Tugas Mid Berkelompok (Irene Handriani B.S)

27
RISK ASSESSMENT SISTEM INFORMASI KEUANGAN UNAI Version 1.0 Maret 2014 Di susun oleh : Rahmat Kurnia Christover Simbolon Irene Handriani Badowo Johan Toman Tobing Zitta Apriani Bryan Wambrauw UNIVERSITAS ADVENT INDONESIA 2013/2014

Transcript of Tugas Mid Berkelompok (Irene Handriani B.S)

IT Risk Management Guideline, Appendix E Risk Assessment TemplateRISK ASSESSMENT SISTEM INFORMASI KEUANGAN UNAI

Version 1.0Maret 2014

Di susun oleh : Rahmat KurniaChristover SimbolonIrene Handriani BadowoJohanToman TobingZitta AprianiBryan Wambrauw

UNIVERSITAS ADVENT INDONESIA2013/2014

Review DateReviewer

Laporan Risk Assessment

1

DAFTAR PUSTAKA

1PENDAHULUAN12KARAKTERISASI SYSTEM IT23IDENTIFIKASI RISIKO44ANALISIS PENGENDALIAN65KEMUNGKINAN RISIKO96ANALISIS DAMPAK RISIKO117PENENTUAN RISIKO KESELURUHAN138SARAN159HASIL DOKUMENTASI16

DAFTAR TABELExhibit 1: Risk Assessment Matrix16

DAFTAR GAMBARFigure 1 IT System Boundary Diagram3Figure 2 Information Flow Diagram3

DAFTAR TABLETable A: Risk Classifications1Table B: IT System Inventory and Definition2Table C: Threats Identified4Table D: Vulnerabilities, Threats, and Risks5Table E: Security Controls6Table F: Risks-Controls-Factors Correlation8Table G: Risk Likelihood Definitions9Table H: Risk Likelihood Ratings9Table I: Risk Impact Rating Definitions11Table J: Risk Impact Analysis11Table K: Overall Risk Rating Matrix13Table L:Overall Risk Ratings Table13Table M:Recommendations15

1 PENDAHULUANMahasiswa Universitas Advent Indonesia melakukan Risk Assessment kepada Sistem Informasi Keuangan yang dimiliki oleh Universitas Advent Indonesia. Penilian risiko ini dilakukan sesuai metodologi yang di jelaskan dalam ITRM pedoman SEC50X 0x, dan wawancara digunakan untuk mengidentifikasi : Kerentanan ; Ancaman ; Risiko ; Kemungkinan risiko, dan Dampak risikoPeserta dan peran mereka dalam Rating risiko ini meliputi : Rahmat Kurnia , membuat laporan terakhir dan menyediakan wawancara, Toman tobing, melakukan wawancara, Bryan wambrauw, melakukan wawancara, Irene handriani, membuat laporan risk assessment, Zitta apriani, membuat laporan risk assessment, Johan, melakukan wawancara, Christover simbolon, melakukan wawancara,

Table A: Klasifikasi RisikoTingkata RisikoPenjelasan Risiko dan Tindakan yang Diperlukan

TinggiHilangnya kerahasiaan, integritas, ketersediaan atau bisa diharapkan memiliki efek samping yang parah atau bencana pada operasi organisasi, aset organisasi atau individu.

SedangHilangnya kerahasiaan, integritas, ketersediaan atau bisa diharapkan memiliki efek samping yang serius pada operasi organisasi, aset organisasi atau individu.

RendahHilangnya kerahasiaan, integritas, ketersediaan atau bisa diharapkan memiliki efek samping yang terbatas pada operasi organisasi, aset organisasi atau individu.

2KARAKTERISTIK SYSTEM ITTable B: IT Sistem Inventarisasi dan Definisi Sistem IT Inventarisasi dan Definisi Dokumen

I. Identifikasi dan Kepemilikan System IT

ID Sistem IT-Nama System ITSunPlus

PemilikUniversitas Advent Indonesia

Lokasi FisikiUniversitas Advent Indonesia

Fungsi Bisnis UtamaPengelolaan bidang Keuangan

Nomber Telepon PemilikSystem Administrator(s)Phone Number

Data PemilikData Custodian(s)Phone Number(s)

II. System It Boundary dan Komponen

Deskripsi dan Komponen System ITSoftware yang digunakan pada system informasi keuangan Universitas Advent Indonesia adalah SunPlus, komponen yang digunakan untuk mendukung software ini adalah sepert, PC digunakan untuk Client, jaringan internet, Server. Software ini tidak terlalu membutuhkan spesifikasi PC yang tinggi, dengan spesifikasi yang rendah pun software ini masih bias digunakan selama ada jaringan Lan tau WLan supaya ada koneksi antara PC Client dan server.

