And Vulnerability
Evaluations And Failure Mode and Effect Analysis Based on
ISO 31000:2009 To Help Make Company Risk Profiles.
ABSTRACT
Every organization has a business process that must be maintained, to be able to
maintain business continuity from disruptions caused by organizational risk, a good
risk management system is needed that greatly influences the company's business
processes. Risk management is a coordinated effort or activity to lead and control the
activities of the company against various possible risks. The research method used is
OCTAVE to manage the risk of IT and FMEA assets to assess each risk, which is then
ranked based on its priorities. From the results of the study obtained a profile of the
Priority Risk Value (RPN). So that the organization can carry out prevention, handling
and improvement for the future in accordance with the priority level of risk.
Keywords : Risk Management, OCTAVE, FMEA, ISO 31000:2009
viii
KATA PENGANTAR
Bismillahirrohmanirrohim …
Puji syukur penulis panjatkan kehadirat Allah SWT yang telah
melimpahkan rahmat, taufik serta hidayah-Nya sehingga penulis dapat
melaksanakan dan menyelesaikan tugas akhir skripsi ini dengan baik yang
merupakan salah satu syarat untuk memperoleh gelar kesarjanaan Strata Satu (S1) bagi
mahasiswa UIN Syarif Hidayatullah Jakarta, Program Studi Teknik Informatika,
Fakultas Sains dan Teknologi.
Penulis ingin mengucapkan banyak terima kasih kepada pihak-pihak terkait
lainnya yang telah banyak membimbing penulis dalam melakukan penulisan skripsi
ini, karena tanpa bimbingan dan dorongan dari semua pihak, maka penulisan
laporan ini tidak akan berjalan dengan lancar. Selanjutnya penulis menyampaikan
ucapan terima kasih kepada:
1. Allah subhanahu wa ta’ala
2. Orang tua dan keluarga tercinta yang telah memberi dorongan dan
dukungan baik moril maupun materil kepada penulis.
3. Bapak Dr. Agus Salim, M.Si selaku Dekan Fakultas Sains dan Teknologi.
4. Ibu Arini, MT selaku Ketua Program Studi Teknik Informatika.
5. Bapak Feri Fahrianto, M.Sc selaku Sekretaris Program Studi Teknik
Informatika.
6. Bapak Husni Teja Sukmana, ST, MSc, Ph.D selaku dosen pembimbing
pertama, yang telah memberikan bantuan berupa bimbingan, arahan dan
motivasi kepada penulis dalam menyelesaikan skripsi.
7. Bapak Rayi Pradono Iswara, M.Sc selaku dosen pembimbing kedua, yang
telah memberikan bantuan berupa bimbingan, arahan dan motivasi kepada
penulis dalam menyelesaikan skripsi.
8. Bapak Nasrul Hakiem selaku Kepala PUSTIPANDA yang telah
memberikan izin untuk pengujian aplikasi di Pustipanda.
ix
9. Seluruh dosen dan staf karyawan Fakultas Sains dan Teknologi yang telah
memberikan ilmu, bantuan dan kerjasama dari awal perkuliahan
berlangsung.
10. Teman-teman mahasiswa Teknik Informatika khususnya angkatan 2014
TIA, TI-B, dan TI-C yang telah menemani kegiatan perkuliahan selama ini.
11. “Teh Poci”, teman suka duka yang selalu menemani dan menjadi tempat
curhat selama kuliah, Febri, Mia, Ivan, Mufid dan Rois.
12. Temen seperjuangan skripsi Mawar dan Awliya yang membantu dalam
penulisan skripsi.
13. Kaka kelas yang turut membantu menemukan buku referensi Kak Ali, Kak
Kamal yang turut membantu dalam perihal materi manajemen risiko dan
adik kelas Kelvin yang turut membantu dalam perihal pengkodingan
aplikasi.
Serta semua pihak tidak dapat disebutkan satu persatu sehingga terwujudnya
penulisan ini. Penulis menyadari bahwa penulisan skripsi ini masih jauh dari
sempurna, untuk itu penulis mohon saran yang bersifat membangun untuk
penulis.Akhir kata semoga laporan skripsi ini dapat berguna bagi penulis khususnya
dan bagi para pembaca yang berniat pada umumnya.
Jakarta, 10 Oktober 2018
Penulis
Cindy Rahayu
x
DAFTAR ISI
LEMBAR PERSETUJUAN...........................................................................................ii
LEMBAR PENGESAHAN........................................................................................... iii
PERNYATAAN ORISINALITAS ...............................................................................iv
PERNYATAAN PERSETUJUAN PUBLIKASI SKRIPSI ......................................... v
ABSTRAK ....................................................................................................................vi
ABSTRACT ................................................................................................................. vii
KATA PENGANTAR................................................................................................. viii
DAFTAR ISI ................................................................................................................. x
DAFTAR GAMBAR ...................................................................................................xv
DAFTAR TABEL ...................................................................................................... xvii
BAB I PENDAHULUAN ............................................................................................. 1
1.1 Latar Belakang..................................................................................................... 1
1.2 Rumusan Masalah ............................................................................................... 4
1.3 Batasan Masalah .................................................................................................. 4
1.4 Tujuan Penelitian ................................................................................................. 4
1.5 Manfaat Penelitian ............................................................................................... 4
1.6 Metode Penelitian ................................................................................................ 5
1.6.1 Metode Pengumpulan Data ........................................................................... 5
1.6.2 Metode Pengembangan Sistem ..................................................................... 5
1.7 Sistematika Penulisan .......................................................................................... 5
BAB II LANDASAN TEORI ....................................................................................... 7
xi
2.1 Aplikasi................................................................................................................ 7
2.1.1 Pengertian Aplikasi ....................................................................................... 7
2.2 Web...................................................................................................................... 7
2.2.1 Pengertian Web ............................................................................................. 7
2.2.2 Aplikasi Berbasis Web.................................................................................. 8
2.3 Konsep Pemrograman Web ................................................................................. 9
2.3.6 Pengujian Blackbox .................................................................................... 10
2.4 Risiko................................................................................................................. 11
2.4.1 Definisi Risiko ............................................................................................ 11
2.4.2 Jenis-Jenis Risiko ........................................................................................ 12
2.4.3 Bentuk-Bentuk Risiko................................................................................. 13
2.4.4 Penanggulangan Risiko............................................................................... 15
2.5 Manajemen Risiko ............................................................................................. 15
2.5.1 Pengertian Manajemen Risiko .................................................................... 15
2.6 Manajemen Risiko Berbasis ISO 31000............................................................ 16
2.6.1 Prinsip Manajemen Risiko .......................................................................... 16
2.7 Kerangka Manajemen Risiko ............................................................................ 19
2.8 Proses Manajemen Risiko ................................................................................. 22
2.8.1 Penetapan konteks (Establishing Context).................................................. 23
2.8.2 Identifikasi risiko (risk identification) ........................................................ 24
2.8.3 Analisis Risiko ............................................................................................ 28
2.9 Manajemen Risiko Teknologi Informasi ........................................................... 28
2.10 OCTAVE ......................................................................................................... 29
xii
2.10.1 Fase 1: Membangun Profil Ancaman berdasarkan Aset ........................... 32
2.10.2 Fase 2: Mengidentifikasi Kerentanan Infrastruktur .................................. 33
2.10.3 Fase 3: Mengembangan Rencana dan Strategi Keamanan ....................... 34
2.11 Failure Mode and Effect Analysis (FMEA) .................................................... 35
2.11.1 Sejarah FMEA ....................................................................................... 35
2.11.2 Pengertian FMEA.................................................................................. 35
2.11.3 Penentuan Nilai Dampak (Severity: S) ................................................. 37
2.11.4 Penentuan Nilai Kemungkinan (Occurrence: O) .................................. 38
2.11.5 Penentuan Nilai Deteksi (Detection: D) ................................................ 39
2.11.6 Penentuan Level Risiko (Risk Priority Number)................................... 41
2.12 Profil Risiko.................................................................................................. 42
Studi Literatur Sejenis ............................................................................................. 43
BAB III METODOLOGI PENELITIAN.................................................................... 45
3.1 Metode Pengumpulan Data ............................................................................... 45
3.1.1 Studi Pustaka............................................................................................... 45
3.1.1 Wawancara.................................................................................................. 45
3.2 Metode Pengembangan Sistem.......................................................................... 45
3.3 Kerangka Berpikir ............................................................................................. 49
BAB IV ANALISIS DAN PERANCANGAN SISITEM........................................... 50
4.1 Requirement analysis......................................................................................... 50
4.1.1 Identifikasi masalah .................................................................................... 50
4.1.2 Sistem Yang Diusulkan............................................................................... 50
4.2 Design System.................................................................................................... 51
xiii
4.2.1 Use Case Diagram ...................................................................................... 51
4.2.2 Usecase Scenario ........................................................................................ 53
4.2.3 Activity Diagram ......................................................................................... 66
4.2.4 ERD (Entity Relationship Diagram)........................................................... 75
4.2.5 Sequence Diagram....................................................................................... 76
4.3 Perancangan Interface ....................................................................................... 85
4.4 Pengkodean...................................................................................................... 100
BAB V HASIL DAN PEMBAHASAN................................................................... 101
5.1 Implementasi .............................................................................................. 101
5.1.1 Tampilan Interface Login .................................................................... 101
5.1.2 Tampilan Management User ............................................................... 102
5.1.3 Tampilan Manajemen Jabatan............................................................. 103
5.1.4 Tampilan Daftar Kategori Aset Kritis ................................................. 104
5.1.5 Tampilan Daftar Aset Kritis ................................................................ 105
5.1.6 Tampilah Daftar Kebutuhan Keamanan Aset ..................................... 106
5.1.7 Tampilan Kategori Ancaman .............................................................. 107
5.1.8 Tampilan Identifikasi Ancaman .......................................................... 107
5.1.9 Tampilan Daftar Praktek Keamanan ................................................... 108
5.1.10 Tampilan Daftar Kelemahan Organisasi ............................................ 109
5.1.11 Tampilan Komponen Utama Aset ....................................................... 110
5.1.12 Tampilan Kemungkinan Ancaman Aset ............................................. 111
5.1.13 Tampilan Risk Register ....................................................................... 112
5.1.14 Tampilan Analisis Risiko .................................................................... 113
xiv
5.1.14 Tampilan Profil Risiko ........................................................................ 114
5.2 Pengujian Sistem ........................................................................................ 115
BAB VI PENUTUP ................................................................................................. 117
6.1 Kesimpulan ................................................................................................. 117
6.2 Saran ........................................................................................................... 118
DAFTAR PUSTAKA ............................................................................................... 119
LAMPIRAN .............................................................................................................. 121
xv
DAFTAR GAMBAR
Gambar 2.1 Kerangka Kerja Manajemen Risiko (ISO 31000:2009) .......................... 19
Gambar 2.2 Proses Penerapan Manajemen Risiko (IS0 31000:2009) ........................ 23
Gambar 2.3 Fase Octave ............................................................................................. 31
Gambar 2.4 Peta/Profil Risiko .................................................................................... 42
Gambar 3.1 Waterfall .................................................................................................. 46
Gambar 3.2 Kerangka Berfikiri................................................................................... 49
Gambar 4.1 Use Case Diagram Aplikasi Manajemen Risiko ..................................... 52
Gambar 4.2 Activity Diagram Login .......................................................................... 66
Gambar 4.3 Activity Diagram Data Use ..................................................................... 67
Gambar 4.4 Activity Diagram Manajemen Jabatan .................................................... 68
Gambar 4.5 Activity Diagram Kategori Ancaman...................................................... 69
Gambar 4.6 Activity Diagram Kategori Risiko .......................................................... 70
Gambar 4.7 Activity Diagram Identifikasi Risiko ...................................................... 71
Gambar 4.8 Activity Diagram Risk Register .............................................................. 72
Gambar 4.9 Activity Diagram Analisis Risiko ........................................................... 73
Gambar 4.10 Activity Diagram Lihat Profil Risiko .................................................... 74
Gambar 4.11 Entity Relationship Diagram (ERD) ..................................................... 75
Gambar 4.12 Sequence Diagram Login ...................................................................... 76
Gambar 4.13 Squence Diagram Manajemen Login .................................................... 77
Gambar 4.14 Sequence Diagram Manajemen Jabatan ................................................ 78
Gambar 4.15 Sequence Diagram Manajemen Kategori Risiko .................................. 79
Gambar 4 16 Squence Diagram Kategori Ancaman ................................................... 80
Gambar 4.17 Sequence Diagram Identifikasi Risiko ................................................. 81
Gambar 4.18 Sequence Diagram Analisis Risiko ....................................................... 82
Gambar 4.19 Sequence Diagram Lihat Identifikasi Risiko ......................................... 83
Gambar 4.20 Sequence Diagram Lihat Profil Risiko .................................................. 84
Gambar 4 21 Rancangan tampilan login ..................................................................... 85
Gambar 4.22 Rancangan Tampilan Manajemen Login User ...................................... 86
Gambar 4.23 Rancangan Tampilan Manajemen Jabatan User ................................... 87
Gambar 4 24 Rancangan Tampilan Kategori Aset...................................................... 88
Gambar 4.25 Rancangan Tampilan Aset Kritis .......................................................... 89
Gambar 4.26 Rancangan Tampilan Kebutuhan Keamanan ........................................ 90
Gambar 4.27 Rancangan Tampilan Kategori Ancaman.............................................. 91
Gambar 4.28 Rancangan Tampilan Identifikasi Ancaman ......................................... 92
xvi
Gambar 4.29 Rancangan Tampilan Praktek Keamanan.............................................. 93
Gambar 4.30 Rancangan Tampilan Form Kelemahan Organisasi .............................. 94
Gambar 4.31 Rancangan Tampilah Form Komponen Aset ........................................ 95
Gambar 4.32 Rancangan Tampilan Form Kemungkinan Ancaman ........................... 96
Gambar 4.33 Rancangan Tampilan Form Potential Cause ......................................... 97
Gambar 4.34 Rancaangan Tampilan Form Analisis Risiko ........................................ 98
Gambar 4.35 Rancangan Tampilan Profil Risiko ....................................................... 99
Gambar 4.36 ScreenShoot Pengkodean .................................................................... 100
Gambar 5.1 Tampilan Interface Login ...................................................................... 101
Gambar 5 2 Tampilan Form Management User........................................................ 102
Gambar 5.3 Tampilan Form Manajemen Jabatan ..................................................... 103
Gambar 5.4 Tampilan Form Kategori Aset Kritis..................................................... 104
Gambar 5.5 Tampilan Form Daftar Aset Kritis ........................................................ 105
Gambar 5.6 Tampilan Form Daftar Kebutuhan Keamanan Aset.............................. 106
Gambar 5.7 Tampilan Form Kategori Ancaman....................................................... 107
Gambar 5.8 Tampilan Form Identifikasi Ancaman .................................................. 107
Gambar 5.9 Tampilan Form Daftar Praktek Keamanan ........................................... 108
Gambar 5.10 Gambar Tampilan Form Kelemahan Organisasi................................. 109
Gambar 5.11 Tampilan Form Komponen Utama Aset ............................................. 110
Gambar 5. 12 Tampilan Form Kemungkinan Ancaman Aset................................... 111
Gambar 5.13 Tampilan Form Risk Register ............................................................. 112
Gambar 5.14 Tampilan Form Analisis Risiko .......................................................... 113
Gambar 5.15 Tampilan Profil Risiko ........................................................................ 114
xvii
DAFTAR TABEL
Tabel 2.1 Metode OCTAVE dan Output .................................................................... 34
Tabel 2.2 Nilai Dampak (Sumber:FMEA) .................................................................. 37
Tabel 2.3 Nilai Kemungkinan (Sumber: FMEA)........................................................ 38
Tabel 2.4 Nillai Deteksi (Sumber:FMEA) .................................................................. 40
Tabel 2.5 Level Risiko (Sumber:FMEA) .................................................................... 41
Tabel 2 6 Studi Literatur Sejenis................................................................................. 43
Tabel 4.1 Usecase Scenario Login .............................................................................. 53
Tabel 4.2 Usecase scenario Managemen Login .......................................................... 54
Tabel 4.3 Usecase scenario Management Jabatan ...................................................... 55
Tabel 4.4 Usecase Management Aset Kritis ............................................................... 56
Tabel 4.5 Usecase Manejemen identifikasi ancaman.................................................. 57
Tabel 4.6 Usecase Management Praktik Keamanan ................................................... 58
Tabel 4.7 Usecase Management Kelemahan Organisasi ............................................ 59
Tabel 4.8 Usecase Manajemen Komponen Aset......................................................... 60
Tabel 4.9 Usecase Management Kemungkinan Ancaman .......................................... 61
Tabel 4.10 Management Potensial Cause ................................................................... 62
Tabel 4.11 Identifikasi Risiko ..................................................................................... 63
Tabel 4.12 Usecase Analisis Risiko ............................................................................ 64
Tabel 4.13 Usecase Profil risiko ................................................................................. 65
1 UIN Syarif Hidayatullah Jakarta
BAB I
PENDAHULUAN
1.1 Latar Belakang
Risiko adalah kemungkinan terjadinya suatu kerugian yang tidak diduga atau tidak
diinginkan. Ketidak pastian atau kemungkinan terjadinya sesuatu yang apabila terjadi
mengakibatkan kerugian.
(sumber: CRMS Indonesia:2017)
Risiko Reputasi sebagai Risiko Terbesar 2017. Survey yang dilakukan oleh Forbes
bersama Deloitte Touche Tohmatsu Limited pada tahun 2013 bahkan telah menemukan
risiko reputasi sebagai risiko strategis paling penting dari 300 eksekutif yang disurvey.
