Analisa Risiko Proyek Pengembangan Softw
Analisa Risiko Proyek Pengembangan Software Pada E-Banking
Delis Permata Sari 1)
Dr-Ing. M.Hendayun. 2)
delisper@gmail.com
hendayun@aol.de
1) 2)
Program Studi Program Pendidikan Magister program studi Teknik Informatika Universitas Langlangbuana
Bandung
ABSTRAK
Bank sebagai institusi yang memiliki izin untuk
melakukan banyak aktifitas, memiliki peluang yang
sangat luas dalam memperoleh pendapatan (income).
Dalam menjalankan aktifitas, untuk memperoleh
pendapatan perbankan selalu dihadapkan pada risiko.
Belakangan ini, terutama dengan semakin
meningkatnya berbagai transaksi perbankan yang
didukung Teknologi Informasi (TI) dengan
keberadaan E-Banking. Masalah risiko atau tingkat
keamanan di bank tidak hanya yang terkait langsung
dengan pelayanan yang dimiliki bank, yang langsung
digunakan untuk melakukan transaksi oleh nasabah,
seperti penggunaan E-Banking.
Permasalahan yang terjadi pada perusahaan adalah
tidak adanya identifikasi terhadap risiko-risiko yang
mungkin terjadi. Ada sebuah kasus dimana nasabah
tidak bisa mengakses akunnya secara online, nilai
rekening yang secara tiba-tiba berkurang tanpa
sepengetahuan pemiliknya, hingga dibajaknya data
privasi nasabah bank. Hal ini dapat mengganggu
bahkan merusak kestabilitasan hidup suatu
perusahaan.
Pada artikel ini, dilakukan penjelasan cara kerja
perusahaan, mencari risiko-risiko yang ada, penilaian
terhadap setiap risiko yang ada dan respon terhadap
risiko-risiko itu. Proses risk assessment dilakukan
berdasarkan NIST 800-30 yang menjelaskan tentang
sepuluh langkah risk assesment dan OWASP Risk
Rating Methodology tentang penentuan bobot setiap
risiko berdasarkan kriteria tertentu. OWASP dipakai
sebagai acuan untuk menentukan bobot setiap risiko.
Kata Kunci: Secure software requirement, risk
assessment, OWASP Risk Rating, e-banking.
ABSTRACT
Bank as of that institutions have permission to do
much activity, a very wide has an opportunity in
obtaining revenue (income). In running activity, to
earn income banking always will be exposed to risk.
In recent years, it has been overcome by the growing
number of transactions supported by Information
Technology (IT) with the existence E-Banking. Not
only directly related to services owned by banks,
which directly used to conduct transactions with
customers, such as using E-Banking.
The problems that occur in the company there is no
identification of the risks that occur. There was a case
where customers could not access their accounts
online, whose accounts were suddenly reduced
unbeknownst to their owners, until the hijacking of
bank privacy data. This can disrupt and even damage
the stability of a company's life.
In this article, an explanation of how the company
works, look for existing risks, an assessment of each
risk and response to those risks. The risk assessment
process is based on NIST 800-30 describing the ten
steps of risk assessment and the OWASP Risk Rating
Methodology on determining the weight of each risk
according to certain criteria. OWASP is used as a
reference to determine the weight of each risk.
Keywords: Secure software requirements, risk
assessment, OWASP Risk Rating, e-banking.
1. PENDAHULUAN
Perkembangan dunia perbankan dari tahun ke tahun
saat ini semakin pesat. Hal ini terlihat dari semakin
banyaknya jumlah bank, baik milik asing maupun
pemerintah. Pada tahun 2017, tercatat bahwa terdapat
116 bank yang tersebar di seluruh Indonesia
(http://keuangan.kontan.co.id/news/ojk-jumlah-banksaat-ini-116-di-indonesia). kondisi ini tentu semakin
memotivasi setiap bank untuk memberikan
performansi terbaik mereka. Selain itu, kompetisi di
dunia perbankan saat ini tidak hanya berupa
penawaran jasa secara offline , tetapi juga telah menuju
e-environment seperti penerapan e-banking (Gonzalez
dkk ., 2004 dalam Rod dkk., 2009). Survei yang
dilakukan Biro Riset Info Bank (BIRI) dan Marketing
Research Indonesia (MRI) juga membuktikan bahwa
layanan e-banking semakin menjadi faktor penting
dalam menentukan tingkat kepuasan nasabah.