Antarmuka System ITSoftware SunPlus ini termasuk kedalam software yang friendly user atau mudah digunakan. Setiap user yang login memiliki hak akses yang berbeda, seperti contoh hak akses antara Chasier dengan Chiff Accountan berbeda, interfacenyapun berbeda. Begitu juga dengan halaman interface pembantu Rektor 2. Setiap user memiliki hak akses dan fungsi aplikasi yang berbda, sesuai dengan kebutuhan dan kepentingan masing masing user tersebut.

Boundary System ITAplikasi Sunplus ini digunakan untuk menginsert, edit, delete keungan mahasiswa di Universitas Advent Indonesia

III. Sistem IT Interkoneksi

Badan atau OrganisasiNama System ITIT System IDPemilik System ITStatus Perjanjian Keamanan Interkoneksi

IV. System IT dan Sensitivitas Data

Tipe DataRating SensitivitasSertakan Alasan Untuk Setiap Rating

KerahasiaanIntegritasKetersediaan

Keseluruhan Sistem IT Sensitivitas Rating dan KlasifikasiKeseluruhan Sistem IT Sensitivitas Rating Harus "tinggi" jika sensitivitas dari setiap tipe data berperingkat "tinggi" pada setiap kriteria

High Moderate Low

Sistem Klasifikasi IT Harus "Sensitif" jika sensitivitas secara keseluruhan adalah "tinggi", dianggap sebagai "Sensitif" jika sensitivitas secara keseluruhan adalah "moderat"

Sensitive Non-Sensitive

Keterangan atau diagram dari sistem dan arsitektur jaringan, termasuk semua komponen dari sistem dan link komunikasi yang menghubungkan komponen dari sistem, komunikasi data dan jaringan terkait:

Figure 1 IT System Boundary DiagramKeterangan atau diagram yang menggambarkan aliran informasi ke dan dari sistem TI, termasuk input dan output ke sistem TI dan setiap antarmuka lainnya yang ada ke sistem:

Figure 2 Information Flow Diagram

3IDENTIFIKASI RISIKOIdentifikasi KerentananKerentanan diidentifikasi dengan : Observasi, Wawancara Penggunan Sistem Searching Internet

Identifikasi AncamanAncaman ini diidentifikasi dengan : Observasi, Wawancara Pengguna SystemTable C: Identifikasi AncamanServer MatiJaringan MatiGempa Bumi

Mati listrikPetirKebakaran

Server rusakHardisk gilangPC Hang

CrackHackVirus

Windows CrashSoftware CrashHuman Error

SabotaseKerusakan hardwareBencana Alama

Listrik tidak stabil

Identifikasi RisikoRisiko yang diidentifikasi oleh :

The way vulnerabilities combine with credible threats to create risks is identified Table D.

Table D: Kerentanan, Ancaman dan ResikoRisikoNo.KerentananAncamanRisiko KompromiKesimpulan Risiko

1Jaringan internet leletAkses lambatData menjadi tidak singkronJaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkron

2Temperatur Pendingin yang tidak teraturServer LeletKerja Sistem Tidak Maksimalyang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimal

3Hardware yang kurang perawatanKehilangan dataData menjadi hilangaHardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.

4Listrik tidak stabilkebakaranData habisListrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habis

5Server yang terletak di UNAIpencurianData hilangKarena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilang

4ANALISIS PENGENDALIANTable E documents the IT security controls in place and planned for the IT system.Table E: Pengendalian KemananControl AreaSaat ini / perencanaanPenjelasan Pengendalian

1 Manajemen Risiko

1.1 IT Security Roles & ResponsibilitiesSaat ini

1.2 Business Impact Analysis

1.3 IT System & Data Sensitivity Classification

1.4 IT System Inventory & Definition

1.5 Risk Assessment

1.6 IT Security AuditsSetiap user yang melakukan transaksi atau melakukan kegiatan apapun pada system ini akan terekam jejaknya, karena system ini menggunakan hak akses yang berbeda setiap usernya.

2 Perencanaan Kontigensi IT

2.1 Continuity of Operations Planning

2.2 IT Disaster Recovery Planning

2.3 IT System & Data Backup & RestorationSaat iniPegawai Universitas Advent Indonesia selalu melakukan backup data secara teratur, hal ini dilakukan apabila ada hal hal yang tidak diinginkan seperti ada kebakaran, gempa bumi yang menyebabkan data pada server hilang, Universitas Advent Indonesia masih memiliki cadangan data. Universitas Advent Selalu Melakukan Backup data seminggu sekali Unai, sedangkan Untuk GC 1 kali sebualan.