Argumen ini juga didukung oleh penelitian dari World Economics yang menemukan
bahwa rata-rata 25% nilai pasar suatu perusahaan secara langsung berkaitan dengan
reputasinya. Selain berpengaruh langsung pada pendapatan dan nilai merk perusahaan,
risiko reputasi juga didorong oleh beberapa aspek risiko bisnis yang perlu dikelola
secara aktif. Beberapa risiko yang dianggap paling berkaitan dengan risiko reputasi
mencakup risiko etik dan integritas, risiko keamanan, risiko produk dan jasa, serta
risiko kerja sama dengan pihak ketiga. Menilai dampak dan kompleksitas
2
UIN Syarif Hidayatullah Jakarta
pengelolaannya, tidak mengherankan jika risiko ini dinilai sebagai risiko terbesar
perusahaan.
Menurut ISO 31000:2009, Manajemen risiko adalah suatu upaya atau kegiatan
yang terkoordinasi untuk mengarahkan dan mengendalikan kegiatan perusahaan
terhadap berbagai kemungkinan risiko yang ada. Hasil survey Central for Risk
Management Study (CRMS) 2017, menunjukkan bahwa manajemen risiko
dipersepsikan memiliki manfaat 360˚ bagi perusahaan. Hal ini dapat dilihat dari
indikator keempat perspektif yang menempati empat manfaat utama, yaitu peningkatan
kualitas pelayanan (68%, perspektif pelanggan), kinerja keuangan secara keseluruhan
(67%, perspektif finansial), efisiensi penggunaan sumber daya (66%, perspektif
internal bisnis), dan peningkatan kinerja pekerja (62%, perspektif pengembangan).
Kesadaran mengenai pentingnya manajemen risiko telah menghadirkan
berbagai macam standar mengenai manajemen risiko di berbagai negara, seperti di
Australia dan New Zealand AS/NZS 4360:2004; Canada CAN/CSA Q850:97; Jepang
JIS Q2001; Amerika Serikat NFPA 1600 dan COSO-ERM Integrated Framework;
United Kingdom BS 6079-3:2000, ISO 31000 Risk Management – Guideline on
participles and implementation of risk management. Penulis memilih menggunakan
standar ISO 31000:2009 karena standar ini dapat diterapkan dalam perusahaan di
industri apapun dan dimanapun (Cintya, 2014). Keunggulan ISO 31000 yang
diutarakan oleh Kusuma (2014) dalam Center for Risk Management Studies (CRMS),
yakni standar ini memberikan keunggulan esensial dalam memandu secara detail dan
komprehensif. Selain hal tersebut, terdapat pula keunggulan kompetitif yakni adanya
prinsip manajemen risiko, penetapan konteks eksternal, dan pemisahan kerangka kerja
dengan proses manajemen risiko. Sebagai bukti bahwa ISO 31000 layak untuk diadopsi
adalah dengan adanya pengakuan oleh 40 negara di dunia, termasuk Indonesia.
Sistem assessment management risiko merupakan suatu sistem yang dalam
kegiatan berkaitan dengan orang-orang, fasilitas, teknologi, media, prosedur-
3
UIN Syarif Hidayatullah Jakarta
prosedur dan pengendalian. Sistem assessment management risiko yang baik terkait
dalam proses pengolahan, penyimpanan, penyajian data dan sampai kepada siapa
informasi dan laporan tersebut diberikan secara real time, sehingga mampu
memberikan suatu informasi yang bermanfaat bagi perusahaan (Soleh & Venny,
2016)
Pada saat ini penerapan manajemen risiko pada perusahaan masih sedikit yang
menggunakan sebuah sistem aplikasi dan kebanyakan masih menggunakan metode
manual/semi komputerisasi, dimana pemilik risiko menulis dikertas atau mengetik
di excel dalam memberikan data potensi risiko sehingga membutuhkan waktu yang
cukup lama dalam mengklasifisikan risiko-risiko yang ada. Adapun aplikasi
manajemen risiko saat ini tetapi metode yang digunakannya hanya satu dan menjadi
tidak akurat hasilnya. Untuk mengatasi masalah tersebut maka dibutuhkan sebuah
sistem atau aplikasi dengan mengunakan konsep yang baik yang mampu membantu
setiap individu atau organisasi untuk mengukur nilai risiko dan profil risiko perusahaan
Pada penelitian yang berjudul “Aplikasi Assessment Manajemen Risiko
Berbasis ISO 31000:2009 Untuk Membangun Awerness Pemilik Risiko” oleh Soleh
dan Gunawan (2016) memiliki kelemahan yaitu hanya menggunakan standar
manajemen risiko dan tidak memakai metode lain untuk menganalisis risiko.
Sementara itu, penelitian yang berjudul “Strategi Mitigasi Risiko Aset Kritis Teknologi
Informasi Menggunakan Metode Octave Dan FMEA” oleh Avina dan Yupie (2017)
memiliki kelemahan yaitu masih menggunakan sistem manual tidak diterapkan
kedalam aplikasi. Dan pada penelitian yang berjudul “Aplikasi Manajemen Risiko
Untuk Membantu Mengambil Keputusan Menggunakan Metode Descision Table
Berbasis Web” oleh Dihin dan Muriyatmoko (2016) memiliki kelemahan ke akuratan
aplikasi ini hanya 50 % dalam pengambilan keputusan.
Berdasarkan uraian diatas, maka penulis tertarik untuk melakukan penelitian
dengan judul “Aplikasi Manajemen Risiko Menggunakan Metode OCTAVE dan
4
UIN Syarif Hidayatullah Jakarta
FMEA Berbasis ISO 31000:2009 Untuk Membantu Membuat Profil Risiko
Perusahaan”
1.2 Rumusan Masalah
Rumusan masalah dalam penelitian ini adalah bagaimana membangun aplikasi
manajemen risiko menggunakan metode OCTAVE dan FMEA berbasis ISO
31000:2009 untuk membantu membuat profil risiko perusahaan?
1.3 Batasan Masalah
1. Aplikasi ini berbasis web PHP MySQL.
2. Aplikasi ini bisa digunakan untuk umum bisa dipakai diperusahaan manasaja.
3. Aplikasi ini difokuskan untuk mengukur risiko aset perusahaan.
4. Aplikasi ini menggunakan metode OCTAVE untuk mengidentifikasi risiko dan
menggunakan metode FMEA untuk menganalisis risiko.
5. Aplikasi ini dibuat sampai tahap analisis risiko.
6. Aplikasi ini hanya melakukan simulasi terkait di Pustipanda
7. Penelitian ini tidak menggunakan studi kasus dari Pustipanda.
8. Output aplikasi ini visualisasi profil risiko perusahaan.
1.4 Tujuan Penelitian
Tujuan dalam penelitian ini adalah membangun aplikasi manajemen risiko
menggunakan metode OCTAVE dan FMEA berbasis ISO 31000:2009 untuk
membantu membuat profil risiko perusahaan.
1.5 Manfaat Penelitian
1. Dengan adanya Aplikasi manajemen risiko ini dapat mempermudah pemilik
risiko untuk menyampaikan data potensi risiko.
2. Dengan adanya aplikasi manajemen risiko memberikan kemudahan untuk
perusahaan dalam membantu membuat profil risiko.
3. Memberikan pengetahuan tentang pengukuran risiko terhadap perusahaan atau
organisasi.
5
UIN Syarif Hidayatullah Jakarta
4. Sebagai referensi dan penilitian selanjutnya.
1.6 Metode Penelitian
Metode penelitian yang penulis gunakan meliputi:
1.6.1 Metode Pengumpulan Data
Metode pengumpulan data yang penulis lakukan dalam penelitian ini,
diantaranya:
1.6.1.1 Studi Pustaka
1.6.1.2 Wawancara
1.6.1.3 Studi Literatur Sejenis
1.6.2 Metode Pengembangan Sistem
Metode pengembangan sistem yang digunakan dalam pembuatan aplikasi ini
adalah metode berorientasi objek dengan model waterfall. Model waterfall
melakukan pendekatan secara sistematis dan berurutan mulai dari level
kebutuhan sistem kemudian ke tahap analisis, desain, pengkodean, pengujian,
dan maintance. Sedangkan untuk perancangan sistem menggunakan tools unified
model language (UML).
1.7 Sistematika Penulisan
Sistematika penulisan yang digunakan dalam penelitian ini adalah sebagai berikut:
BAB I PENDAHULUAN
Pada bab ini penulis menjelaskan tentang latar belakang pemilihan
judul, rumusan masalah, batasan masalah, tujuan penelitian, manfaat
penelitian, metodologi penelitian, dan sistematika penulisan.
6
UIN Syarif Hidayatullah Jakarta
BAB II TINJAUAN PUSTAKA DAN LANDASAN TEORI
Pada bab ini penulis menjelaskan tentang landasan-landasan teori yang
digunakan dan berkaitan dengan penelitian.
BAB III METODOLOGI PENELITIAN
Pada bab ini penulis menjelaskan tentang metode penelitian yang
digunakan serta langkah-langkah yang dilakukan dalam penelitian ini.
BAB IV ANALISIS DAN PERANCANGAN SISTEM
Pada bab ini berisi analisis manajemen risiko menggunakan metode
Failure Mode and Effect Analysis (FMEA) dan perancangan sistem
yang akan dibangun, baik perancangan data maupun perancangan
proses yang akan menjadi modul-modul sebagai dasar dari kode
program yang akan dibangun.
BAB V HASIL DAN PEMBAHASAN
Bab ini berisi uraian mengenai proses pengujian sistem serta penjelasan
hasil yang didapat setelah pengujian.
BAB VI PENUTUP
Bab ini berisi uraian mengenai kesimpulan yang didapatkan dari
hasil penelitian serta saran yang dapat digunakan untuk
pengembangan penelitian di masa mendatang.
7 UIN Syarif Hidayatullah Jakarta
BAB II
LANDASAN TEORI
2.1 Aplikasi
2.1.1 Pengertian Aplikasi
Aplikasi adalah intruksi-intruksi yang di eksekusi untuk menyediakan fungsi-
fungsi tertentu. Aplikasi merupakan sebuah produk yang dikembangkan oleh
pengembang perangkat lunak (Software engineer) yang mencangkup program yang
dapat dieksekusi oleh komputer dengan berbagai ukuran dan arsitektur (Pressman,
2002).
Komputer kaitannya dengan aplikasi terdiri dari beberapa unit fungsional
untuk mencapai tujuan pengolahan data yaitu:
1. Bagian yang membaca data
2. Bagian yang mengelola data
3. Bagian yang mengeluarkan hasil pengolahan data
2.2 Web
2.2.1 Pengertian Web
Web adalah sebuah sistem dimana informasi dalam bentuk teks, gambar,
suara, dan lainnya yang tersimpan dalam sebuah internet web server yang
ditampilkan dalam bentuk hypertext. Informasi dalam bentuk teks di web ditulis
dalam format HTML (Budiyanto, 2013).
Secara umum, untuk menjelajah internet (Browsing/Surfing), harus diketahui
alamat yang dituju. Aturan penulisan alamat tersebut adalah: protocol (http://),
domain (www.uinjkt.ac.id), directory (/assisten/), nama halaman (personel.html)
(Budiyanto, 2013).
8
UIN Syarif Hidayatullah Jakarta
2.2.2 Aplikasi Berbasis Web
Aplikasi Berbasis Web (web base aplication) adalah aplikasi yang dapat
dijalankan langsung melalui web browser yang bisa menggunakan internet
ataupun intranet dan tidak tergantung pada sistem operasi yang digunakan.
Unsur-unsur dalam web adalah sebagai berikut:
1. Internet
Internet merupakan kepanjangan dari Interconnection Networking.
Internet merupakan rangkaian jaringan terbesar di dunia dimana semua
jaringan yang berada pada semua organisasi dihubungkan dengan suatu
jaringan terbesar melalui telpon, satelit dan sistem-sistem komunikasi yang
lain sehingga dapat saling berkomunikasi (Mulyanto, 2015).
Untuk dapat bertukar informasi, digunakan protocol standar yaitu
Transmision Control Protocol yang lebih dikenal sebagai TCP/IP. Sedangkan
intranet merupakan jaringan komputer di dalam suatu organisasi yang
menggunakan teknologi internrt sehingga saling berbagi informasi.
Komunikasi, kerja sama dan dukungan bagi proses bisnis.
2. Nama Domain / URL
Nama domain atau URL adalah alamat unik di dunia internet yang
digunakan untuk mengidentifikasi sebuah website. Nama domain
memudahkan user dalam mengingat alamat IP. Layanan yang bertugas
menerjemahkan alamat IP ke sebuah nama domain adalah DNS (Domain
Name Service).
3. Web Browser
Web browser merupakan aplikasi di pihak client yang berfungsi
menerjemahkan dan menampilkan informasi dari server secara grafis kepada
client.
4. Web Server
9
UIN Syarif Hidayatullah Jakarta
Sebuah komputer (server) dan software yang menyimpan dan
mendistribusikan data komputer lainnya melalui jaringan internet.
5. Web Hosting
Web hosting yaitu sebagai ruangan yang terdapat dalam harddisk
tempat menyimpaan berbagai data, file-file, gambar, dan lain-lain yang akan
ditempatkan di website.
Aplikasi berbasis web memiliki kelebihan sebgai beerikut:
a. Platform Independent yaitu aplikasi dapat dijalankaan diberbagai
system operasi seperti Windows, Linux, Mac OS.
b. Disetiap komputer, cukup copy script programnya ke server atau
salah satu komputer. Untuk komputer lain yang ingin menjalankan
program cukup membuka alamat host server dimana program di
simpan melalui browser.
c. Dapat diakses kapan pun dan dimana pun selama terkoneksi
internet.
2.3 Konsep Pemrograman Web
Web merupakan fasilitas hyper teks untuk menampilkan data berupa teks,
gambar, suara, animasi dan data multimedia lainnya. PHP merupakan salah satu script
(perintah-perintah program server slide yang sangat popular diterapkan dalam sebuah
situs web). Situs atau web di kategorikan menjadi dua yaitu:
1. Web Statis
Web statis adalah web yang berisi atau menampilkan informasi-
informasi yang sifatnya statis (tetap). Disebut statis karena pengguna tidak
dapat berinteraksi dengan web tersebut. Singkatnya, untuk mengetahui web
bersifat statis atau dinamis dapat dilihat dari tampilannya. Jika suatu web hanya
berhubungan dengan halaman web lain dan berisi suatu informasi tetap maka
web tersebut adalah web statis.
10
UIN Syarif Hidayatullah Jakarta
Pada web statis, pengguna hanya dapat melihat isi dokumen pada
halaman web dan apabila di klik akan perpindah ke halaman web lain. Interaksi
pengguna hanya terbatas pada melihat informasi yang ditampilkan, tetapi tidak
dapat mengolah informasi yang dihasilkan. Web statis biasanya merupakan
HTML yang ditulis pada editor teks dan disimpan dalam bentul .html atau .htm.
2. Web dinamis
Web dinamis adalah web yang menampilkan informasi serta dapat
berinteraksi dengan pengguna. Web dinamis memungkinkan pengguna untuk
berinteraksi menggunakan form sehingga dapat mengolah informasi yang
ditampilkn. Web dinamis bersifat interaksi, tidak kaku dan terlihat lebih indah
(Raharjo, 2016).
2.3.6 Pengujian Blackbox
Pengujian blackbox adalah tipe pengujian perangkat lunak dengan
memperlakukan perangkat lunak yang tidak diketauhi kinerja internalnya. Jenis
pengujian ini hanya memandang perangkat lunak dari sisi dan kebutuhan yang telah
didefinisikan pada saat awal perancangan (Soetam Rizky, 2011)
Black Box testing memfokuskan pada kebutuhan fungsional dari software. Hal
ini berarti bahwa pengujian ini memperbolehkan software engineeer menurunkan
sejumlah input yang ditunjukan untuk menguji kebutuhan fungsional dari program
tesebut. Pengujian ini berusaha menemukan error dengan kategori sebagai berikut:
1) Fungsi yang salah atau hilang.
2) Kesalahan antarmuka, struktur data atau pengaksesan data eksternal, unjuk
kerja, inisialisasi dan penghentian.
Tidak seperti pengujian white box yang dilakukan pada awal proses, pengujian
black box diterapkan pada akhir tahapan proses pengujian. Hal ini dikarenakan
pengujian ini tidak mementingkan struktur kontrol tapi lebih memfokuskan pada
domain informasi.
11
UIN Syarif Hidayatullah Jakarta
2.4 Risiko
2.4.1 Definisi Risiko
Risiko berhubungan dengan ketidak pastian, ini terjadi oleh karena kurang
atau tidak tersedianya cukup informasi tentang apa yang akan terjadi. Sesuatu yang
tidak pasti (uncertain) dapat berakibat menguntungkan atau merugikan. Menurut
Wideman (2016), ketidak pastian yang menimbulkan kemungkinan
menguntungkan dikenal dengan istilah peluang (opportunity), sedangkan ketidak
pastian yang menimbulkan akibat yang merugikan dikenal dengan istilah risiko
(risk). Secara umum risiko dapat diartikan sebagai suatu keadaan yang dihadapi
seseorang atau perusahaan dimana terdapat kemungkinan yang merugikan.
Menurut ISO 31000 : 2009, risiko adalah effect of uncertainty on objectives,
atau dapat dikatakan bahwa risiko adalah efek yang muncul akibat adanya
ketidakpastian dalam tujuan. Tujuan –tujuan bisa juga ditujukan untuk tujuan –
tujuan perusahaan maupun organisasi.
The International Standard Organization (dalam ISO Guide 73:2009 Risk
Management – Vocabulary) menjelaskan risiko sebagai dampak yang timbul dari
ketidak pastian dalam upaya mencapai objek. Risiko sering ditandai dengan
kejadian yang berpoteni muncul dan konsekuensi yang ditimbulkan, atau
kombinasi dari keduanya. Risiko juga sering digambarkan sebagai kombinasi dari
konsekuensi atas suatu kejadian (termasuk perubahan dalam suatu kondisi) dan
kemungkinan yang berhubungan dengan suatu kejadian. Resiko dapat berdampak
negatif dalam tujuan perusahaan, dan lebih jauh dapat menimbulkan terjadinya
kerugian atau ancaman bagi kelangsungan hidup perusahaan.