Akan tetapi, setiap proyek dalam suatu perusahaan
yang telah dibangun dengan manajemen yang baik
pun, memiliki beberapa resiko yang dapat
mengganggu bahkan merusak kestabilitasan hidup
suatu perusahaan. Tak terkecuali proyek E-Banking.
Ada sebuah kasus dimana nasabah tidak bisa
mengakses akunnya secara online, nilai rekening yang
secara tiba-tiba berkurang tanpa sepengetahuan
pemiliknya, hingga dibajaknya data privasi nasabah
bank.
Oleh karena itu, dalam perencanaannya membangun
proyek dalam perusahaan, dibutuhkan manajemen
yang baik dan perlu diperhatikan dan merumuskan
beberapa resiko yang akan dihadapi, baik itu resiko
kecil, besar ataupun sangat besar yang dapat
mengganggu
kestabilitasan
kehidupan
suatu
perusahaan.
2. DASAR TEORI
2.1. PENGERTIAN E-BANKING
Perbankan Elekronik (bahasa Inggris: E-banking) Ebanking yang juga dikenal dengan istilah internet
banking ini adalah melakukan transaksi, pembayaran,
dan transaksi lainnya melalui internet dengan website
milik bank yang dilengkapi sistem keamanan. Dari
waktu ke waktu, makin banyak bank yang
menyediakan layanan atau jasa internet banking yang
diatur melalui Peraturan Bank Indonesia No.
9/15/PBI/2007 Tahun 2007 tentang Penerapan
Manajemen Risiko Dalam Penggunaan Teknologi
Informasi Oleh Bank Umum. Penyelenggaraan
internet banking merupakan penerapan atau aplikasi
teknologi informasi yang terus berkembang dan
dimanfaatkan untuk menjawab keinginan nasabah
perbankan yang menginginkan servis cepat, aman,
nyaman murah dan tersedia setiap saat (24 jam/hari, 7
hari/minggu) dan dapat diakses dari mana saja baik itu
dari HP, Komputer, laptop/ note book, PDA, dan
sebagainya.
Aplikasi teknologi informasi dalam internet banking
akan meningkatkan efisiensi, efektifitas, dan
produktifitas sekaligus meningkatkan pendapatan
melalui sistem penjualan yang jauh lebih efektif
daripada bank konvensional. Tanpa adanya aplikasi
teknologi informasi dalam internet banking, maka
internet banking tidak akan jalan dan dimanfaatkan
oleh industri perbankan. Secara umum, dalam
penyediaan layanan internet banking, bank
memberikan informasi mengenai produk dan jasanya
via portal di internet, memberikan akses kepada para
nasabah untuk bertransaksi dan meng-update data
pribadinya.
Adapun persyaratan bisnis dari internet banking antara
lain :
a). aplikasi mudah digunakan
b). layanan dapat dijangkau dari mana saja
c). murah
d). dapat dipercaya
e). dapat diandalkan (reliable).
Berbagai jenis teknologinya diantaranya meliputi :
a) Anjungan Tunai Mandiri (Automated Teller
Machine)
b) Sistem Aplikasi Perbankan (Banking Application
System)
c) Sistem Penyelesaian Bruto Waktu-Nyata (RealTime Gross Settlement System)
d)
Perbankan Daring (Internet Banking)
e)
Sistem Kliring Elektronik
Bank Indonesia sendiri lebih sering menggunakan
istilah Teknologi Sistem Informasi Perbankan untuk
semua terapan teknologi informasi dan komunikasi
dalam layanan perbankan, atau lebih populer dengan
istilah perbankan elektronik (electronic banking)
2.2 SOFTWARE ENGINEERING
Ada beberapa contoh software engineering yang ada:
1. Waterfall : Diciptakan oleh William Royce. Dalam
kenyataannya, model siklus ini sangat sulit untuk
diterapkan, karena dibutuhkan sebuah koordinasi yang
baik dari tim perangkat lunak, serta kerjasama yang
toleratif antara pihak pengembang dengan pihak
pengguna [5].