3 Keamanan Sistem IT

3.1 IT System Hardening

3.2 IT Systems Interoperability Security

3.3 Malicious Code ProtectionAplikasi SunPlus ini di install di PC secara Client Server, untuk mengatasi apabila ada Malicious Code atau virus, maka di setiap PC selalu diinstall antivirus

3.4 IT Systems Development Life Cycle Security

4 Logical Access Control

4.1 Account Management

4.2 Password Management

4.3 Remote Access

5 Perlindungan Data

4.4 Data Storage Media Protection

4.5 Encryption

6 Fasilitas Keamanan

6.1 Facilities Security

7 Personil Keamanan

7.1 Access Determination & Control

7.2 IT Security Awareness & Training

7.3 Acceptable Use

8 Manajemen Ancaman

8.1 Threat Detection

8.2 Incident Handling

8.3 Security Monitoring & Logging

9 Manajemen Asset IT

9.1 IT Asset Control

9.2 Software License Management

9.3 Configuration Management & Change Control

Table E correlates the risks identified in Table C with relevant IT security controls documented in Table D and with other mitigating or exacerbating factors.

Table F: Risks-Controls-Factors CorrelationRiskNo.Ringkasan RisikoKorelasi Kontrol Yang Berhubungan dan Faktor Lain

1Jaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkronAkses client akan menjadi terhambat, karena aplikasi ini membutuhkan jaringan internet Lan maupun WLan

2Temperatur yang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimalAkses data dari client ke server menjadi lebih lambat,

3Hardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.Data menjadi tidak dapat diakses lagi

4Listrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habisData menjadi hilang dan tidak bias di akses lagi

5Karena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilangKehilangan server dapat menyebabkan kehilangan datanyapun juga .

5Penentuan Kemungkinan Risiko

Table G: Penentuan Kemungkinan RisikoEfektivitas PengendalianKemungkinan Ancaman Kejadian (Ancaman alam atau lingkungan) atau Ancaman Motivasi dan Kemampuan (Ancaman Manusia)

RendahSedangTinggi

Rendah

SedangTinggiTinggi

Sedang

RendahSedangTinggi

Tinggi

RendahRendahSedang

Table H: Rating Kemungkinan RisikoRiskNo.Ringkasan RisikoEvaluasi Kemungkinan RisikoRating Kemungkinan Risiko

1Jaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkronJaringan intenet yang lelet dapat menyebabkan transportasi antara PC Client dengan Server tidak sinkron atau bahkan tidak dapat terhubungHigh

2Temperatur yang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimalRuang server adalah ruangan yang mesti perlu di jaga temperature nya, karena ruang server ini adalah inti dari system ini. Sehingga apabila temperaturenya terganggu maka akan menyebabkan kinerja syste ini terganggumoderate

3Hardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.Hardware yang sudah tua dapat menyebabkan kinerja system ini terganggumoderate

4Listrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habisListrik juga merupakan salah satu komponen utama yang di perlukan oleh system ini. Apabila terjadi kegagalan listrik maka system ini juga akan terganggumoderate

5Karena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilangserver system ini terletak di UNAI yang pengamananya tidak terlalu ketat menyebabkan Server system ini dapat dicurilow

6Analisis DampakTable I documents the ratings used to evaluate the impact of risks.

Table I: Risk Impact Rating DefinitionsBesaran DampakPenjelasan Dampak

TinggiTerjadinya risiko: (1) dapat menyebabkan kematian manusia atau cedera serius, (2) dapat mengakibatkan hilangnya utama COV nyata aset, sumber daya atau data sensitif, atau (3) secara signifikan dapat membahayakan, atau menghambat misi COV itu, reputasi, atau Ketertarikan.

SedangTerjadinya risiko: (1) dapat menyebabkan cedera manusia, (2) dapat mengakibatkan hilangnya mahal aset atau sumber daya berwujud COV, atau (3) bisa melanggar, kerusakan, atau menghambat misi, reputasi, atau kepentingan COV itu.

RendahTerjadinya risiko: (1) dapat mengakibatkan hilangnya beberapa aset atau sumber daya COV berwujud atau (2) dapat terasa mempengaruhi misi, reputasi, atau kepentingan COV itu.

Table J: Analisis Dampak RisikoRiskNo.RisikoDampak RisikoRating Dampak Risiko

1Jaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkronAkses Client ke server menjadi terganggu. High

2Temperatur yang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimalkinerja system menjadi kurang maksimalhigh

3Hardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.Dapat menyebabkan OS dan system menjadi tidak berjalan. Dan menganggu kinerja systemLow

4Listrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habisSystem tidak dapat berjalan kembaliModerate

5Karena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilangServer unai bias hilang dan datanya juga bias hilang. System unai pun tidak akan bias berjalanLow

7PENENTUAN RISIKOTable K documents the criteria used in determining overall risk ratings.