Menurut (The Internal Auditors, 2004) mendefinisikan risiko adalah
kemungkinan suatu peristiwa atau kejadian, atau akibat yang mungkin memberikan
dampak terhadap organisasi atau aktivitas yang di review. Dampak atas risiko
tersebut senantiasa mengarah pada suatu kerugian atau hal-hal buruk yang tidak
12
UIN Syarif Hidayatullah Jakarta
diinginkan oleh perusahaan, yang pada akhirnya dampak tersebut akan berimbas
pada terganggunya pencapaian tujuan perusahaan.
Peraturan Mentri Keuangan Nomor 142/PMK.010/2009 menjelaskan bahwa
risiko adalah potensi terjadinya suatu peristiwa yang dapat menimbulkan kerugian.
Sedangkan Selim dan McName (dikutip oleh Sarens, 2007) mendefinisikan risiko
sebagai sebuah konseep yang digunakan untuk menunjukan dampak dari ketidak
pastian mengenai suatu kejadian atau hasil yang ditimbulkan dari kejadian tersebut
yang memungkinkan terjadinya efek materialitas pada sasaran organisasi.
Menurut (Badan Sertifikasi Manejemen Risiko, 2005) risiko didefinisikan
sebagai “chance of bad outcome” atau suatu kemungkinan akan terjadi hasil yang
tidak diinginkan yang ddapat menimbulkan kerugian apabila tidak diantisipasi serta
dikelola dengan baik.
Pada dasarnya, definisi risiko mengarah pada suatu ketidakpastian atas
terjadinya peristiwa dalam periode waktu tertentu. Peristiwa tersebut menyebabkan
suatu kerugian baik kerugian kecil yang tidak berarti, maupun kerugian besar yang
berpengaruh terhadap keberlangsungan hidup suatu organisasi.
Secara umum, risiko dapat didefinisikan sebagai suatu keadaan yang dihadapi
oleh organisasi dengan kemungkinan yang merugikan. Sehingga dapat dikatakan
bahwa selama perusahaan mengalami kerugian wwalaupun sekecil apapun, hal
tersebut dianggap risiko.
2.4.2 Jenis-Jenis Risiko
Menurut Gondodiyoto (2009), risiko dapat dibedakan dalam beberapa jenis,
yaitu :
a) Risiko Bisnis (Business Risk)
Risiko bisnis adalah risiko yang dapat disebabkan oleh faktor-
faktor internal (permasalahan kepegawaian, berkaitan dengan
mesinmesin, dll) maupun eksternal (perubahan kondisi
13
UIN Syarif Hidayatullah Jakarta
perekonomian, tingkat kurs yang berubah mendadak, dll) yang
berakibat kemungkinan tidak tercapainya tujuan organisasi.
b) Risiko Bawaan (Inherent Risk)
Risiko bawaan adalah potensi kesalahan atau penyalahgunaan yang
melekat pada suatu kegiatan, jika tidak ada pengendalian internal.
Contohnya kegiatan kampus, jika tidak ada absensi akan banyak
mahasiswa yang tidak hadir.
c) Risiko Pengendalian (Control Risk)
Risiko pengendalian adalah masih adanya risko meskipun sudah ada
pengendalian. Contohnya meskipun sudah ada absensi tetapi tetap saja
ada beberapa mahasiswa yang menitipkan absen.
d) Risiko Deteksi (Detections Risk)
Risiko deteksi adalah risiko yang terjadi karena prosedur audit yang
dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup
atau materialitas atau adanya kemungkinan fraud.
e) Risiko Audit (Audit Risk)
Risiko audit adalah risiko bahwa hasil pemeriksaan auditor ternyata
belum mencerminkan keadaan sesungguhnya.
2.4.3 Bentuk-Bentuk Risiko
Menurut Djojo
soedarso (2015), risiko dapat dibedakan dengan berbagai macam cara antara
lain:
1. Menurut sifatnya risiko dapat dibedakan kedalam:
a. Risiko yang tidak disengaja (risiko murni), adalah risiko yang apabila
terjadi tentu menimbulkan kerugian dan terjadi tanpa disengaja;
misalnya risiko terjadinya kebakaran, bencana alam, pencurian,
penggelapan, pengacauan, dan sebagainya.
14
UIN Syarif Hidayatullah Jakarta
b. Risiko yang disengaja (risiko spekulatif), adalah risiko yang disengaja
ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian
memberikan keuntungan kepadanya, misalnya risiko utang piutang,
perjudian, dan sebagainya.
c. Risiko fundamental, adalah risiko yang penyebabnya tidak dapat
dilimpahkan kepada pihak lain dan yang menderita tidak hanya satu
atau beberapa orang saja, tetapi banyak orang, seperti banjir, angin
topan, dan sebagainya.
d. Risiko khusus, adalah risiko yang bersumber pada peristiwa yang
mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal
tenggelam, pesawat jatuh, tabrakan mobil, dan sebagainya.
e. Risiko dinamis, adalah risiko yang timbul karena perkembangan dan
kemajuan (dinamika) masyarakat dibidang ekonomi, ilmu dan teknologi,
seperti risiko keuangan dan risiko penerbangan ke luar angkasa.
Kebalikannya adalah risiko statis yaitu risiko yang selalu ada walaupun
tidak terjadi perubahan-perubahan keadaan, contohnya seperti risiko hari
tua dan juga risiko kematian.
2. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko
dapat dibedakan kedalam:
a. Risiko yang dapat dialihkan kepada pihak lain, dengan
mempertanggungkan suatu objek yang mana akan terkena risiko kepada
perusahaan asuransi, dengan membayar sejumlah premi asuransi.
b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat
diasuransikan), meliputi semua jenis risiko spekulatif.
3. Menurut sumber/penyebab timbulnya, risiko dapat dibedakan kedalam:
a. Risiko intern, yaitu risiko yang berasal dari dalam perusahaan itu
sendiri, seperti kerusakan aktiva karena ulah karyawan, kecelakaan
kerja, kesalahan manajemen dan sebagainya.
15
UIN Syarif Hidayatullah Jakarta
b. Risiko ekstern, yaitu risiko yang berasal dari luar perusahaan, seperti
risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan
kebijakan pemerintah, dan sebagainya.
2.4.4 Penanggulangan Risiko
Menurut Djojosoedarso (2015), upaya-upaya untuk menanggulangi risiko
harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimalisir.
Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara
yang dapat dilakukan perusahaan untuk meminimalisirrisiko kerugian, antara lain:
1. Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya
peristiwa yang menimbulkan kerugian.
2. Melakukan retensi, artinya mentolerir atau membiarkan terjadinya kerugian,
dan untuk mencegah terganggunya operasi perusahaan akibat kerugian
tersebut disediakan sejumlah dana untuk menanggulanginya.
3. Melakukan pengendalian terhadap risiko.
4. Mengalihkan atau memindahkan risiko kepada pihak lain.
2.5 Manajemen Risiko
2.5.1 Pengertian Manajemen Risiko
Menurut The Essential Handbook of Internal Auditing, K.H Spencer Pickett
(2005), “risk management is a dinamyc process for taking all reasonable steps to
find out and deal with risk that impact our objectives”.
Ditekankan bahwa manajemen risiko bukanlah suatu proses yang statis,
melainkan suatu proses yang dinamis mengikuti perkembangan untuk menghadapi
setiap risiko yang terjadi yang mempengaruhi pencapaian tujuan. Dengan kata lain,
selama aktivitas berlangsung maka aktivitas manajemen risiko juga senantiasa
berlangsung
16
UIN Syarif Hidayatullah Jakarta
Peraturan Menteri Keuangan Nomor 142/PMK.010/2009 menjelaskan
bahwa manajemen risiko adalah serangkaian prosedur dan metodologi yang
digunakan untuk mengidentifikasi, mengukur, memantau, dan mengendalikan
risiko yang timbul darikegiatan usaha. Redja (2008) mendefinisikan manajemen
risiko sebagai proses yang mengidentifikasi eksposur kerugian yang dihadapi oleh
14 organisasi dan memilih teknik yang paling sesuai dalam memperlakukan
eksposur tersebut.
2.6 Manajemen Risiko Berbasis ISO 31000
International Organization for Standardization (ISO) mengeluarkan framework
standar untuk mengelola risiko yaitu ISO 31000:2009 dengan judul “Risk
Management-Principles and Guidelines on Implementation”. Standar ini dikeluarkan
untuk membantu perusahaan dalam mengelola risiko. Karena sifatnya yang generik,
framework ini dapat diaplikasikan di berbagai jenis perusahaan, grup atau individu.
ISO 31000:2009 menyediakan panduan dalam mendesain, implementasi dan
memelihara proses pengelolaan risiko di dalam sebuah organisasi.
2.6.1 Prinsip Manajemen Risiko
Merujuk pada ISO 31000:2009 (ISO,2009) agar manajemen risiko dapat lebih
efektif maka perusahaan/ organisasi harus mematuhi prinsip-prinsip manajemen
risiko. Berikut merupakan prinsip-prinsip dari manajemen risiko (Susilo & Kaho,
2015):
1. Manajemen risiko melindungi dan menciptakan nilai tambah
Manajemen risiko memberikan konstribusi melalui peningkatan kemungkinan
pencapaian sasaran perusahaan secara nyata.Selain itu juga memberikan
perbaikan dalam aspek keselamatan, kesehatan kerja, kepatuhan terhadap
peraturan perundangan, perlindungan lingkungan hidup, persepsi public,
kualitas produk, reputasi, corporate governance, efisiensidan operasi.
2. Manajemen risiko adalah bagian terpadu dari proses organisasi
17
UIN Syarif Hidayatullah Jakarta
Manajemen risiko bukansuatu aktivitasyang berdirisendirinamun merupakan
bagian dari tanggungjawabmanajemen dan merupakan bagian
prosesorganisasi, termasuk perencanaan strategisdan proyek serta proses
perubahan manajemen.
3. Manajemen risiko adalah bagian dari proses pengambilan keputusan
Manajemen risiko membantu para pengambil keputusan untuk mengambil
keputusan atas dasar pilihan-pilahan yang tersedia dengan informasi yang
selengkap mungkin. Manajemen risiko dapat membantu menentukan prioritas
tindakan dan membedakan berbaagai alternatif tindakan. Manajemen risiko
dapat membantu menunjukkan semua risiko yang ada, mana risiko yang dapat
diterima dan mana risiko yang memerlukan pelakuan lebih lanjut. Manajemen
risiko juga memantau apakah perlakuan risiko yang telah diambil memadai dan
cukup efektif atau tidak. Informasi ini merupakan bagian dari proses
pengambilan keputusan.
4. Manajemen risiko secara khusus menangani aspek ketidakpastian
Manajemen risiko secara khusus menangani aspek ketidakpastian dalam proses
pengambilan keputusan. Ia memperkirakan bagaimana sifat ketidakpastian dan
bagaimanakah hal tersebut harus ditangani.
5. Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu
Sifat sistematik terstruktur, dan tepat waktu yang digunakan dalam pendekatan
manajemen risiko inilah yang memberikan konstribusi terhadapan efesiensi
daan konstitensi manajemen risiko. Dengan demikian hasilnya dapat
dibandingkan dan memberikan hasil serta perbaikan.
6. Manajemen risiko berdasarkan pada informasi terbaik yang tersedia
Informasi dalam proses manajemen risiko merupakan dasar sumber informasi
yang berupa data historikal, respon pemangku kepentingan, pengalaman,
observasi, estimasidanpertimbanganahli.Akantetapi harus disadari bahwa
semua informasi memberikan keterbatasan yang harus dipertimbangkan dalam
18
UIN Syarif Hidayatullah Jakarta
mengambil keputusan, baik dalam membuat model risiko maupun perbedaan
pendapat yang mungkin terjadi diantara para ahli.
7. Manajemen risiko adalah khas untuk penggunaanya (tailored)
Manajemen risiko harus diselaraskan dengan konteks internal dan eksternal
organisasi, serta sasaran organisasi dan profil risko yang dihadapi organisasi
tersebut.
8. Manajemen risiko mempertimbangkan faktor manusia dan budaya
Penerapan manajemen risiko disesuaikan dengan kapabilitas organisasi,
persepsi dan tujuan individu secara internal maupun eksternal di luar
organisasi yang dapat menunjang atau menghambat pencapaian tujuan
organisasi.
9. Manajemen risiko harus transparan dan inklusif
Untuk memastikan bahwa manajemen risiko masih tetap relevan, para
pemangku kepentingan dari seluruh level organisasi dan pemangku
kepentingan secara efektif. Keterlibatan para pemangku kepentingan harus
dapat terwakilidengan baik dan mendapatkan kesempatan menyampaikan
pendapat dalam menentukan kriteria risiko.
10. Manajemen risko bersifat dinamis, berulang, dan tanggap terhadap
perubahan.
Ketika organisasi mengalami perubahan dan terjadi peristiwa baru, konteks dan
pemahaman risiko juga akan mengalami perubahan. Dalam hal ini monitoring
dan review berperan memberikan kontribusi atas perubahan yang terjadi
sehingga muncul risiko baru, ada yang berubah frekuensi maupun dampaknya
dan ada risiko yang sudah tidak muncul kembali. Sehingga manajemen risiko
harus senantiasa tanggap terhadap perubahan yang terjadi.
11. Manajemen risiko harus memfasilitasi terjadinya perbaikan dan
peningkatan organisasi secara berlanjut.
19
UIN Syarif Hidayatullah Jakarta
Organisasi mengembangkan dan menerapkan perbaikan strategi manajemen
risiko serta meningkatkan kematangan pelaksanaan manajemen risiko dari
seluruh proses bisnisnya.
2.7 Kerangka Manajemen Risiko
Kesuksesan dalam melaksanakan manajemen risiko tergantung pada tingkat
efektivitas kerangka kerja manajemen risiko yang merupakan dasar dalam penataan
yang mencakup seluruh proses bisnis perusahaan. Kerangka kerja ini membantu
pengelolaan risiko secara efektif di seluruh level proses bisnis. Kerangka kerjaini
memastikanbahwa informasiyang lengkapdan memadai dari proses manajemen
risiko yang akan dilaporkan serta sebagai dasar membuat keputusan. Hal ini
dilakukan sesuai dengan tingkat akuntabilitas pada organisasi. Pada Gambar 2.1
merupakan kerangka manajemen risiko sesuai dengan ISO 31000.
Gambar 2.1 Kerangka Kerja Manajemen Risiko (ISO 31000:2009)
20
UIN Syarif Hidayatullah Jakarta
Kerangka kerja manajemen risiko merupakan induk dari proses manajemen
risiko yang lebih bersifat teknis yang membantu organisasi dalam mengintegrasikan
manajemen risiko ke dalam sistem manajemen organisasi secara komprehensif.
Kerangka kerja pada Gambar 2.1 menunjukkan gambaran mengenaitata kelola risiko
(risk governance) yang harus dilaksanakan.
1. Mandate dan Komitmen (Mandate and Commitment)
Pengenalan dan upaya menerapkan manajemen risiko yang efektif
mempersyaratkan adanya komitmen yang kuat dan bberlanjut darii
manajemen organisasi. Untuk itu, diperlukan perencanaan yang matang dan
strategi yang tepat dalam pelaksanaanya guna melaksanakan hal in maka
manajemen harus:
Mengartikulasikan dengan jelas pentingnya manajemen risiko bagi
organisasi dan menetapkan kebijakan manajemen risiko;
Mentapkan indikator kinerja manajemen risiko yang selaras dengan
indikator kinerja perusahaan;
Memastikan kepatuhan terhadap perarturan perundang-undangan;
Menugaskan secara jelas dan dengan akuntabilitas serta tanggung
jawab unit manajemen risiko pada tingkatan yang memadai;
Memastikan bahwa tersedia alokasi sumber daya yang cukup untuk
kegiatan manajemen risiko;
Mengomunikasikan manfaat manajemen risiko ke seluruh
pemangku kepentingan terkait;
Memastikan bahwa kerangka manajemen risiko berfungsi dengan
baik.
2. Desain Kerangka KerjaManajemen Risiko (Design of Framework)
Memahami organisasi dan konteks
21
UIN Syarif Hidayatullah Jakarta
Menetapkan peraturan manajemen risiko
Akuntabilitas
Integrasike dalam proses organisasi
Sumber daya
Melakukan komunikasi internal dan mekanisme pelaporan
Melakukan komunikasi eksternal dan mekanisme pelaporan.
3. ImplementasiManajemen Risiko (Implement Rsik Management)
Melaksanakan kerangka kerja manajemen risiko
Dalam melaksanakan kerangka kerja manajemen risiko organisasi
harus:
Menetapkan ketepatan waktu dan strategi penerapan kerangka
manajemen risiko.
Melaksanakan peraturan manajemen risiko dan proses organisai.
Mematuhi persyaratan hukum dan peraturan yang berlaku.
Menetapkan pembuatan keputusan, mengembangan dan
menetapkan sasaran yang selaras dengan pencapaian proses
manajemen risiko.
Melakukan komunikasi dan pelatihan.
Komunikasi dan konsultasi dengan pemilik kepentingan untuk
menetapkan kerangka kerja manajemen risiko dengan tepat.
Melaksanakan proses manajemen risiko.
Manajemen risiko harus dilaksanakan dengan menerapkan
proses manajemen risiko sesuai dengan klausul 5 yang
dilaksanakan secara berkelanjutan, relevan dengan proses bisnis
dan fungsi organisasi.
4. Monitoring dan review (Monitor and Review Framework)
22
UIN Syarif Hidayatullah Jakarta
Dalam menerapkan manajemen risiko secara efektif dan
berkesinambungan guna mendukung tercapainya tujuan organisasi maka
harus:
Mengukur ketepatan indikator pencapaian manajemen risiko yang
dilakukan secara berkala.
Mengukur perkembangan secara berkala dan penyimpangan
pelaksanaan terhadap rencana.
Melaksanakan review atas kerangka kerja manajemen risiko,
peraturan dan rencana, konteks internal dan eksternalperusahaan.