2. Spiral : Diawali dari perencanaan dari perangkat
lunak itu sendiri, yang didalamnya termasuk waktu
pengerjaan, sumber daya yang dibutuhkan dan
informasi menyangkut pengerjaan proyek. Tahap
berikutnya adalah analisa risiko. Dilanjutkan dengan
proses pembuatan software. Saat proses pembuatan
software dianggap selesai, maka masuk tahap
construction and release [5].
3. Rapid Aplication Development : Suatu proses
pembuatan software yang menitik beratkan pada
waktu pembuatan yang sangat singkat
4. Prototyping : Prototyping dimulai dengan
pengumpulan kebutuhan klien lalu dievaluasi dan
setelah itu dijadikan sebagai dasar pembuatan
software.
2.3. Metodologi Analisa Risiko
1. Metodologi analisa kuantitatif, yaitu metodologi
yang berkisar antara proses mengoleksi, menganalisa,
menginterpretasi dan menulis hasil dari sebuah
penelitian yang menitikberatkan pada kuantitas
(angka). Secara garis besar, data yang dihasilkan
adalah data dalam bentuk angka [3]. Satu hal yang
mencolok dalam analisa kuantitatif adalah
penggunaan survey yang menyediakan data numerik
terhadap trend, kebiasaan dari sebuah populasi. Untuk
koleksi data memakai kuesioner atau interview.
2. Metodologi analisa kualitatif, yaitu metodologi
yang menitik beratkan pada koleksi data, analisa
interpretasi dan laporan yang berbeda dengan metode
kuantitatif. Memakai sampel, koleksi
dari data yang open-ended, analisa teks atau gambar,
represenasi informasi yang berbentuk figur dan tabel
merupakan ciri khas dari metode kualitatif. Secara
garis besar, data yang dihasilkan dari analisa kualitatif
adalah berbentuk teks [3]. Salah satu bentuk metode
kualitatif yang dipakai adalah case study, dimana
peneliti melakukan analisa terhadap suatu kasus
tertentu.
3. Metodologi campuran, merupakan metodologi yang
menggabungkan metodologi kuantitatif dan kualitatif.
Metode ini menggabungkan survey yang dilakukan
pada kuantitatif untuk menentukan strata atau
tingkatan yang didapat dari metode kualitatif [3].
Dalam metode ini, data yang dikumpulkan berbentuk
angka dan teks atau gambar. Berikut contoh model inti
dalam metodologi campuran menurut [2]:
• Convergent parallel mixed method: Metodologi
campuran dimana peneliti menggabungkan data
kuantitatif dan kualitatif untuk menyediakan analisa
pada permasalahan.
• Explanatory sequential mixed method: Metodologi
dimana peneliti melakukan metodologi kuantitatif,
menganalisa hasilnya dan kemudian membuat hasil
penelitian untuk menjelaskan hasil lebih detail denan
metode kualitatif. Disebut sequential karena pada fase
kuantitatif diikuti oleh fase kualitatif
• Exploratory sequential mixed method: Kebalikan
dari explanatory sequential method, dimana peneliti
memulai penelitian dengan metode kualitatif. Data
yang didapat lalu dianalisa untuk dipakai dalam fase
berikutnya yaitu metode kuantitatif.
2.4. Risk Assessment
Risk assesment adalah sebuah cara untuk menentukan
risiko – risiko yang mungkin terjadi dalam manajemen
risiko. Menurut NIST ada 10 langkah dalam risk
assesment yang harus dijalani [6]:
1.System Characterization : Menentukan batasan –
batasan dari sistem IT yang sedang dipakai. Metode
dalam mengumpulkan data – data karakteristik adalah
dengan kuesioner dan interview.
2.Threat Identification : Mengidentifikasi sumber
ancaman yang mungkin terjadi, dimana ancaman dari
manusia merupakan ancaman terbesar yang mungkin
terjadi.