Table K: Matrix Keseluruhan Rating RisikoKemungkinan RisikoDampak Risiko

Rendah(10)Moderate(50)Tinggi(100)

Tinggi(1.0)Rendah10 x 1.0 = 10Sedang50 x 1.0 = 50Tinggi100 x 1.0 = 100

Sedang(0.5)Rendah10 x 0.5 = 5Sedang50 x 0.5 = 25Sedang100 x 0.5 = 50

Rendah(0.1)Rendah10 x 0.1 = 1Rendah50 x 0.1 = 5Rendah100 x 0.1 = 10

Skala Risiko: Rendah (1 to 10); Sedang (>10 to 50); Tinggi (>50 to 100)Table L assigns an overall risk rating, as defined in Table K, to each of the risks documented in Table D.Table L: Keseluruhan Rating RisikoRiskNo.RisikoPenilaiain Kemungkinan RisikoPeniliaian Dampak RisikoKeseluruhan Rating Risiko

1Jaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkronhighhighhigh

2Temperatur yang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimalmoderatehighmoderate

3Hardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.moderatelowlow

4Listrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habismoderatemoderatemoderate

5Karena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilanglowlowlow

8SARAN

Table M: SaranRiskNo.RisikoRating RisikoSaran

1Jaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkronHighMembuat Local Area Network, sehingga koneksi dari Client Ke Server lebih cepat

2Temperatur yang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimalModeratePengecekan temperature pada ruangan service secara periodic, sehingga menanggulangi berubahnya temperature secara mendakak

3Hardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.LowMengganti hardware, seperti PC, Kabel Lan, Hardisk yang sudah terlalu tua dan tidak mungkin lagi untuk digunakan

4Listrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habisModerateSelalu mengecek listrik dan kabel kabel nya . apabila ada kabel yang bocor sehingga dapat diketahui

5Karena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilanglowMenambahkan pengamanan kepada ruang server, sehingga hal hal yang tidak mungki terjadi lebih bias diminimalisir

9HASIL DOKUMENTASIRiskNo.KerentananAncamanRisikoRiskSummaryRating Kemungkinan RisikoRating Dampak RisikoRating Keseluruhan RisikoAnalisis Kontrol Relevan dan Faktor LainnyaSaran

1Jaringan internet leletAkses lambatData menjadi tidak sinkronJaringan internet yang lelet menyebabkan data antara computer client dan server menjadi tidak singkronHighHighhighJaringan intenet yang lelet dapat menyebabkan transportasi antara PC Client dengan Server tidak sinkron atau bahkan tidak dapat terhubungMembuat Local Area Network, sehingga koneksi dari Client Ke Server lebih cepat

2Temperatur Pendingin yang tidak teraturServer leletKerja system tidak maksimalyang tidak teratur pada ruang server, membuat server menjadi lambat, sehingga menyebabkan kinerja system kurang maksimal

ModerateHighModerateRuang server adalah ruangan yang mesti perlu di jaga temperature nya, karena ruang server ini adalah inti dari system ini. Sehingga apabila temperaturenya terganggu maka akan menyebabkan kinerja syste ini tergangguPengecekan temperature pada ruangan service secara periodic, sehingga menanggulangi berubahnya temperature secara mendakak

3Hardware yang kurang perawatanKehilangan dataData menjadi hilangHardware yang sudah terlalu tua memungkinkan terjadinya kerusakan pada hardware tersebut sehingga menyebabka aktivitas terganggu, bahkan sampai kehilangan data.

ModerateLowLowHardware yang sudah tua dapat menyebabkan kinerja system ini tergangguMengganti hardware, seperti PC, Kabel Lan, Hardisk yang sudah terlalu tua dan tidak mungkin lagi untuk digunakan

4Listrik tidak stabilKebakaranData habisListrik yang tidak stabil dapat menyebabkan terjadi konslet sehingga menyebabkan kebakaran dan data nya semua akan habisModeratemoderateModerateListrik juga merupakan salah satu komponen utama yang di perlukan oleh system ini. Apabila terjadi kegagalan listrik maka system ini juga akan tergangguSelalu mengecek listrik dan kabel kabel nya . apabila ada kabel yang bocor sehingga dapat diketahui

5Server yang terletak di UNAIpencurianData hilangKarena server yang terletak di UNAI sehingga keamananya kurang terjamin dan dapat menyebabkan data hilanglowlowlowserver system ini terletak di UNAI yang pengamananya tidak terlalu ketat menyebabkan Server system ini dapat dicuriMenambahkan pengamanan kepada ruang server, sehingga hal hal yang tidak mungki terjadi lebih bias diminimalisir