Melaporkan risiko, perkembangan pelaksanaan manajemen risiko
dan kepatuhan atasperaturan manajemen risiko.
Melakukan review efektivitas kerangka kerja manajemen risiko.
5. Perbaikan berkelanjutan (Improve Framework)
Berdasarkan hasil monitoring dan review, keputusan akan dibuat tentang
bagaimana mengelola kerangka kerja manajemen risiko, peraturan dan
pengembangan rencana. Keputusan ini akan menjadi dasar pengembangan
manajemen risiko perusahaan dan membentuk budaya manajemen risiko.
2.8 Proses Manajemen Risiko
Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko,
karena merupakan penerapan daripada prinsip dan kerangka kerja yang telah dibangun.
Pada Gambar 2.2 merupakan proses manajemen sesuai dengan ISO 31000.
23
UIN Syarif Hidayatullah Jakarta
Gambar 2.2 Proses Penerapan Manajemen Risiko (IS0 31000:2009)
2.8.1 Penetapan konteks (Establishing Context)
a. Penetepan konteks atau tujuan bisnis adalah penetapan strategi bisnis, baik
jangka panjang maupun jangka pendek yang dituangkan dalam rencana
kerja anggaran perusahaan (RKAP) yang mengandung risiko dalam
pencapaiannya.
b. Didalam setiap penyusunan RKAP manajemen menyampaikan potensi
risiko yang harus dikendalikan olehsetiap pemilik risiko untuk dapat
memastikan pencapaian tujuan bisnis yang disepakati manajemen dan
seluruh pemilik risiko.
24
UIN Syarif Hidayatullah Jakarta
c. Menetapkan lingkungan internal (perusahaan) dan eksternal (ekonomi,
politik, sosial, hukum, teknologi dan alam)
d. Menetapakan peran dan tanggung jawab pihak-pihak yang berkepentingan
dalam penerapan manajemen risiko.
e. Menetapkan kriteria masing-masing dampak dan kemungkinan dalam
penerapan manajemen risiko.
f. Menetapkan risk appetite dan risk tollerance.
2.8.2 Identifikasi risiko (risk identification)
Organisasi harus melakukan identifikasi sumber risiko, area dampak risiko,
pristiwa dan penyebabnya, serta potensi akibatnya. Sasaran dari tahapan ini adalah
membuat daftar risiko secara konprehensif dan luas yang dapat mempengaruhi
pencapaian sasaran, baik meningkatkan, menghalangi, memperlambat, atau bahkan
menggalkan pencapainan sasaran organisasi. Perlu juga diidetifikasi risiko-risiko yang
terjadi bila peluang yang ada tidak kita ambil. Proses identifikasi risiko ini penting
untuk dilakukan secara meluas dan mendalam serta komprehensif, karena risiko yang
tidak teridentifikasi pada tahapan ini tidak akan diikut sertakan pada proses-proses
berikutnya. Identifikasi risiko ini juga dilakukan terhadap sumber-sumber risiko, baik
yang didalam kendali maupun yang diluar kendali organisasi.
Teknik indetifikasi yang digunakan oleh organisasi hendaknya sesuai dengan
sasaran, kemampuan, dan jenis risiko yang dihadapi oleh organisasi. Informasi yang
relevan dan terkini sangat penting dalam proses identifikasi risiko. Bila memungkinkan
hendaknya juga digali latar belakang informasi tersebut. Orang-orang yang mempunyai
pengetahuan tentang risiko terkait atau proses / kegiatan terkait hendaknya dilibatkan
dalam proses idenifikasi risiko. Setelah identifikasi risiko yang mungkin terjadi, perlu
dipertimbangkan hal-hal yang dapat meyebabkan risiko itu terjadi. Bagaimanakah
skenario yang memungkinkan hal tersebut terjadi dan bagaimana besar dampaknya.
Semua hal yang secara signifikan dapat menimbulkan risiko harus dipertimbangkan
dan diperhatikan.
25
UIN Syarif Hidayatullah Jakarta
1. Komponen Risiko
Risiko dalam manajemen risiko bukan sekedar suatu kejadian, peristiwa,
atau kondisi, yang dapat berkembang/terjadi, namun mencangkup pula
berbagai informasi yang terkait dengan kejadian, perristiwa, atau kondisi
tersebut. Oleh karena itu, dalam proses identifikasi risiko, informasi yang
dikumpulkan antara lain mencangkup:
1. Sumber risiko: Stakeholders, benda, atau kondisi lingkungan yang dapat
memicu timbulnya risiko.
2. Kejadian: peristiwa yang dapat terjadi dan berdampak terhadap
pencapaian sasaran dan target.
3. Konsekuesi: dampak terhadap aset organisasi atau stakeholders.
4. Pemicu (apa dan mengapa): faktor – faktor yang menjadi pemicu
timbulnya suatu peristiwa berisiko.
5. Pengendalian: laangkah-langkah antisipasi dan pencegahan awal yang
dapat dilaksanakan.
6. Perkiraan kapan risiko terjadi dan dimana risiko itu dapat terjadi.
Elemen-elemen diatas dapat bertambah atau malah berkurang
tergantung kebutuhan pada saat menetapkan konteks maanajemen risiko.
2. Proses Identifikasi
Untuk mengembangkan daftar risko yang komprehensif, digunakan suatu
proses sistematis dan terstruktur yang sudah dilakukan sejak penetuan
konteks manajemen risiko. Proses manajemen risiko yang efektif dapat
ditunjukan bila menggunakan tahapan yang terstruktur pada proses, proyek,
dan kegiatan sesuai dengan kriteria yang telah digunakan ketika
menetapkan konteks manajemen risiko. Hal ini utuk memastikan bahwa
proses identifikasi risiko telah berlangsung komprehensif dan tidak ada lagi
prosesatau isu penting yang terlewatkan. Sebagai tuntunan, pertanyaan-
pertanyaan berikut dapat diprtimbangkan:
26
UIN Syarif Hidayatullah Jakarta
1. Apa sumber setiap risiko?
2. Apa yang mungkin terjadi yang dapat:
a. Meningkatkan atau mengurangi efektivitas pencapaian
sasaran/target?
b. Membuat pencapaian sasaran (finansial, manusia, waktu, dll.)
lebih/tidak efesien?
c. Menyebabkan steakholder bertindak yang meningkatkan atau
mengurangi pencapaian sasaran/target?
d. Menimbulkan manfaat tambahan?
3. Apakah efeknya bagi sasaran/target organisasi?
4. Kapan, di mana, mengapa, dan bagaimana risiko-risiko ini
(negatif/positif) dapat terjadi?
5. Siapa yang berkepentingan atau terkena dampak?
6. Apakah ada pengendalian yang dilakukan saat ini?
7. Apa yang menyebabkan pengendalian yang ada saat ini tidak efektif?
Setelah mengkaji setiap elemen di atas maka pertanyaan-pertanyaan berikut
dapat dipertimbangkan untuk pengkajian lebih lanjut:
1. Bagaimana dengan kendala informasinya?
2. Bagaimana kita yakin datar risiko yang teridentifikasi suah benar-benar
konprehensif?
3. Apakah ada beberapa risiko tertentu yang perlu diselidiki lebih jauh?
4. Apakah sasaran/target dan cakupan yang dikaji sudah mncukupi/
5. Apakah semua oihak-pihak yang terkait sudah dilibatkan dalam proses
identifikasi risiko?
3. Informasi yang Dikumpulkan
Informasi bermutu adalah keharusan dalam proses identifikasi risiko. Titik
awal untuk identifikasi adalah mengumpulkan informasi historis baik yang
berasal dari dalam organisasi atau, jika tidak tersedia, bisa juga dari
27
UIN Syarif Hidayatullah Jakarta
organisasi-organisai sejenis yang kemudian dimatangkan melalui diskusi
dengan pihak-pihak terkait. Isu yang didiskusikan ini dapat berupa isu-isu
historis, masa kini, dan yang terus berkembang.
Contohnya adalah sebagai berikut:
1. Pengalaman lokal atau internasional;
2. Informasi menurut pendapat ahli;
3. Informasi hasil wawancara;
4. Informasi dari Focus Group Disscussion;
5. Rencana Jangka Panjang, Rencana Kerja & Anggaran Perusahaan
lengkap dengan analisis SWOT atau analisis lingkungan bisnis lainnya;
6. Laporan-laporan manajemen ;
7. Laporan auditor dan pemeriksa lainnya;
8. Hasil-hasil survei internal maupun eksternal;
9. Hasil-hasil selft-assesssment;
10. Data-data historis, database insiden,analisis kegagalan misalnya Failure
Mode & Efeect Analysis, risk register yang sudah ada (jika perah
dibuat); serta
11. Data-data lain yang dianggap penting.
4. Metode untuk Mengidentifikasi Risiko
Metode dan pendekatan yang digunakan untuk mengidentifikasi risiko
tergantung pada proses penentuan konteks manajemen manajemen risiko.
Proses indentifikasi risiko dapat menggunakan berbagai metode, antara lain
metode yang berbasis brainstorming, check list, flowcharting, dll. Metode
yang akan digunakan untuk mengidentifikasi risiko merupakan lanjutan
dari metode yang digunakan pada tahapan menentukan konteks manajemen
risiko dan bila di perlukan diperlengkap atau diperdalam dengan metode
lain. Kesinambungan ini perlu dipertahankan sehingga tidak menjadi
kerancuan dalam keseluruhan proses manajemen risiko. Beberapa metode
28
UIN Syarif Hidayatullah Jakarta
yang telah diuraikan terdahulu merupakan metode yang akan diperdalam
untuk proses identifikasi risiko. Metode – metode tersebut adalah :
1. Pengujian dokumen (document review);
2. Analisis pemangku kepentingan (stakeholders analysis);
3. Risk Breakdown Structure (RBS);
4. Metode pemetaan proses bisnis (business process mapping)
sebagaimana di uraikan metode ini dapat digali lebih lanjut dengan
menggunakan teknik FMEA (Failure Mode and Effect Analysis)
2.8.3 Analisis Risiko
Analisis risiko adalah upaya untuk memahami risiko lebih dalam. Hasil analisis
risiko ini akan menjadi masukan bagi evaluasi risiko dan proses pengambilan
keputusan mengenai perlakuan terhadap risiko tersebut. Analisis risiko meninjau dua
aspek risiko, yaitu dampak dan kemungkinannya. Tingkat risiko akan ditentukan oleh
kombinasi dari dampang dengan kemungkinan. Skala dan metode kombinasi yang
digunakan harus konsisten dengan kriteria risiko yang ditetapkan sebelumnya.
Proses analisis seringkali dimulai dengan pendekatan kualitatif sederhana guna
memberikan pemahaman umum, ketika pemahaman lebih rinci dibutuhkan maka
diperlukan ivestigasi yang lebih terarah dan handal. Namun kurang tepat jika berasumsi
bahwa analisis kuantitatif lebih superior dari pada analisis kualitatif. Karena yang
penting adalah kesesuaian penggunaan pendekatan analisis dengan kebutuhan
berdasarkan situasi yaang berkembang saat itu. Tahapan analisis risiko pada
penelitian ini menggunakan metode OCTAVE untuk identifikasi risiko dan FMEA
untuk penilaian risiko.
2.9 Manajemen Risiko Teknologi Informasi
Manajemen risiko teknologi informasi adalah suatu pengelolaan/manajemen
dari risiko-risiko terkait teknologi informasi pada sebuah organisasi atau perusahaan
29
UIN Syarif Hidayatullah Jakarta
tertentu yang memiliki tujuan untuk meminimalisasi risiko yang muncul dengan
solusi yang berhubungan dengan aspek teknologi informasi.Manajemen risiko
teknologi informasi merupakan suatu subset dari keseluruhan manajemen risiko
bisnis.Manajemen risiko Teknologi Informasi (TI) adalah kemampuan organisasi
dalam mengurangi risiko-risiko TI yang mungkin akan menghambat pencapaian
tujuan organisasi terkait dengan pemanfaatan TI itu sendiri .
2.10 OCTAVE
Operationally
Menurut Alberts, C., Dorofee, A., Stevens, J., Woody. C. (2005), merupakan
praktik keamanan yang berfokus pada hal-hal yang berkaitan dengan
teknologi, seperti bagaimana cara penggunaannya, interaksinya, dan
perlindungan terhadap teknologi pada kegiatan sehari-hari.
Critical
Menurut Kamus Besar Bahasa Indonesia (2008), kritis adalah suatu keadaan
krisis, gawat, genting atau dalam keadaan yang paling menentukan berhasil
atau gagalnya suatu usaha.
Threat
Menurut Alberts, C., Dorofee, A., Stevens, J., Woody. C. (2005), merupakan
suatu indikasi atas potensi kejadian yang tidak diinginkan. Ancaman mengarah
pada situasi dimana seseorang dapat melakukan sesuatu yang tidak diinginkan
atau kejadian alam yang dapat menyebabkan sesuatu yang tidak diinginkan.
Asset
Menurut Alberts, C., Dorofee, A., Stevens, J., Woody. C. (2005), aset
merupakan sesuatu yang memiliki nilai bagi perusahaan. Aset TI merupakan
kombinasi dari aset fisik dan non fisik serta dikelompokan kedalam kelas yang
spesifik seperti informasi, sistem, sumber daya manusia, layanan dan aplikasi.
30
UIN Syarif Hidayatullah Jakarta
Evaluation
Menurut Suharsimi (2009), evaluasi adalah kegiatan untuk mengumpulkan
informasi tentang bekerjanya sesuatu, yang selanjutnya informasi tersebut
digunakan untuk menentukan alternatif yang tepat dalam mengambil
keputusan. Fungsi utama evaluasi dalam hal ini adalah menyediakan
informasi-informasi yang berguna bagi pihak decision maker untuk
menentukan kebijakan yang akan diambil berdasarkan evaluasi yang telah
dilakukan.
Critical Asset
Menurut Alberts, C., Dorofee, A., Stevens, J., Woody. C. (2005), merupakan
aset yang paling penting bagi perusahaan. Perusahaan akan menderita kerugian
yang besar apabila aset kritis diakses oleh pihak yang tidak berwenang,
dimodifikasi tanpa diketahui perusahaan, mengalami kerusakan atau hilang,
serta akses terhadap aset kritis terinterupsi.
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
adalah sebuah metode yang dikembangkan oleh Software Engineering Institute (SEI)
pada tahun 2001. Metode Octave merupakan sebuah tools, teknik, dan metode dalam
menilai dan merencanakan strategi keamanan informasi berdasar pengidentifikasi
risiko. OCTAVE merupakan suatu proses untuk mengidentifikasi pengetahuan
beberapa pihak mengenai praktek yang terjadi dari segi proses keamanan organisasi
serta melihat kondisi praktek keamanan yang telah berjalan di organisasi. OCTAVE
adalah sebuah pendekatan terhadap evaluasi risiko keamanan informasi yang
komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun
dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi risiko
keamanan informasi. Kriteria OCTAVE memerlukan eveluasi yang harus dilakukan
oleh sebuah tim interdisipliner yang terdiri dari personil teknologi informasi dan bisnis
organisasi. Anggota tim bekerjasama untuk membuat keputusan berdasarkan risiko
terhadap aset informasi kritis organisasi.
31
UIN Syarif Hidayatullah Jakarta
Secara umum metode octave menggunakan pendekatan tiga tahap yaitu
Membangun Profil Ancaman berdasarkan Aset (Build Asset-Based Threat Profile),
Mengidentifikasi Kerentanan Infrastruktur (Identify Infrastructure Vulnerabilities),
dan Mengembangan Rencana dan Strategi Keamanan (Develop Security Strategy and
Plan). Langkah langkah dalam menerapkan metode Octave dilakukan dengan
pendekatan terhadap tiga tahap diatas. Dalam setiap fase dalam metode Octave
memiliki beberapa proses yang mampu menguji isu teknologi dalam sebuah
organisasi atau perusahaan dan memberikan sebuah gambaran komperhensif
keamanan informasi yang dibutuhkan organisasi (Putri, 2017). Berikut ini
merupakan metode Octave tiga tahap dan masing masing proses didalamnya
Gambar 2.3 Fase Octave
32
UIN Syarif Hidayatullah Jakarta
2.10.1 Fase 1: Membangun Profil Ancaman berdasarkan Aset
Fase ini merupakan tahap mengidentifikasi aset yang kritikal dan ancaman pada
masing-masing aset TI. Dengan cara mengklasifikasikan aset yang penting bagi
organisasi dan pengamanan yang dibutuhkan. Penentuan klasifikasi aset dilakukan
dengan mengumpulkan informasi tentang aset, kebutuhan keamanan, ancaman dan
kekuatan serta kelemahan organisasi dari beberapa tingkatan manjamen mulai dari top
level hingga operasional. Proses dalam metode octave antara adalah identifikasi
aset kritis, identifikasi kebutuhan keamanan aset kritis, identfikasi ancaman aset
kritis, identifikasi keamanan yang sudah diterapkan, identifikasi kelemahan
organisasi (Mahersmi, 2016). Dalam fase ini luaran yang akan dihasilkan yaitu
daftar aset-aset kritis bagi organisasi beserta ancaman dari masing masing aset.
1. Proses 1: Identifikasi aset kritis
Proses ini merupakan proses dalam mengidentifikasikan aset kritis yang
dimiliki oleh organisasi dan akan menghasilkan luaran berupa aset aset
penting/kritis bagi organisasi.
2. Proses 2: identifikasi kebutuhan keamanan aset kritis
Proses ini merupakan proses dalam mengidentifikasikan kebutuhan keamanan
dari masing-masing aset kritis bagi organisasi. Luaran yang dihasilkan adalah
daftar kebutuhan keamanan aset-aset kritis bagi organisasi berdasarkan aspek
confidentiality, integrity, availability.
3. Proses 3: identifikasi ancaman aset kritis
Proses ini merupakan proses dalam mengidentifikasi sumber ancaman dari
masing-masing aset kritis dan pengaruhnya terhadap masing masing aset.
Luaran dari proses ini adalah daftar sumber ancaman dan pengaruhnya terhadap
aset.