3.Vulnerability Identification : Merupakan identifikasi
kelemahan dalam sebuah sistem, misalnya pada
bagian desain, implementasi.
4.Control Analysis : Tujuan dari langkah ini adalah
menganalisa kontrol yang sudah diimplementasi untuk
meminimalisasi kemungkinan dari ancaman yang
akan mengeksploitasi kelemahan yang ada.
5.Threat Source / Vulnerability Pairs : Menentukan
sumber ancaman beserta kelemahannya yang menjadi
perhatian terbesar. Kelemahan tanpa sumber ancaman
bukan merupakan risiko, begitu juga sebaliknya.
6.Likelihood
Determination
:
Menetukan
kemungkinan dari kelemahan – kelemahan yang ada
untuk dieksploitasi.
7.Impact Analysis : Menentukan dampak yang berasal
dari latihan ancaman dari setiap pasangan sumber
ancaman/kelemahan yang menjadi perhatian.
8.Risk Determination : untuk menentukan risiko yang
ada dengan menggunakan risk-level matrix. Tabel 1
menggambarkan bentuk risk-level matrix
9.Control Recommendations : Selesaikan risk
assesment ini dengan menentukan kontrol apa yang
harus dilakukan untuk meminimalisasi risiko dari
pasangan ancaman/kelemahan yang menjadi perhatian
utama.
10. Result Documentation : Laporan yang dibuat dari
risk assesment harus memiliki detail yang cukup
sehingga memungkinkan manajemen dari perusahaan
untuk menetukan langkah yang harus diambil dari
risiko – risiko yang sudah diidentifikasi.
Tabel 1 Risk-level matrix
1.
2.
3.
4.
Ease of Discovery
Ease of Exploit
Awareness
Intrusion Detection
Langkah berikutnya adalah menghitung impact dari
risiko yang ditemukan. Ada 2 jenis impact faktors
yaitu technical dan business impact factor . Berikut
adalah beberapa faktor dalam technical impact factor :
1.
2.
3.
4.
Loss of Confidentiality
Loss of Integrity
Loss of Avalaibility
Loss of Accountability
Berikut adalah beberapa faktor dalam business impact
factor :
1.
2.
3.
4.
2.5. OWASP Risk Rating Methodology
Open World Application Security Object (OWASP)
adalah suatu organisasi nirlaba yang memiliki misi
yaitu meningkatan keamanan dari suatu software [4].
Berikut adalah metode penilaian risiko yang dibuat
OWASP :
1.
2.
3.
4.
5.
Mengidentifikasi risiko,
Menentukan faktor-faktor untuk estimasi
likelihood
Menentukan faktor-faktor yang berpengaruh
terhadap impact,
Menghitung risk severity,
Memutuskan risiko mana saja yang harus
diprioritaskan berdasarkan Risk Severity nya.
Financial Damage
Reputation Damage
Non-Compliance
Privacy Violation
Tahap berikutnya adalah menentukan severity dari
setiap risiko yang ditemukan dengan cara mencari
rata-rata dari factor setiap risiko.Setelah itu ditentukan
levelnya melalui likelihood and impact levels. Setiap
risiko mempunyai bobot likelihood dan impact yang
berbeda, mulai dari low, lalu medium, dan yang paling
tinggi adalah high. Gambar 3 menunjukkan likelihood
and impact level.
Langkah pertama yaitu mengidentifikasi risiko. Dalam
mengidentifikasi risiko, perlu adanya informasi terkait
jenis risiko apa saja yang mungkin terjadi, bentuk dan
proses penyerangan risiko yang dapat terlaksana.
Langkah kedua adalah menentukan faktor likelihood.
Secara sederhana perhitungan likelihood dapat
dilakukan dengan langsung membagi risiko ke dalam
beberapa kategori yakni high, medium, low. Ada
beberapa faktor yang dapat membantu penentuan
likelihood, yang pertama adalah threat agent.:
1.
2.
3.
4.
Skill Level
Motive
Opportunity
Size
Faktor berikutnya adalah vulnerability faktor, dimana
faktor ini dipakai untuk mengestimasi kemungkinan
vulnerability
ditemukan
dan
dipergunakan.