4. Proses 4: identifikasi keamanan yang sudah diterapkan
Proses ini merupakan proses dalam mengidentifikasikan praktik praktik
kemananan terkini yang diimplementasikan dalam organisasi maupun upaya
33
UIN Syarif Hidayatullah Jakarta
yang telah dilakukan organisasi dalam melindungi aset informasi. Luaran
dalam proses ini adalah berupa daftar praktik keamanan yang dimiliki
organisasi.
5. Proses 5: identifikasi kelemahan organisasi
Proses ini merupakan proses dalam mengidentifikasi kelemahan kebijakan
organisasi yang sedang diterapkan. Luaran dalam proses ini adalah berupa
daftar kelemahan kebijakan organisasi.
2.10.2 Fase 2: Mengidentifikasi Kerentanan Infrastruktur
Fase ini merupakan tahap mengidentifikasi kelemahan pada teknologi atau
infrastruktur organisasi. Fase dua akan melakukan identifikasi komponen penting
dalam sistem yang kemudian dilakukan evaluasi terhadap komponen utamanya.
Hasilnya akan dianalisis untuk lebih memperjelas kembali profil ancaman pada
aset TI yang sudah diidentifikasi diawal. Proses dalam fase dua adalah identifikasi
komponen utama dan kelemahan teknologi yang sudah ada. Dalam fase ini luaran yang
akan dihasilkan yaitu daftar ancaman dari masing masing aset yang kritis.
1. Proses 1: identifikasi komponen utama
Proses ini adalah proses dalam mengidentifikasikan komponen utama dari
infrastruktur teknologi informasi seperti server, PC, laptop, dan perangkat
jaringan lainnya. Luaran dari proses ini adalah daftar komponen utama dalam
organisasi.
2. Proses 2: identifikasi kelemahan teknologi yang sudah ada
Proses ini adalah proses dalam mengevaluasi kelemahan informasi
infrastruktur baik dalam segi teknologi yang sudah diterapkan organisasi
maupun dalam konfigurasinya yang dapat menimbulkan akses keamanan
yang tidak terautorisasi. Luaran dalam proses ini adalah daftar kelemahan
dalam penerapan infrastruktur teknologi perusahaan
34
UIN Syarif Hidayatullah Jakarta
2.10.3 Fase 3: Mengembangan Rencana dan Strategi Keamanan
Fase ini merupakan tahap mengevaluasi risiko dan mengembangkan strategi
keamanan informasi berdasarkan best practice serta membuat rencana mitigasi
risiko. Pada tahap ini hasil dari proses analisa risiko akan dikembangkan kedalam
strategi yang tepat untuk melindungi aset yang berfokus pada perbaikan praktik
keamanan organisasi. Selain itu juga akan dibuat perencanaan mitigasi bila terjadi
accident. Proses dalam tahapan tiga adalah identifikasi risiko aset kritis, penilian risiko,
strategi perlingungan, rencana mitigasi risiko.
Tabel 2.1 Metode OCTAVE dan Output
Tahapan Output
Fase 1 Aset Kritis
Kebutuhan keamanan untuk aset kritis
Ancaman pada aset kritis
Praktek keamanan saat ini
Kerentanan organisasi saat ini
Fase II Komponen utama
Kerentanan teknologi saat ini
Fase III Risiko aset kritis
Pengukuran risiko
Strategi perlindungan
Perancanaan mitigasi risiko
35
UIN Syarif Hidayatullah Jakarta
2.11 Failure Mode and Effect Analysis (FMEA)
2.11.1 Sejarah FMEA
Prosedur untuk melakukan FMEA digambarkan di United State (US) angakatan
bersenjata dengan prosedur militer dokumen MIL-P-1629 pada tahun 1949; direvisi
pada tahun 1980 sebgai MIL-STD-1629A. pada awal 1960, kontraktor untuk US
National Aeronaitics and space administration (NASA) yang menggunakn varian
FMEA. Program NASA menggunakan varian FMEA termasuk Apollo, Viking,
Volyager, Magellan, Galileo, dan Skylab. Industri penerbangan sipil adalah adpter
awwal FMEA, dengan Society for Auomotive Enginers (SAE) penerbitan ARP4761,
yang sekarang secara luas digunakam dalam penerbangan sipil. Industri otomotif mulai
menggunakan FMEA pada pertengahan 1970. The Ford Motor Company
memperkenalkan FMEA untuk industri otomotif untuk keselamatan dan pertimbangan
peraturan. Ford menerapkan pendekatan yang sama untuk proses FMEA untuk
mempertimbangkan proses potensial yang disebabkan kegagalan sebelm meluncurkan
produksi. The SAE J1739 pertama kali diterbitkan standar terkait pada tahun 1994.
Standar ini juga sekarang dalam edisi keempat. Meskipun awalnya dikembangkan oleh
militer, metodelog FMEA sekarang banyak digunakan dalam berbagai idustri termasuk
pengolahan semikonduktor, pelayanan makanan, plastik, perangkat lunak, dan lain-lain
(Desy, 2014).
2.11.2 Pengertian FMEA
Keberadaan TI dalam perkembangan zaman saat ini menjadi objek utama
yang sangat dibutuhkan Failure Mode and Effect Analysis (FMEA) merupakan
suatu pendekatan yang sistematik menerapkan suatu metode pentabelan untuk
membantu proses pemikiran yang digunakan oleh engineers untuk mengidentifikasi
mode kegagalan potensial dan efeknya. FMEA adalah suatu prosedur terstruktur
untuk mengidentifikasi dan mencegah sebanyyak mungkin mode kegagalan. FMEA
digunkan untuk mengidentifikasi sumber-sumber dan akar peyebab dari suatu masalah,
36
UIN Syarif Hidayatullah Jakarta
terdapat dua penggunan yaitu dalam bidang desain (FMEA Desain) dan dalam proses
(FMEA Proses) (Gunardi, 2015).
Failure Mode and Effect Analysis (FMEA) merupakan analisa teknik yang bila
dilakukan dengan tepat dan waktu yang tepat akan memberikan nilai yang besar
dalam membantu proses pembuatan keputusan dari engineeri selama perancangan dan
pengembangan. FMEA merupakan metode sistematis yang digunakan untuk
melakukan identfikasi akibat atau konsekuensi dari potensi kegagalam sistem atau
proses, serta mengurangi peluang terjadinya kegagalan (Setyadi, 2015). FMEA
adalah salah satu alat yang dapat diandalkan untuk mengurangi kerugian yang terjadi
akibat kegagalan tersebut. Langkah langkah dari FMEA adalah sebagai berikut:
1. Mengidentifikasi komponen komponen dan fungsi yang terkait
2. Mengidentifikasi mode kegagalan (failure modes)
3. Mengidentifikasi dampak dari mode kegagalan (failure mode)
4. Menentukan nilai keparahan (severity) dari kegagalan
5. Mengidentifikasi penyebab dari kegagalan
6. Menentukan nilai frekuensi sering terjadinya (occurence) kegagalan
7. Mengidentifikasi kontrol yang diperlukan
8. Menentukan nilai keefektifan kontrol yang sedang berjalan
(detection)
9. Melakukan kalkulasi nilai RPN (risk priority number)
10. Menentukan tindakan untuk mengurangi kegagalan
Tujuan dari FMEA adalah:
1. Mengetahui kegagalan yang berpotensi
2. Memprediksi dan mengevaluasi pengaruh dari kegagalan pada
sistem yang ada
3. Menunjukkan prioritas terhadap perbaikan suatu proses
37
UIN Syarif Hidayatullah Jakarta
4. Mengidentifikasi dan membangun tindakan untuk mencegah atau
mengurangi kesempatan terjadinya kegagalan
5. Dokumentasi proses secara keseluruhan
Risiko-risiko yang sudah diidentifikasi pada tahap sebelumnya akan dinilai
berdasarkan metode FMEA (Failure Mode Effect Analysis) dengan mengukur
tingkat severity number, occurence number, dan detection number yang
nantinya akan menghasilkan Risk Probability Number (RPN).
2.11.3 Penentuan Nilai Dampak (Severity: S)
Severity number merupakan penilaian terhadap pengaruh buruk yang dirasakan
akibat kegagalan potensial. Severity number mengukur tingkat keparahan dari risiko
yang terjadi. Pengukuran Severity atau nilai dampak dilihat dari seberapa besar
intensitas suatu kejadian atau gangguan dapat mempengaruhi aspek-aspek penting
dalam organisasi. Pada tabel 2.2 dibawah, terdapat penjelasan nilai deteksi dan
kemampuan metode deteksi terhadap risiko.
Tabel 2.2 Nilai Dampak (Sumber:FMEA)
Dampak Dampak Yang Terjadi Ranking
Akibat
Berbahaya
Melukai Pelanggan atau Karyawan 10
Akibat Serius Aktivitas yang ilegal 9
Akibat Ekstrim Merubah produk atau jasa menjadi tidak
layak digunakan
8
Akibat major Menyebabkan ketidakpuasan pelanggan
secara ekstrim
7
Akibat
Signifikan
Menghasilkan kerusakan parsial
secara moderat
6
38
UIN Syarif Hidayatullah Jakarta
Akibat Moderat Menyebabkan penurunan kinerja dan
mengakibatkan keluhan
5
Akibat Minor Menyebabkan sedikit kerugian 4
Akibat Ringan Menyebabkan gangguan kecil yang dapat
diatas tanpa kehilangan sesuatu
3
Akibat Sangat
Ringan
Tanpa disadari: terjadi gangguan kecil pad
kinerja
2
Tidak Ada
Akibat
Tanpa disadari dan tidak mempengaruhi
kinerja
1
2.11.4 Penentuan Nilai Kemungkinan (Occurrence: O)
Occurence merupakaan pengukuran terhadap tingkat kemungkinan frekuensi
atau keseringan terjadinya masalah atau gangguan yang dapat menghasilkan
kegagalan. Occurence membantu dalam pengukuran probabilitas penyebab
kemungkinan terjadinya risiko akan menghasilkan kegagalan yang akan berdampak
sesuatu. Pada tabel 2.3 dibawah, terdapat penjelasan nilai kemungkinan dan
kemungkinan terjadinya risiko
Tabel 2.3 Nilai Kemungkinan (Sumber: FMEA)
Kemungkinan Kegagalan Kemungkinan Terjadi Ranking
Very High: Kegagalan
hampir/tidak dapat dihindari
Lebih dari satu kali setiap
harinya
10
Very High: Kegagalan sering
terjadi
Satu kali setiap 3-4 hari 9
39
UIN Syarif Hidayatullah Jakarta
High: kegagalan terjadi berulang
kali
Satu kali dalam seminggu 8
High: Kegagalan sering terjadi Satu kali dalam sebulan 7
Moderately High: Kegagalan
terjadi saat waktu tertentu
Satu kali setiap 3 bulan 6
Moderate : kegagalan terjadi
sesekali waktu
Satu kali setiap 6 bulan 5
Moderaate Low: kegagalan jarang
terjadi
Satu kali dalam setahun 4
Low: kegagalan terjadi relative
kecil
Satu kali dalam 1-3 tahun 3
Very Low : kegagalan terjadi
relative kecil dan sangat jarang
Satu kali dalam 3-6 tahun 2
Remote : kegagalan tidak pernah
terjadi
Satu kali dalam 6-50 tahun 1
2.11.5 Penentuan Nilai Deteksi (Detection: D)
Nilai deteksi atau detection merupakan suatu nilai pengukuran terhadap
kemampuan mengendalikan atau mengontrol kegagalan yang dapat terjadi. Pada tabel
2.3 dibawah, terdapat penjelasan nilai deteksi dan kemampuan metode deteksi terhadap
risiko.
40
UIN Syarif Hidayatullah Jakarta
Tabel 2.4 Nillai Deteksi (Sumber:FMEA)
Deteksi Kriteri Deteksi Ranking
Hampir tidak
mungkin
Tidak ada metode penanganan 10
Sangat kecil Metode deteksi yang ada tidak mampu
memberikan cukup waktu untuk
melaksanakan rencana kontingensi
9
Kecil Metode deteksi tidak terbukti untuk
mendeteksi tepat waktu
8
Sangat rendah Metode deteksi tidak andal dalam
mendeteksi tepat waktu
7
Rendah Metode deteksi memiliki tingkat
efektifitas yang rendah
6
Sedang Metode deteksi memiliki tingkat
efektifitas yang ratarata
5
Cukup tinggi Metode deteksi memiliki kemungkinan
cukup tinggi untuk dapat mendeteksi
kegagalan
4
Tinggi Metode deteksi memiliki kemungkinan
tinggi untuk dapat mendeteksi
kegagalan
3
Sangat tinggi Metode deteksi sangat efektif untuk
dapat mendeteksi dengan waktu yang
cukup
2
41
UIN Syarif Hidayatullah Jakarta
untuk melaksanakan rencana
kontingensi
Hampir pasti Metode deteksi hampir pasti dapat
mendeteksi dengan waktu yang cukup
untuk melaksanakan rencana
kontingensi
1
2.11.6 Penentuan Level Risiko (Risk Priority Number)
Risk Priority Number (RPN) merupakan produk matematis dari keseriusan
effects (Severity), kemungkinan terjadinya cause akan menimbulkan kegagalan
yang berhubungan dengan effects (occurrence), dan kemampuan untuk mendeteksi
kegagalan sebelum terjadi pada pelanggan (detection). RPN dapat ditunjukkan
dengan persamaan sebagai berikut:
RPN = Severity x Occurrence x Detection
Dari hasil RPN, maka dapat diketahui tingkat risiko tersebut. Tingkat risiko
berdasarkan FMEA adalah sebagai berikut:
Tabel 2.5 Level Risiko (Sumber:FMEA)
42
UIN Syarif Hidayatullah Jakarta
Skala RPN dari setiap risiko akan digunakan sebagai penentu level risiko, yang berguna
untuk menilai risiko manakah yang bernilai paling tinggi. Perusahaan perlu melakukan
antisipasi, mitigasi dan strategi terhadap risiko yang memiliki tingkatan paling
tinggi, untuk menjaga keberlangsungan operasional bisnis saat gangguan tersebut
terjadi.
2.12 Profil Risiko
Profil risiko adalah suatu bentuk atau model yang dapat mengilustrasikan atau
memberikan gambaran tentang risiko - risiko suatu unit. Profil risiko perusahaan/unit
biasanya hanya memuat risiko-risiko significant yang dihadapi perusahaan. Profil risko
unit berisikan risiko significant dengan kategori Strategik, Operasional, Finansial dan
Compliance (Nyoman, 2014).
Gambar 2.4 Peta/Profil Risiko
43
UIN Syarif Hidayatullah Jakarta
Studi Literatur Sejenis
No Judul penelitian Standarisasi Metode
ISO 31000 COSO OCTAVE FMEA
1 Aplikasi Assessment
Manajemen Risiko Berbasis
ISO 31000:2009 Untuk
Membangun Awarness Pemilik
Risiko Pada PT. Angkasa Pura
II (Persero)
(Soleh:2016)
- - -
2 Manajemen Risiko Sistem
Informasi Akademik Di
Universitas Jenderal Achmad
Yani Menggunakan Committee
Of Sponsoring Organizations
Of The Treadway
Commission’s (COSO)
(Fitri : 2017)
- - -
3 Analisis Risiko Teknologi
Informasi Berbasis Risk
Management Menggunakan
ISO 31000 (Studi Kasus : i-
Gracias Telkom University)
(Andi:2015)
- - -
4 Analisis Risiko Teknologi
Informasi Pada Lembaga
Penerbangan dan Antariksa
Nasional (LAPAN) Pada
Website SWIFTS
Menggunakan ISO 31000
(Francisca:2016)
- - -
5 Penilaian Risiko Keamanan Informasi Menggunakan
Metode Failure Mode And Effects Analysis Di Divisi TI
- - -
44
UIN Syarif Hidayatullah Jakarta
Pt. Bank Xyz Surabaya
(Inneke : 2014)
6 Mitigasi Risiko Aset Dan Komponen Teknologi Informasi Berdasarkan
Kerangka Kerja OCTAVE Dan FMEA Pada Universitas Dian
Nuswantoro (Gunawan:2016)
- -
7 Analisis Risiko Keamanan Informasi Dengan
Menggunakan Metode Octave Dan Kontrol IS0 27001 Pada
Dishubkominfo Kabupaten Tulungagung (Balqis:2016)
- -
8 Penelitian yang dilakukan penulis
-
45 UIN Syarif Hidayatullah Jakarta
BAB III
METODOLOGI PENELITIAN
Dalam penyusunan skripsi ini, penulis melakukan tahapan yang dibutuhkan untuk
mendapatkan hasil yang baik seperti dalam hal pengumpulan data dan informasi serta
pengembangan sistem. Untuk itulah diperlukan adanya data-data dan informasi yang
lengkap guna mendukung proses pembuatan aplikasi ini.
3.1 Metode Pengumpulan Data
3.1.1 Studi Pustaka
Studi pustaka adalah serangkaian kegiatan yang berkenan dengan
metode pengumpulan data pustaka, membaca dan mencatat serta mengolah
bahan penelitian. Data dan informasi peneliti kumpulkan berupa 7 buku
referensi, 2 e-book, 10 jurnal, dan 8 pustaka lain mengenai perancangan
software aplikasi yang dijadikan acuan.
3.1.1 Wawancara
Wawancara awal yang dilakukan penulis adalah berdiskusi dengan
Kepala Pustipanda Bapak Nashrul Hakiem. Wawancara ini menjelaskan
maksud dan tujuan penulis ingin melakukan pengujian aplikasi menggunakan
data ase kritis Pustipanda.
3.2 Metode Pengembangan Sistem
Dalam pengembangan aplikasi manajemen risiko ini, metode yang digunakan
yaitu metode waterfall. Model SDLC air terjun (waterfall) sering juga disebut
model sekuensial linier (sequential linear) atau alur hidup klasik (classic life cycle).
Model air terjun (waterfall) menyediakan pendekatan alur hidup perangkat lunak
secara sekuensial atau terurut dimulai analisis, desain, pengodean, pengujian,
dan tahap pendukung (support).
46
UIN Syarif Hidayatullah Jakarta
Gambar 3.1 Waterfall
a. Analisis : pada tahap ini penulis mencari referensi dan tools yang berkaitan
dengan aplikasi untuk menghitung risiko dan profil risiko.
1) Penulis membuat aplikasi manajemen risiko berdasarkan pada ISO
3100:2009 yaitu :
1. Penetapan konteks (Establishing the context)
Konteks proses manajemen risiko adalah konteks dimana proses
manajemen risiko diterapkan. Hal ini meliputi sasaran organisasi,
strategi, lingkup, parameter kgiatan organisasi, atau bagian lain dimana
manajemen risiko diterapkan.
2. Identifikasi risiko (Risk Identification)
Pada tahap Risk Identification penulis menggunakan metode OCTAVE
untuk mengidentifikasi aset perusahaan. OCTAVE adalah sebuah
pendekatan terhadap evaluasi risiko keamanan informasi yang
komprehensif, sistematik, terarah, dan dilakukan sendiri.
Pendekatannya disusun dalam satu set kriteria yang mendefinisikan
elemen esensial dari evaluasi risiko keamanan informasi. Pendekatan
OCTAVE menggunakan tiga tahapan, yaitu membangun proses profil
ancaman berdasarkan aset yang ada (Build Asset-Based Threat
Profiles), melakukan identifikasi erentanan dari infrasruktur
(Develop Security Strategy and Plans), dan mengembangkan rencana
dan strategi keamanan (Develop Security Strategy and Plans).
47
UIN Syarif Hidayatullah Jakarta
3. Analisis risiko (Risk analysis)
Selanjutnya risiko-risiko yang sudah di identifikasi pada tahap
sebelumnya akan dinilai berdasarkan metode FMEA (Failure Mode
Effect Analysis) dengan mengukur tingkat severity number, occurence
number, dan detection number yang nantinya akan menghasilkan Risk
Probability Number (RPN). Langkah langkah dari FMEA adalah
sebagai berikut :
1. Mengidentifikasi komponen komponen dan fungsi yang terkait
2. Mengidentifikasi mode kegagalan (failure modes)
3. Mengidentifikasi dampak dari mode kegagalan (failure mode)
4. Menentukan nilai keparahan (severity) dari kegagalan
5. Mengidentifikasi penyebab dari kegagalan
6. Menentukan nilai frekuensi sering terjadinya (occurence) kegagalan
7. Mengidentifikasi kontrol yang diperlukan
8. Menentukan nilai keefektifan kontrol yang sedang berjalan
(detection)
9. Melakukan kalkulasi nilai RPN (risk priority number)
10. Menentukan tindakan untuk mengurangi kegagalan
4. Evaluasi risiko (Risk evaluation)
Tujuannya membantu proses pengambilan keputusan berdasarkan hasil
analisis risiko. Proses evaluasi risiko akan menentukan risiko-risiko
mana yang memerlukan perlakuan dan bagaimana implementasi
perlakuan risiko-risiko tersebut. Keluaran dari proses evaluasi risiko ini
akan menjadi masukan untuk diolah lebih lanjut pada tahapan
berikutnya.
5. Perlakuan risiko (Risk treatmen)
48
UIN Syarif Hidayatullah Jakarta
Perlakuan risiko meliputi upaya untuk menyeleksi pilihan-pilihan yang
dapat mengurangi atau meniadakan dampak serta kemungkinan
terjadinya risiko, kemudian menerapkan pilihan tersebut.
b. Desain : Desain perangkat lunak adalah proses multi langkah yang fokus pada
desain pembuatan program perangkat lunak termasuk struktur data, arsitektur
perangkat lunak, representasi antar muka, dan prosedur pengodean. Maka
penulis membuat perancangan basis data dengan Entity Relation Diagram
(ERD), merancang Use case yang merupakan pemodelan untuk kelakuan
(behavior) sistem informasi yang akan dibuat, merancang flow map untuk
menggambarkan proses bisnis berjalan dan usulan, dan merancang tampilan
aplikasi dengan menggunakan balsamiq mockups.
c. Pengodean : Pada tahap ini penulis menerjemahkan desain system yang
telah dibuat kedalam bahasa pemrograman PHP dan database server berupa
MySQL yang nantinya akan menjadi sebuah aplikasi yang dapat diakses
oleh responden perguruan tinggi.
d. Pengujian : Pada tahap ini akan dilakukan pengujian sistem menggunakan
metode black box untuk memastikan bahwa aplikasi yang dibangun telah
memenuhi dari responden Perguruan Tinggi.
49
UIN Syarif Hidayatullah Jakarta
3.3 Kerangka Berpikir
Mulai
Identifikasi masalah
Merumuskan masalah
Metode pengumpulan data : 1. studi pustaka2. wawancara
Penentuan konteks
Identifikasi risiko
Analisis risiko
Risk Assessment
Octave
FMEA
DesignPerancangan
aplikasi
Perancangan proses
Perancangan database
Perancangan interface
Usecase diagram
Activity diagram
Pengkodean
Pengujian
Apakah sesuai dengan requirement?
Profil risiko, Kesimpulan dan saran
Selesai
Ya
tidak
Sequence diagram
Gambar 3.2 Kerangka Berfikiri
50 UIN Syarif Hidayatullah Jakarta
BAB IV
ANALISIS DAN PERANCANGAN SISITEM
4.1 Requirement analysis
Pada tahap ini peneliti melakukan kegiatan identifikasi masalah pada aset
kritis perusahaan.
4.1.1 Identifikasi masalah
Seperti yang telah disampaikan sebelumnya, dalam bab I pada sub latar belakang
permasalahan, bahwa pada saat ini penerapan manajemen risiko pada perusahaan
masih sedikit yang menggunakan sebuah sistem aplikasi dan kebanyakan masih
menggunakan metode manual/semi komputerisasi, dimana pemilik risiko menulis
dikertas atau mengetik di excel dalam memberikan data potensi risiko sehingga
membutuhkan waktu yang cukup lama dalam mengklasifisikan risiko-risiko yang ada.
Adapun aplikasi manajemen risiko saat ini tetapi metode yang digunakannya hanya
satu dan menjadi tidak akurat hasilnya. Untuk mengatasi masalah tersebut maka
dibutuhkan sebuah sistem atau aplikasi dengan mengunakan konsep yang bagus dan
akurat yang mampu membantu setiap individu atau organisasi untuk mengukur nilai
risiko dan profil risiko perusahaan. Maka dari itu penulis tertarik untuk membuat
Aplikasi Manajemen Risiko Menggunakan Metode OCTAVE dan FMEA Berbasis
ISO 31000:2009 Untuk Membantu Membuat Profil Risiko Perusahaan
4.1.2 Sistem Yang Diusulkan
1. Setelah menentukan permasalahan maka selanjutnya menentukan apa yang
harus diselesaikan dengan menggunakan sistem yang akan dibuat (usulan).
Sistem yang akan dibuat pada sistem manajemen risiko untuk membantu
membuat profil perusahaan adalah dengan menentukan 4 aktor dalam
penyusunan profil risiko yaitu Risk Owner, Risk Unit (Koordinator Bidang),
Administrator dan President Director.
51
UIN Syarif Hidayatullah Jakarta
4.2 Design System
Perancangan aplikasi ini peneliti melakukan perancangan dengan menggunakan
UML yang terdiri dari Usecase diagram, Usecase Scenario, Activity diagram,
sequence diagram, dan ERD.
4.2.1 Use Case Diagram
Use case diagram sistem ini mempersentasikan aktifitas utama dalam aplikasi
manajemen risiko, disamping fitur tambahan lain yang menguntungkan bagi user
dalam sistem ini, setiap use case menyimpan detail aktivitas yang akan dijabarkan
selanjutnya. Menggunakan UML diagaram Use Case untuk menangkap kebutuhan user
atau perusahaan.
52
UIN Syarif Hidayatullah Jakarta
Gambar 4.1 Use Case Diagram Aplikasi Manajemen Risiko
53
UIN Syarif Hidayatullah Jakarta
Gambar 4.1 menjelaskan mengenai usecase pada aplikasi manajemen risiko, dimana
rektor, kepala pustipanda dan koordiator masing-masing bidang sebagai aktor. Berikut
adalah skenario narasi usecase diagram.
4.2.2 Usecase Scenario
Usecase Scenario mendefinisikan apa yang dilakukan oleh sistem ketika aktor
mengaktifkan Usecase. Struktur dari Usecase Scenario ini terdiri dari:
1. Nama Usecase.
2. Aktor yang terlibat.
3. Pre-condition yang penting bagi Usecase untuk memulai.
4. Main Flow dari kejadian yang bisa dirinci lagi menjadi sub file dari
kejadian (sub file bisa dibagi lagi lebih jauh menjadi sub file yang lebih
kecil agar document lebih mudah dibaca dan dimengerti).
5. Alternative file untuk mendefinisikan situasi perkecualian.
6. Post-condition yang menjelaskan state dari sistem setelah Usecase
berakhir
Tabel 4.1 Usecase Scenario Login
Usecase Name Login
Actor Admin, rektor, kepala pustipanda, koordinator bidang
Description Usecase ini mendeskripsikan event dari aktor melakukan
login dengan memasukkan username dan password untuk
mengakses website system.
Pre Condation Aktor harus memiliki username dan password yang telah
terdaftar pada sistem
Main Flow 1. Membuka sistem
54
UIN Syarif Hidayatullah Jakarta
2. Sistem membuka halaman login
3. Memasukan Username dan password, lalu klik tombol
‘masuk’.
4. Sistem mengecek kesesuaian Username dan password.
5. Sistem menampilkan halaman utama sesuai
otentifikasi aktor
Alternate Courses Jika username dan password yang dimasukkan belum
terdapat pada sistem maka sistem akan menampilkan pesan
kesalahan dan kembali menampilkan halaman login
Post Condition Aktor berhasil masuk ke dalam sistem
Tabel 4.2 Usecase scenario Managemen Login
Usecase Name Management Login
Actor Admin
Description Usecase ini menggambarkan aktor dapat menampilkan atau
mengelola data informasi dengan
menambah/mengupdate/menghapus user pada sistem
Pre Condation Tabel dan Form data User telah ada dalam aplikasi.
Main Flow 1. Pilih menu “user”
2. Sistem menampilkan tabel dan informasi User
3. Klik button‘tambah’ untuk memasukan data User baru
4. Klik button‘update’ untuk mengrubah data User
5. Klik button‘delete’ untuk menghapus data User
55
UIN Syarif Hidayatullah Jakarta
6. Sistem menampilkan Form tambah/update/delete
User
7. Memasukan data pada Form tambah/update/delete
User, lalu klik ‘simpan’
8. Sistem Menghubungkan dengan database
9. Sistem Menampilkan data yang sudah di input kan.
Alternate Courses Jika terjadi kesalahan saat menambahkan data maka sistem
akan menampilkan pesan kesalahan.
Post Condition Data berhasil tersimpan kedalam sistem
Tabel 4.3 Usecase scenario Management Jabatan
Usecase Name Management Jabatan
Actor Admin
Description Usecase ini menggambarkan aktor dapat menambah,
mengupdate, dan menghapus jabatan pada sistem manajemen
risiko
Pre Condation Tabel dan Form jabatan telah ada dalam aplikasi.
Main Flow 1. Pilih menu “Jabatan”
2. Sistem menampilkan tabel dan informasi Jabatan.
3. Memasukan data pada Form Jabatan, lalu klik
‘simpan’.
4. Sistem menghubungkan dengan database
5. Sistem menampilkan data yang sudah di edit
56
UIN Syarif Hidayatullah Jakarta
Alternate Courses Jika terjadi kesalahan saat menambahkan/mengupdate data
maka sistem akan menampilkan pesan kesalahan.
Post Condition Data berhasil tersimpan kedalam sistem
Tabel 4.4 Usecase Management Aset Kritis
Usecase Name Management Aset Kritis
Actor Kepala Koordinator (Risk Unit)
Description Usecase ini menggambarkan aktor dapat tambah, update, dan
hapus aset kritis pada sistem manajemen risiko
Pre Condation Tabel dan Form aset kritis telah ada dalam aplikasi.
Main Flow 1. Pilih menu “aset kritis”
2. Sistem menampilkan form aset kritis.
3. Pilih Tambah/ update/ hapus aset kritis pada form aset
kritis, lalu klik ‘simpan’.
4. Sistem menghubungkan dengan database
5. Sistem menampilkan data yang sudah di tambah/
update/di hapus.
Alternate Courses Jika terjadi kesalahan saat menambahkan atau mengupdate
data maka sistem akan menampilkan pesan kesalahan.
Post Condition Data berhasil tersimpan kedalam sistem
Tabel 4.5 Usecase Management Kebutuhan Keamanan
57
UIN Syarif Hidayatullah Jakarta
Usecase Name Management Kebutuhan Keamanan
Actor Kepala Koordinator (Risk Unit)
Description Usecase ini menggambarkan aktor dapat menambah,
mengupdate, dan menghapus kebutuhan keamanan
Pre Condation Tabel dan Form kebutuhan keamanan telah ada dalam aplikasi.
Main Flow 1. Pilih menu “kebutuhan keamanan”
2. Sistem menampilkan form tambah, update, dan hapus
kebutuhan keamanan
3. Masukan data/ update data / hapus data pada Form
kebutuhan keamanan, lalu klik ‘simpan’.
4. Sistem menghubungkan dengan database
5. Sistem menampilkan data yang sudah di
input/update/dihapus pada kebutuhan keamanan.
Alternate Courses Jika terjadi kesalahan saat menambahkan/ mengupdate data
maka sistem akan menampilkan pesan kesalahan.
Post Condition Data berhasil tersimpan kedalam sistem
Tabel 4.5 Usecase Manejemen identifikasi ancaman
Usecase Name Manajemen indentifikasi ancaaman
Actor Kepala Koordinator (risk unit)
Description Usecase ini menggambarkan aktor dapat menambahkan,
mengupdate dan menghapus data indentifikasi ancaman pada
sistem aplikasi manajemen risiko.
58
UIN Syarif Hidayatullah Jakarta
Pre Condation Tabel dan Form indentifikasi ancaman telah ada dalam
aplikasi.
Main Flow 1. Pilih menu identifikasi rancaman
2. Sistem menampilkan form identifikasi ancaman
3. Tekan tombol “tambah”/ “updtae” / “hapus”
4. Sistem menampilkan form tambah/ edit/ hapus data
identifikasi ancaman
5. Memasukan data pada Form identifikasi ancaman, lalu
klik ‘simpan’.
6. Sistem menghubungkan dengan database
7. Sistem menampilkan data yang sudah di tambah/
update/ hapus.
Alternate Courses Jika terjadi kesalahan saat menambahkan/mengupdate/
menghapus data maka sistem akan menampilkan pesan
kesalahan.
Post Condition Data berhasil tersimpan kedalam sistem
Tabel 4.6 Usecase Management Praktik Keamanan
Usecase Name Management Praktik Keamanan
Actor Kepala koordinator (Risk Unit)
Description Pada Usecase ini aktor dapat menambahkan,mengupdate, dan
menghapus data praktik keamanan yang ada dalam sistem
manajemen risiko.
59
UIN Syarif Hidayatullah Jakarta
Pre Condation Telah terdapat tabel dan form praktik keamanan
Main Flow 1. Pilih menu praktek keamanan
2. Sistem menampilkan form praktik keamanan
3. Tekan tombol “tambah”/ “updtae” / “hapus”
4. Sistem menampilkan form tambah/ edit/ hapus data
praktik keamanan
5. Memasukan data pada Form praktik keamanan, lalu
klik ‘simpan’.
6. Sistem menghubungkan dengan database
Sistem menampilkan data yang sudah di tambah/
update/ hapus.
Alternate Courses Jika terjadi kesalahan saat menambahkan/mengupdate/
menghapus data maka sistem akan menampilkan pesan
kesalahan.
Post Condition Data berhasil tersimpan kedalam sistem.
Tabel 4.7 Usecase Management Kelemahan Organisasi
Usecase Name Management Kelemahan Organisasi
Actor Kepala Koordinator (Risk Unit)
Description Pada Usecase ini aktor dapat menambahkan,mengupdate, dan
menghapus data kelemahan organisasi yang ada dalam sistem
manajemen risiko.
Pre Condation Telah terdapat form kelemahan organisasi pada sistem
manajemen risiko
60
UIN Syarif Hidayatullah Jakarta
Main Flow 1. Pilih menu kelemahan organisasi
2. Sistem menampilkan form kelemahan organisasi
3. Tekan tombol “tambah”/ “updtae” / “hapus”
4. Sistem menampilkan form tambah/ edit/ hapus data
kelemahan organisasi
5. Memasukan data pada Form kelemahan organisasi,
lalu klik ‘simpan’.
6. Sistem menghubungkan dengan database
Sistem menampilkan data yang sudah di tambah/
update/ hapus.
Alternate Courses Jika terjadi kesalahan saat menambahkan/mengupdate/
menghapus data maka sistem akan menampilkan pesan
kesalahan.
Post Condition Data berhasil tersimpan kedalam sistem
Tabel 4.8 Usecase Manajemen Komponen Aset
Usecase Name Management Komponen Aset
Actor Kepala Koordinator (Risk Unit)
Description Pada Usecase ini aktor dapat menambahkan,mengupdate, dan
menghapus data komponen aset yang ada dalam sistem
manajemen risiko.
Pre Condation Telah terdapat form komponen aset pada sistem manajemen
risiko
Main Flow 1. Pilih menu komponen aset
2. Sistem menampilkan form komponen aset
61
UIN Syarif Hidayatullah Jakarta
3. Tekan tombol “tambah”/ “updtae” / “hapus”
4. Sistem menampilkan form tambah/ edit/ hapus data
komponen aset
5. Memasukan data pada Form komponen aset, lalu klik
‘simpan’.