Vulnerablity faktors juga dibagi ke dalam beberapa
kriteria yakni sebagai berikut:
Gambar 1 Likelihood and Impact Levels
3.
MODEL DAN STRATEGI BISNIS
3.1 Cara Kerja E-Banking
Aplikasi teknologi informasi dalam internet banking
secara garis besar dapat dibagi menjadi dua bagian:
front-end (yang berhubungan dengan nasabah) dan
back-end (yang berhubungan dengan bank). Kedua
bagian ini biasanya dipisahkan dengan firewall (bisa
sebuah firewall atau beberapa firewall jika dibutuhkan
keandalan dan kinerja yang sangat tinggi).
Bagian front-end merupakan bagian yang langsung
berhubungan dengan
nasabah,
yaitu
yang
menggunakan web browser sebagai user interface. Hal
yang menarik untuk dibahas pada bagian front-end
adalah disain dari interface yang memudahkan bagi
pengguna. Perlu diingat bahwa nasabah memiliki latar
belakang dan mekanisme akses yang beragam. Ada
nasabah yang melakukan akses dari kantor dengan
komputer desktop yang high-end, sementara itu ada
nasabah yang menggunakan komputer biasa. Untuk itu
disain jangan menggunakan grafik yang berlebihan
dan susah untuk diakses.
Sisi back-end (dapur) merupakan hal yang terpenting.
Implementasi di sisi back-end harus dapat memenuhi
aspek-aspek yang disyaratkan (secara bisnis maupun
secara teknis). Dari sisi back-end, terlihat adanya trend
untuk menggunakan middleware, dimana sistem
dipisahkan menjadi tiga aspek:
• Presentation layer
• Transaction layer
• Data (base) layer
Pemisahan di atas dilakukan untuk memudahkan
implementasi dan mempercepat deployment aplikasi
baru. Pendekatan layering ini mirip dengan layering di
sisi network yang terbukti ampuh dalam dunia
Internet. Implementasi yang ada saat ini sering
sepotong-sepotong sehingga menyulitkan pengelolaan
(management). Data tersebar di berbagai database
yang terkait dengan aplikasi tertentu sehingga
menyulitkan untuk mengintegrasikan data-data.
Implementasi yang terpadu (integrated) akan
memudahkan perusahaan di kemudian hari.
Aplikasi teknologi informasi dalam internet banking
harus memenuhi aspek-aspek sbb:
1. Mudah meluncurkan aplikasi / produk / servis lain.
Saat ini mungkin bank baru memikirkan Internet
Banking. Akan tetapi di kemudian hari akan muncul
layanan mobile banking, TV banking, dan berbagai
layanan baru lainnya yang belum terbayang pada saat
ini. Sistem yang ada harus dapat meluncurkan layanan
ini dengan cepat. Time to market merupakan kunci
utama dalam era digital ini.
2. Scalability, baik dalam ukuran maupun dalam
kecepatan. Sistem yang ada harus dapat melayani
nasabah dalam jumlah kecil, misalnya ribuan orang,
sampai ke nasabah dalam jumlah besar, misalnya
belasan juta orang. Seringkali sistem yang
dikembangkan hanya dapat bekerja untuk jumlah
nasabah yang sedikit sehingga ketika servis menjadi
populer dan nasabah mulai banyak menggunakan
servis tersebut maka servis menjadi sangat lam bat.
3. Dapat mengakomodasi platform / sistem yang
berbeda-beda (heterogen). Multi-channel access
merupakan paradigma yang harus didukung. Pada
masa yang akan datang, layanan diharapkan dapat
diakses dari berbagai platform; mulai dari datang ke
counter, diteruskan dengan akses lewat Internet, dan
kemudian diselesaikan melalui handphone.
4. Memiliki sifat resilency, tahan bantingan dan cepat
kembali ke kondisi semula jika terjadi masalah.
Musibah tidak dapat diprediksi. Banjir, kebakaran,
kerusuhan, dan berbagai hal lainnya dapat
menyebabkan terhentinya layanan. Servis Banking
(termasuk Internet Banking) harus dapat kembali
menjalankan layanan dalam waktu sesingkat mungkin.