6. Sistem menghubungkan dengan database
Sistem menampilkan data yang sudah di tambah/
update/ hapus.
Alternate Courses Jika terjadi kesalahan saat menambahkan/mengupdate/
menghapus data maka sistem akan menampilkan pesan
kesalahan.
Post Condition Data berhasil tersimpan kedalam sistem
Tabel 4.9 Usecase Management Kemungkinan Ancaman
Usecase Name Management Kemungkinaan Ancaman
Actor Kepala Koordinator (Risk Unit)
Description Pada Usecase ini aktor dapat menambahkan,mengupdate, dan
menghapus data kemungkinan ancaman yang ada dalam
sistem manajemen risiko.
Pre Condation Telah terdapat form kemungkinaan ancaman pada sistem
manajemen risiko
Main Flow 1. Pilih menu kemungkinan ancaman
2. Sistem menampilkan form kemungkinan ancaman
3. Tekan tombol “tambah”/ “updtae” / “hapus”
62
UIN Syarif Hidayatullah Jakarta
4. Sistem menampilkan form tambah/ edit/ hapus data
kemungkinan ancaman
5. Memasukan data pada Form kemungkinan ancaman ,
lalu klik ‘simpan’.
6. Sistem menghubungkan dengan database
Sistem menampilkan data yang sudah di tambah/
update/ hapus.
Alternate Courses Jika terjadi kesalahan saat menambahkan/mengupdate/
menghapus data maka sistem akan menampilkan pesan
kesalahan.
Post Condition Data berhasil tersimpan kedalam sistem
Tabel 4.10 Management Potensial Cause
Usecase Name Management Potensial Cause
Actor Kepala pustipanda (Risk owner)
Description Pada Usecase ini aktor dapat mengisi dan menghapus data
potensial cause yang ada dalam sistem manajemen risiko.
Pre Condation Telah terdapat form potensial pada sistem manajemen risiko
Main Flow 1. Pilih menu potensial cause
2. Sistem menampilkan form potensial cause
3. Tekan tombol “tambah”/ “hapus”
4. Sistem menampilkan form tambah/ hapus data
potensial cause
5. Memasukan data pada Form potensial cause, lalu klik
‘simpan’.
63
UIN Syarif Hidayatullah Jakarta
6. Sistem menghubungkan dengan database
Sistem menampilkan data yang sudah di tambah/
update/ hapus.
Alternate Courses Jika terjadi kesalahan saat menambahkan/mengupdate/
menghapus data maka sistem akan menampilkan pesan
kesalahan.
Post Condition Data berhasil tersimpan kedalam sistem
Tabel 4.11 Identifikasi Risiko
Usecase Name Identifikasi Risiko
Actor Kepala Pustipanda (Risk Owner)
Description Pada Usecase ini aktor dapat mengisi identifikasi risiko yang
ada dalam sistem manajemen risiko.
Pre Condation Telah terdapat form identifikasi risiko pada sistem manajemen
risiko
Main Flow 1. Pilih menu identifikasi risiko
2. Sistem menampilkan form identifikasi risiko
3. Tekan tombol “action” untuk megisi identifikasi risiko
lalu klik ‘simpan’.
4. Sistem menghubungkan dengan database
Sistem menampilkan data yang sudah di isi nilai
Alternate Courses Jika terjadi kesalahan saat mengisi data maka sistem akan
menampilkan pesan kesalahan.
Post Condition Data berhasil tersimpan kedalam sistem
64
UIN Syarif Hidayatullah Jakarta
Tabel 4.12 Usecase Analisis Risiko
Usecase Name Analisis Risiko
Actor Kepala Pustipanda (Risk Owner)
Description Pada Usecase ini aktor dapat mengisi nilai sseverity,
Occurrence, dan detection yang ada dalam sistem manajemen
risiko.
Pre Condation Telah terdapat form analisis risiko pada sistem manajemen
risiko
Main Flow 5. Pilih menu analisis risiko
6. Sistem menampilkan form analisis risiko
7. Tekan tombol “opsi” untuk megisi nilai severity,
occurrence, dan detection lalu klik ‘simpan’.
8. Sistem menghubungkan dengan database
Sistem menampilkan data yang sudah di isi nilai
Alternate Courses Jika terjadi kesalahan saat mengisi data maka sistem akan
menampilkan pesan kesalahan.
Post Condition Data berhasil tersimpan kedalam sistem
65
UIN Syarif Hidayatullah Jakarta
Tabel 4.13 Usecase Profil risiko
Usecase Name Profil Risiko
Actor Rektor
Description Pada Usecase ini aktor dapat profil risiko yang ada dalam
sistem manajemen risiko.
Pre Condation Telah terdapat daftar profil risiko pada sistem manajemen
risiko
Main Flow 1. Pilih menu profil risiko
2. Sistem menampilkan daftar profil risiko
Alternate Courses -
Post Condition Daftar profil risiko berhasil ditampilkan
66
UIN Syarif Hidayatullah Jakarta
4.2.3 Activity Diagram
Activity diagram menggambarkan Activity-Activity yang terjadi dalam
sistem. Berikut ini akan digambarkan tentang Activity diagram pada sistem
manajemen risiko.
a. Activity Diagram Login
Activity Diagram Log in
systemadministrator/user
masukan username dan password
validasi username dan password
menampilkan pesan berhasil log in
masuk ke menu utama
Y
T
Gambar 4.2 Activity Diagram Login
67
UIN Syarif Hidayatullah Jakarta
b. Activity Diagram Data User
Activity Diagram Data User
Systemadministrator
Y
Phas
e
memilih menu management login
menampilkan menu management log in
tambah update
hapus
menampilkan form tambah/update/
hapus
masukan data
validasi data
T
memproses data
Y
Gambar 4.3 Activity Diagram Data Use
68
UIN Syarif Hidayatullah Jakarta
c. Activity Diagram Manejemen Jabatan
Activity Diagram Manajemen Jabatan
Admin system
Ph
ase
memilih menu management Jabatan
menampilkan menu management Jabatan
tambah jabatan
update jabatan
hapus jabatan
menampilkan form tambah/update/
hapus jabatan
masukan data
validasi
memproses data
<<Y>>
<<T>>
Gambar 4.4 Activity Diagram Manajemen Jabatan
69
UIN Syarif Hidayatullah Jakarta
d. Activity Diagram Kategori Ancaman
Activity Diagram Kategori Ancaman
Admin system
memilih menu management kategori
ancaman
menampilkan menu management kategori
ancaman
tambah kategori ancaman
update kategori ancaman
hapus kategori ancaman
menampilkan form tambah/update/hapus kategori
acaman
masukan data
validasi
memproses data
<<Y>>
<<T>>
Gambar 4.5 Activity Diagram Kategori Ancaman
70
UIN Syarif Hidayatullah Jakarta
e. Activity Diagram Kategori Risiko
Activity Diagram Manajemen Kategori Risiko
Admin system
memilih menu management Kategori
risiko
menampilkan menu management kategori
risiko
tambah kategori
risiko
update kategori
risiko
hapus kategori
risiko
menampilkan form tambah/update/hapus kategori
risiko
masukan data
validasi
memproses data
<<Y>>
<<T>>
Gambar 4.6 Activity Diagram Kategori Risiko
71
UIN Syarif Hidayatullah Jakarta
f. Activity Diagram Identifikasi Risiko
Activity Diagram Identifikasi Risiko
Systemkoordinator bidang
memilih menu manajemen
identifikasi risiko
menampilkan menu manajemen
identifikasi risiko
tambah hapusupdate
menampilkan form tambah/update/
hapus
masukan data
validasi data
<<Y>>
data tersimpan ke database
<<T>>
Login
Gambar 4.7 Activity Diagram Identifikasi Risiko
72
UIN Syarif Hidayatullah Jakarta
g. Activity Diagram Risk Register
Activity Diagram Risk Register
SystemKepala Pustipanda
memilih menu Risk Register
menampilkan menu manajemen Risk
Register
tambah hapusupdate
menampilkan form tambah/update/
hapus
masukan data
validasi data
<<Y>>
data tersimpan ke database
<<T>>
Login
Gambar 4.8 Activity Diagram Risk Register
73
UIN Syarif Hidayatullah Jakarta
h. Activity Diagram Analisis Risiko
Activity Diagram Analisis Risiko
SystemKepala Pustipanda
Ph
ase
memilih menu analisis risiko
menampilkan menu analisis risiko
severity occurrence detection
menampilkan form severity,
occurrence,detection
masukan data
validasi data
<<T>>
memproses data
<<Y>>
Log in
Gambar 4.9 Activity Diagram Analisis Risiko
74
UIN Syarif Hidayatullah Jakarta
i. Activity Diagram Lihat Profil Risiko
Activity Diagram Lihat Profil Risiko
SystemRektor
memilih menu lihat profil risiko
menampilkan visualisasi profil risiko
Log in
Gambar 4.10 Activity Diagram Lihat Profil Risiko
75
UIN Syarif Hidayatullah Jakarta
4.2.4 ERD (Entity Relationship Diagram)
Gambar 4.11 Entity Relationship Diagram (ERD)
76 UIN Syarif Hidayatullah Jakarta
4.2.5 Sequence Diagram
Sequence diagram menjelaskan secara detail urutan proses yang dilakukan dalam
sistem untuk mencapai tujuan dari Usecase. Berikut ini akan digambarkan tentang
Sequence diagram pada Sistem Manajemen Risiko:
a. Squence Diagram Login
Gambar 4.12 Sequence Diagram Login
77 UIN Syarif Hidayatullah Jakarta
b. Sequence Diagram Manajemen Login
Gambar 4.13 Squence Diagram Manajemen Login
78 UIN Syarif Hidayatullah Jakarta
c. Sequence Diagram Manajemen Jabatan
Gambar 4.14 Sequence Diagram Manajemen Jabatan
79 UIN Syarif Hidayatullah Jakarta
d. Sequence Diagram Manajemen Kategori Risiko
Gambar 4.15 Sequence Diagram Manajemen Kategori Risiko
80 UIN Syarif Hidayatullah Jakarta
e. Sequence Diagram Kategori Ancaman
Gambar 4 16 Squence Diagram Kategori Ancaman
81 UIN Syarif Hidayatullah Jakarta
f. Sequence Diagram Identifikasi Risiko
Gambar 4.17 Sequence Diagram Identifikasi Risiko
82 UIN Syarif Hidayatullah Jakarta
g. Sequence Diagram Analisis Risiko
Gambar 4.18 Sequence Diagram Analisis Risiko
83 UIN Syarif Hidayatullah Jakarta
h. Sequence Diagram Lihat Hasil Identifikasi Risiko
Sd Squence Risk Register
kepala pustipanda
System risk register
memilih menu Risk Register
Alt Input Data menekan tombol tambah
menampilkan tambah risk register
memasukan data pada form
menampilkan pesan
validasi
menyimpan data
menampil menu risk register
alt update datamenampilkan tombol update
menampilkan form update risk register
masukan data pada formvalidasi
menyimpan data
menampilkan pesan
alt hapus data
menampilkan tombol hapus
menampilkan form hapus risk register
hapus data pada formvalidaasi
menghapus data
menampilkan peasan
Gambar 4.19 Sequence Diagram Lihat Identifikasi Risiko
84 UIN Syarif Hidayatullah Jakarta
i. Sequence Diagram Lihat Profil risiko
Gambar 4.20 Sequence Diagram Lihat Profil Risiko
85 UIN Syarif Hidayatullah Jakarta
4.3 Perancangan Interface
Perancangan Interface (tampilan) adalah salah satu hal yang penting dalam
merancang aplikasi. Perancangan tampilan ini diperlukan untuk memberikan
gambaran sepertiapa aplikasi yang nantinya akan dibangun.
a. Rancangan Tampilan Login
Gambar 4 21 Rancangan tampilan login
86 UIN Syarif Hidayatullah Jakarta
b. Rancangan Tampilan Managemen User
Gambar 4.22 Rancangan Tampilan Manajemen Login User
87 UIN Syarif Hidayatullah Jakarta
c. Rancangan Tampilan Manajemen Jabatan User
Gambar 4.23 Rancangan Tampilan Manajemen Jabatan User
88 UIN Syarif Hidayatullah Jakarta
d. Rancangan Tampilan Kategori Aset
Gambar 4 24 Rancangan Tampilan Kategori Aset
89 UIN Syarif Hidayatullah Jakarta
e. Rancaangan Tampilan Aset Kritis
Gambar 4.25 Rancangan Tampilan Aset Kritis
90 UIN Syarif Hidayatullah Jakarta
f. Rancangan Tampilan Kebutuhan Keamanan
Gambar 4.26 Rancangan Tampilan Kebutuhan Keamanan
91 UIN Syarif Hidayatullah Jakarta
g. Rancangan Tampilan Kategori Ancaman
Gambar 4.27 Rancangan Tampilan Kategori Ancaman
92 UIN Syarif Hidayatullah Jakarta
h. Rancangan Tampilan Identifikasi Ancaman
Gambar 4.28 Rancangan Tampilan Identifikasi Ancaman
93 UIN Syarif Hidayatullah Jakarta
i. Rancangan Tampilan Praktek Keamanan
Gambar 4.29 Rancangan Tampilan Praktek Keamanan
94 UIN Syarif Hidayatullah Jakarta
j. Rancangan Tampilan From Kelemahan Organisasi
Gambar 4.30 Rancangan Tampilan Form Kelemahan Organisasi
95 UIN Syarif Hidayatullah Jakarta
k. Rancangan Tampilan Form Komponen Aset
Gambar 4.31 Rancangan Tampilah Form Komponen Aset
96 UIN Syarif Hidayatullah Jakarta
l. Rancangan Tampilan Form Kemungkinan Ancaman
Gambar 4.32 Rancangan Tampilan Form Kemungkinan Ancaman
97 UIN Syarif Hidayatullah Jakarta
m. Rancangan Tampilan form Potential Cause
Gambar 4.33 Rancangan Tampilan Form Potential Cause
98 UIN Syarif Hidayatullah Jakarta
n. Rancangan Tampilan Form Analisis risiko
Gambar 4.34 Rancaangan Tampilan Form Analisis Risiko
99 UIN Syarif Hidayatullah Jakarta
o. Rancangan Tampilan Profil Risiko
Gambar 4.35 Rancangan Tampilan Profil Risiko
100 UIN Syarif Hidayatullah Jakarta
4.4 Pengkodean
Untuk tahap pengkodean (coding), bahasa yang digunakan adalah HTML,CSS dan
PHP menggunakan code editor sublime text 3. Berikut screenshoot dari pengkodean
menggunakan code editor sublime text 3.
Gambar 4.36 ScreenShoot Pengkodean
101 UIN Syarif Hidayatullah Jakarta
BAB V
HASIL DAN PEMBAHASAN
5.1 Implementasi
5.1.1 Tampilan Interface Login
Gambar 5.1 Tampilan Interface Login
Pada gambar 5.1 merupakan tampilan login. Pada form tersebut aktor dapat
memasukkan username dan password yang telah terdaftar untuk masuk Key
halaman utama aplikasi.
102
UIN Syarif Hidayatullah Jakarta
5.1.2 Tampilan Management User
Gambar 5 2 Tampilan Form Management User
Gambar 5.2 menjelaskan menu form management user untuk admin yang merupakan
halaman yang berisi menu tambah user, edit user, hapus user dan logout.
103
UIN Syarif Hidayatullah Jakarta
5.1.3 Tampilan Manajemen Jabatan
Gambar 5.3 Tampilan Form Manajemen Jabatan
Gambar 5.3 merupakan tampilan form manajemen jabatan untuk admin yang
halamannya berisi tambah jabatan, update jabatan, dan hapus jabatan.
104
UIN Syarif Hidayatullah Jakarta
5.1.4 Tampilan Daftar Kategori Aset Kritis
Gambar 5.4 Tampilan Form Kategori Aset Kritis
Gambar 5.3 ini merupakan form kategori aset kritis yaitu fase pertama dari OCTAVE
ini akan dilakukan identifikasi aset dan ancaman berbasis aset dengan menggunakan
informasi yang didapat dari koordinator bidang dengan melakukan wawancara.
105
UIN Syarif Hidayatullah Jakarta
5.1.5 Tampilan Daftar Aset Kritis
Gambar 5.5 Tampilan Form Daftar Aset Kritis
Gambar 5.5 ini merupakan lanjutan dari form kategori aset. Tujuan dari fase ini
adalah untuk mendapatkan profil ancaman berbasis aset. Diharapkan analisis ini
dapat mengidentifikasi aset mana yang dianggap kritis serta menentukan langkah
perlindungan dari aset tersebut. Selain itu organisasi nantinya juga dapat melihat
apakah masing masing aset kritis telah memiliki tingkat keamanan sesuai dengn
kebutuhanya.
106
UIN Syarif Hidayatullah Jakarta
5.1.6 Tampilah Daftar Kebutuhan Keamanan Aset
Gambar 5.6 Tampilan Form Daftar Kebutuhan Keamanan Aset
Gambar 5.6 adalah Daftar Kebutuhan Keamanan aset. Setelah melakukan identifikasi
dari aset kritis TI, akan dilakukan identifikasi kebutuhan keamanan dari masing-
masing aset. Hal ini dilakukan nantinya untuk dapat mengetahui apa saja yang
dibutuhkan organisasi.
107
UIN Syarif Hidayatullah Jakarta
5.1.7 Tampilan Kategori Ancaman
Gambar 5.7 Tampilan Form Kategori Ancaman
5.1.8 Tampilan Identifikasi Ancaman
Gambar 5.8 Tampilan Form Identifikasi Ancaman
Gambar 5.8 merupakan daftar ancaman TI yang kemungkinan bisa terjadi pada
organisasi. Setelah melakukan identifikasi kebutuhan keamanan akan dilakukan
identifikasi ancaman yang dikategorikan berdasarkan linkungan, manusia dan
infrastruktur.
108
UIN Syarif Hidayatullah Jakarta
5.1.9 Tampilan Daftar Praktek Keamanan
Gambar 5.9 Tampilan Form Daftar Praktek Keamanan
Setelah mengetahui ancaman-ancaman apa saja yang dapat terjadi pada aset TI
maka langkah selanjutnya adalah dengan mengidentifikasi praktik keamanan apa saja
yang telah dilakukan oleh organisasi untuk mempersiapkan diri dari ancaman. Hal
ini juga dapat membantu untuk penentuan nilai deteksi pada penilaian risiko. Gambar
5.9 diatas adalah daftar praktik keamanan yang telah diterapkan oleh organisasi.
109
UIN Syarif Hidayatullah Jakarta
5.1.10 Tampilan Daftar Kelemahan Organisasi
Gambar 5.10 Gambar Tampilan Form Kelemahan Organisasi
Selain praktik keamanan organisasi, terdapat pula beberapa kelemahan organisasi
terkait keamanan teknologi informasi yang didapatkan saat wawancara. Kelemahan
akan menjadi masukan untuk dapat menganalisa risiko maupun penyebab risiko
yang dapat terjadi. Gambar 5.10 diatas merupakan daftar kelemahan organisasi.
110
UIN Syarif Hidayatullah Jakarta
5.1.11 Tampilan Komponen Utama Aset
Gambar 5.11 Tampilan Form Komponen Utama Aset
Setelah mendapatkan profil bisnis berbasis aset di fase sebelumnya, selanjutnya pada
fase 2 akan dilakukan identifiksai kelemahan infrastruktur yang didapatkan dengan
menggunakan informasi yang didapat dari koordinator bidang di PUSTIPANDA. Pada
fase ini akan dilakukan evaluasi terhadap komponen utama atau beberapa komponen
yang berperan penting untuk berjalannya suatu aset, dari proses identifikasi komponen
utama maka akan ditinjau kelemahannya. Gambar 5.11 merupakan output yang
dihasilkan dari fase ini nantinya adalah daftar komponen utama dan daftar kerentanan
teknologi.
111
UIN Syarif Hidayatullah Jakarta
5.1.12 Tampilan Kemungkinan Ancaman Aset
Gambar 5. 12 Tampilan Form Kemungkinan Ancaman Aset
Gambar 5.12 merupakan daftar kerentanan teknologi dari masing-masing komponen
utama aset kritis TI organisasi. Setelah mengetahui komponen utama yang terdapat
pada aset kritis, selanjutnya akan dilakukan identifikasi ancaman untuk masing-masing
komponen utama aset kritis. Identifikasi ancaman komponen utama bertujuan untuk
dapat melihat kerentanan dari teknologi yang ada. Dikarenakan komponen utama tadi
merupakan bagian dari aset, tentunya ancaman yang terdapat pada komponen utama
juga akan mengancam aset kritis, maka dari itu hal ini dapat membantu dalam
melihat ancaman secara keseluruhan dan mendetail yang dapat mengganggu aset
kritis.
112
UIN Syarif Hidayatullah Jakarta
5.1.13 Tampilan Risk Register
Gambar 5.13 Tampilan Form Risk Register
Gambar 5.13 adalah tampilan risk register. Fase 3 ini dikerjakan dengan menggunakan
output dari fase1 dan fase 2.
113
UIN Syarif Hidayatullah Jakarta
5.1.14 Tampilan Analisis Risiko
Gambar 5.14 Tampilan Form Analisis Risiko
Setelah selesai melakukan proses identifikasi risiko, tahapan selanjutnya adalah
dengan melakukan penilaian risiko berdasarkan FMEA. Penilaian dilakukan dengan
memberikan skor dampak, kemungkinan, dan deteksi untuk masing-masin risiko.
Untuk setiap risiko akan dilakukan perhitungan nilai nilai RPN (risk priority number),
RPN digunakan untuk menilai tingkat prioritas dari setiap risiko yang muncul. Skala
RPN dapat dilihat pada Bab 2.
114
UIN Syarif Hidayatullah Jakarta
5.1.14 Tampilan Profil Risiko
Gambar 5.15 Tampilan Profil Risiko
Setelah melakukan proses majemen risiko dengan mengidentifikasi dan mengalisis
maka organisasi mendapatkan output profil risiko. Yang berguna untuk mengetahui
level risiko.
115
UIN Syarif Hidayatullah Jakarta
5.2 Pengujian Sistem
Sistem ini dikembangkan sesuai kebutuhan user. Tujuannya untuk menilai
kemampuan teknis suatu program, pennggunaan sistem dan pelaksanaan
operasionalnya sehingga dapat mengetahui seberapa baik sistem ini berjalan.
Adapun pengujian terhadap sistem yang dilakukan adalah bertujuan untuk
menemukan kesalahan yang masih ada pada sisem.
Pengujian dilakukan di Pustipanda menggunakan data aset kritis Pustipanda
menggunakan pendekatan black-box testing. Dengan menggunakan black-box
testing kita dapat mengetahui apakah sistem dapat memberi keluaran sesuai
harapan. Tabel berikut merupakan hasil pengujian black-box testing yang berisi
persyaratan fungsional sistem yang diuji bersama pengguna.
Tabel 5.1 Pengujian Black-box
No Item Uji Kegiatan Hasil yang
diharapkan
HasilAkurat
1 Halaman Log in Masukan username dan
pasword
Menampilkan
halaman login
SESUAI
2 Halaman
Management
Login
Menginput data user,
mengupdate data user dan
menghapus data user
Menampilkan form
management Login
SESUAI
3 Halaman
Management
Jabatan
Menginput Jabatan,
mengupdate jabatan,
menghapus jabatan
Menampilkan daftar
user dan jabatan
4 Halaman
Management aset
kritis
Menginput, mengupdate, dan
menghapus data aset kritis
Menampilkan daftar
aset kritis organisasi
SESUAI
5 Halaman
Management
kebutuhan
keamanan
Menginput, mengupdate, dan
menghapus data kebutuhan
keamanan aset
Menampilkan daftar
kebutuhan
keamanan aset
SESUAI
116
UIN Syarif Hidayatullah Jakarta
6 Halaman
Management
Identifikasi
acaman
Menginput, mengupdate, dan
menghapus data identifikasi
ancaman
Menampilkan daftar
indentifikasi
ancaman
SESUAI
7 Halaman
Management
praktik
keamanan
Menginput, mengupdate, dan
menghapus data praktik
keamanan organisasi
Menampilkan daftar
praktik keamanan
organisasi
SESUAI
8 Halaman
Management
kelemahan
organisasi
Menginput, mengupdate, dan
menghapus data kelemahan
organisasi
Menampilkan daftar
kelemahan
organisasi
SESUAI
9 Halaman
Mangement
Komponen
utama aset
Menginput, mengupdate, dan
menghapus data komponen
utama aset
Menampilkan
daaftar komponen
utama aset
SESUAI
10 Halaman
Management
kemungkinan
Ancaman
Menginput, mengupdate, dan
menghapus data
kemungkinan ancaman
Menampilkan
daaftar
kemungkinan
ancaman
SESUAI
11 Halaman
Management
Potential cause
Menginput, mengupdate, dan
menghapus data potential
cause
Menampilkan datar
potential cause
SESUAI
12 Halaman
Analisis risiko
Menginput nilai
severity,occurrence,detection
Menampilkan hasil
perhitungan RPN
SESUAI
13 Halaman Profil
risiko
Pilih menu profil risiko Menampilkan daftar
risiko beserta level
risiko
SESUAI
Berdasarkan hasil pengujian black-box yang dijabarkan pada tabel 5.1 diatas, maka
dapat diambil kesimpulan bahwa setiap fungsi pada aplikasi yang telah dibuat dapat
berfungsi dengan baik sesuai dengan sistem yang dirancang sebelumnya.
117 UIN Syarif Hidayatullah Jakarta
BAB VI
PENUTUP
6.1 Kesimpulan
Berdasarkan hasil penelitian dan penulisan maka dapat ditarik kesimpulan
bahwa penelitian ini telah menjawab rumusan masalah penelitian dan tujuan
penelitian yaitu:
2. Penerapan manajemen risiko yang bersifat manual atau semikomputerisasi
tidak berjalan efektif dalam segi waktu. Dimana harus menulis secara
manual atau mengetik menggunakan Microsoft Excel, sehingga masih
kurang efisien dalam segi waktu.
3. Aplikasi manajemen risiko ini memudahkaan Risk Unit (Koordinator
Bidang) menginput data hasil identifikasi risiko dengan metode OCTAVE
untuk diberikan kepada Risk Owner dan dianalisis menggunakan metode
FMEA melalui beberapa tahapan yaitu menentukan tingkat severity,
menentukan tingkat occurrence, menentukan tingkat detection, menghitung
RPN (Risk Priority Number ). Dari hasil RPN, maka dapat diketahui tingkat
risiko tersebut. Tingkat risiko berdasarkan FMEA adalah Very high (>200),
High (<200), Medium (<120), Low (<80), Very Low (<20).
4. Yang diauthorisasi ke dalam pengoperasian aplikasi management risiko
adalah Administrator, Risk Owner, Risk Unit (Koordinator Bidang), dan
President Director.
5. Dengan adanya aplikasi manajemen risiko online ini dapat mempermudah
organisasi atau perusahaan dalam membuat profil risiko perusahaan.
118
UIN Syarif Hidayatullah Jakarta
6.2 Saran
Penulis menyadari dalam melakukan penelitian masih memiliki
kekurangan. Oleh karena itu, penulis menyarakan:
1. Perlunya pengembangan sistem berbasis mobile, agar pengguna
tidak perlu repot-repot membuka browser ketika sedang
menggunakan di smartphone masing-masing.
2. Perlu ditambahkannya proses pengambilan keputusan untuk bisa
menyarankan tidakan apa yang harus dilakukan ketika level risiko
berada dalam kategori very high.
119
UIN Syarif Hidayatullah Jakarta
DAFTAR PUSTAKA
Badan Sertifikasi Manejemen Risiko. (2005). Work Book Level I Global Association
of Risk Professionals.
Budiyanto. (2013). Cara Mudah Membangun Aplikasi WEB PHP. Yogyakarta:
Mediakom.
Desy, I. (2014). Penilaian Risiko Keamanan Informasi Menggunakan Metode Failure
Mode And Effects Analysis Di Divisi TI PT. Bank Xyz Surabaya. Seminar
Nasional Sistem Informasi Indonesia.
Gunardi, A. D. (2015). Penerapan Failure Mode And Effect Analysis (Fmea) Untuk
Mendeteksi Prescription Error Pada Resep Poli Jantung Di Instalasi Rawat
Jalan RDUP Fatmawati.
Mahersmi, B. L. (2016). Analisis Risiko Keamanan Informasi Dengan Menggunakan
Metode Octave Dan Kontrol ISO 27001 Pada Dishubkominfo Kabupaten
Tulungagung. Seminar Nasional Sistem Informasi Indonesia.
Mulyanto. (2015). Sistem Informasi Konsep & Aplikasi. Yogyakarta: Pustaka Pelajar.
Pressman, R. S. (2002). Rekayasa Perangkat Lunak : Pendekatan Praktisi (Buku 1).
Yogyakarta: Andi.
Putri, A. H. (2017). Strategi Mitigasi Risiko Aset Kritis Teknologi Informasi
Menggunakan Metode Octave Dan FMEA. Techno.COM.
Raharjo. (2016). Modul Pemrograman Web (HTML, PHP, & MYSQL). Bandung:
Modula.
120
UIN Syarif Hidayatullah Jakarta
Setyadi, G. (2015). Mitigasi Risiko Aset Dan Komponen Teknologi Informasi
Berdasarkan Kerangka Kerja OCTAVE Dan FMEA Pada Universitas Dian
Nuswantoro. Journal of Information System.
Soleh, G., & Venny. (2016). Aplikasi Assessment Manajemen Risiko Berbasis Iso
31000:2009 Untuk Membangun Awarness Pemilik Risiko Pada Pt.Angkasa
Pura II (Persero). Seminar Nasional Teknologi Informasi dan Komunikasi.
Susilo, L. J., & Kaho, V. R. (2015). Manajemen Risiko Berbasis ISO 31000:2009
Untuk Industri Nonperbankan. PPM.
The Internal Auditors. (2004). The Role of Internal Auditing in Enterprise-Wide Risk
Management.
121
UIN Syarif Hidayatullah Jakarta
LAMPIRAN
122
UIN Syarif Hidayatullah Jakarta
123
UIN Syarif Hidayatullah Jakarta
Lampiran 1 : Wawancara
Hari/Tanggal : Rabu, 26 September 2018
Narasumber : Bapak Tri Singgih Pramono, MTI
Jabatan : Koordinator Bidang Project Manager
1. Apa sajakah aset kritis yang ada di PUSTIPANDA?
Jawab :
Hardware
- Server
- PC
Software
- AIS
- LKP
- SIM Kepegawaian
Data
- Data Mahasiswa
- Data Transaksi
- Data Keuangan
- Data pegawai dan dosen
Network
- Firewall
- Core switch
- BGP
- Distribusi Switch
- Akses Point
124
UIN Syarif Hidayatullah Jakarta
People
- Pegawai TI
- Pegawai Non-TI
2. Apa saja kebutuhan keamanan aset tersebut?
Jawab :
- Server membutuh firewall, jaringan internet
- AC harus menyala
- Adanya sumber listrik cadangan
- Listrik harus tetap menyala
3. Bencana alam apa saja yang mungkin dapat terjadi dan mengancam aset kritis
Pustipanda?
Jawab :
Semua kejadian dan musibah bisa saja terjadi.
4. Bagaimana usaha yang telah dilakukan organisasi dalam menghadapi
ancaman yang ada?
Jawab :
- praktik ring backup antar distributionswitch untuk jaringan
- Menghindari ancaman keamanan data dan rule/pengaturan data (virus)
menggunakan firewall
- Spam filter pada email
- Hak akses berbeda
5. Adakah penerapan manajemen risiko pada Pustipanda?
Jawab :
Belum ada.
125
UIN Syarif Hidayatullah Jakarta
LAMPIRAN 2
Log in
<?php
defined('BASEPATH') OR exit('No direct script access allowed');
class Login extends MY_Controller {
public function index()
{
$this->load->view('login/login_page');
}
public function auth(){
$username = $this->input->post("username", TRUE);
$password = $this->input->post("password", TRUE);
$result = $this->user->check_auth($username,$password);
if($result['auth_status'] != "FAILED"){
if($result['data'][0]->permission == "ADMIN"){
$pages = "admin";
}elseif ($result['data'][0]->permission == "RISK_UNIT") {
$pages = "riskunit";
}elseif ($result['data'][0]->permission == "RISK_OWNER") {
$pages = "riskowner";
}
redirect($pages,'refresh');
126
UIN Syarif Hidayatullah Jakarta
}else{
$this->session->set_flashdata('flash', 'ENABLED');
redirect('login');
}
}
public function logout(){
session_destroy();
redirect('login');
}
}
Risk Owner
<?php
defined('BASEPATH') OR exit('No direct script access allowed');
class RiskOwner extends MY_Controller {
public function index()
{
redirect('riskowner/risk_identification','refresh');
}
public function risk_identification()
{
$page_data['title'] = 'Identifikasi Resiko';
127
UIN Syarif Hidayatullah Jakarta
$page_data['url' ] = "risk_identification";
$risk_data = $this->riskIdentification->get_all();
$page_data['data'] = $risk_data;
$this->load-
>view('static/risk_owner/dashboard_header',$page_data);
$this->load-
>view('content/risk_owner/risk_identification_management_page',$page_data
);
$this->load-
>view('static/risk_owner/dashboard_footer',$page_data);
}
public function potential_cause()
{
$page_data['title'] = 'Identifikasi Potential Cause';
$page_data['url' ] = "potential_cause";
$potential_cause = $this->potentialCause->get_all();
$threat_list_dropdown = $this->threatList->get_all();
$page_data['data'] = $potential_cause;
$page_data['threat_list_dropdown'] = $threat_list_dropdown;
128
UIN Syarif Hidayatullah Jakarta
$this->load-
>view('static/risk_owner/dashboard_header',$page_data);
$this->load-
>view('content/risk_owner/potential_cause_management_page',$page_data);
$this->load-
>view('static/risk_owner/dashboard_footer',$page_data);
}
public function risk_scoring()
{
$page_data['title'] = 'Analisis Risiko';
$page_data['url' ] = "risk_scoring";
$risk_data = $this->riskScore->get_all();
$page_data['data'] = $risk_data;
$this->load-
>view('static/risk_owner/dashboard_header',$page_data);
$this->load-
>view('content/risk_owner/risk_score_management_page',$page_data);
$this->load-
>view('static/risk_owner/dashboard_footer',$page_data);
}
}
Profil risiko
<div class="material-datatables table-responsive">
129
UIN Syarif Hidayatullah Jakarta
<table id="datatables" class="table" cellspacing="0"
width="100%" style="width:100%">
<thead class="text-primary">
<th>No</th>
<th>Kategori</th>
<th>Aset Terkait</th>
<th>Resiko</th>
<th>Potential Cause</th>
<th>RPN</th>
<th>Level</th>
</thead>
<tbody>
<?php $counter=1; foreach($data as $item){ ?>
<?php if($item->level == 'UNLABELED'){?>
<tr class="very- low">
<?php }else if($item->level == 'LOW'){?>
<tr class="low">
<?php }else if($item->level == 'MEDIUM'){?>
<tr class="moderate">
<?php }else if($item->level == 'HIGH'){?>
<tr class="high">
<?php }else if($item->level == 'VERY_HIGH'){?>
<tr class="very-high">
<?php } ?>
<td><?=$counter;?></td>
<td><?=$item->category?></td>
130
UIN Syarif Hidayatullah Jakarta
<td><?=$item->critical_asset?></td>
<td><?=$item->risk_desc?></td>
<td><?=$item->potential_cause_desc?></td>
<td><?=$item->rpn?></td>
<?php if($item->level == 'UNLABELED'){?>
<td>BELUM DIHITUNG</td>
<?php }else{?>
<td><?=$item->level?></td>
<?php }?>
</tr>
<?php $counter++; } ?>