5. Manageable. Sistem yang ada harus dapat dikelola
dengan baik. Meningkatnya variasi dan kompleksitas
dari layanan sering menyebabkan kompleksitas di sisi
sistem yang mengimplementasikan layanan tersebut.
Untuk itu sistem Internet Banking yang ada harus
dapat dikelola (manageable). Jika tidak, sistem akan
menjadi kacau balau dan tidak terkendali.
3.2. Strategi bisnis Aplikasi E-Banking
Di Indonesia, internet banking telah diperkenalkan
pada konsumen perbankan sejak beberapa tahun lalu.
Beberapa bank besar baik BUMN atau swasta
Indonesia yang menyediakan layanan tersebut antara
lain BCA, Bank Mandiri, BNI, BII, Lippo Bank,
Permata Bank dan sebagainya.
Dengan adanya internet
keuntungan antara lain:
banking,
memberikan
1. Business expansion.
Dahulu sebuah bank harus memiliki sebuah kantor
cabang untuk beroperasi di tempat tertentu. Kemudian
hal ini dipermudah dengan hanya meletakkan mesin
ATM sehingga dia dapat hadir di tempat tersebut.
Kemudian ada phone banking yang mulai
menghilangkan batas fisik dimana nasabah dapat
menggunakan telepon untuk melakukan aktivitas
perbankannya. Sekarang ada internet banking yang
lebih mempermudah lagi karena menghilangkan batas
ruang dan waktu.
2. Customer loyality.
Khususnya nasabah yang sering bergerak (mobile),
akan merasa lebih nyaman untuk melakukan aktivitas
perbankannya tanpa harus membuka account di bank
yang berbeda-beda di berbagai tempat. Dia dapat
menggunakan satu bank saja.
3. Revenue and cost improvement.
4.2 Risk Impact
Biaya untuk memberikan layanan perbankan melalui
Internet Banking dapat lebih murah daripada
membuka kantor cabang atau membuat mesin ATM.
Kriteria yang dijadikan pedoman dalam menilai aspek
impact meliputi Kehilangan Integritas (I), Avalability
(AV), Accountability (AC), Layanan (S). Untuk setiap
kriteria impact Dilakukan pembobotan seperti terlihat
pada Tabel 3 agar sesuai dengan dampak bisnis pada
perusahaan.
4. Competitive advantage.
Bank yang memiliki internet banking akan memiliki
keuntungan dibandingkan dengan bank yang tidak
memiliki internet banking. Dalam waktu dekat, orang
tidak ingin membuka account di bank yang tidak
memiliki fasilitas Internet Banking.
5. New business model.
Internet Banking memungkinan adanya bisnis model
yang baru. Layanan perbankan baru dapat diluncurkan
melalui web dengan cepat.
Penilaian risiko dilakukan dengan mengacu pada
metode Risk Rating Methodology yang dikeluarkan
OWASP.
4.1 Risk Likelihood
Kriteria yang dijadikan pedoman untuk menilai aspek
likelihood
meliputi Awareness (AW), Skill Level (SL),
Teamwork (TW), Management dan Stakeholder
Support (MS) dijabarkan hasil penilaian kriteria
likelihood. Hasil likelihood pada Tabel 2 digunakan
untuk menghitung
Tabel 2.Penilaian Likelihoodng overall risk severity.
AW
Impact
Jumlah Persentase Desimal
Pengali
Kehilangan Integritas
53 26.5%
0.265
2.385
Ava ibility
45 22.5%
0.225
2.025
Accounta bility
47 23.5%
0.235
2.115
55 27.5%
0.275
2.475
1
9
Layanan
T otal
200
100%
Berdasarkan hasil dari pembobotan diatas dapat
diberikan penilaian aspek impact seperti terlihat pada
Tabel 4.
4. PENILAIAN RISIKO
No Faktor Risiko
Tabel 3 Pembobotan Aspek Impact
SL
TW
MS
Likelihood
Ca tegory
1 IT belum memiliki strategi
dan perencanaan yang jelas
untuk masa mendatang. Hal
ini menyebabkan proses IT
memungkinkan akan
mengganggu proses bisnis
yang sekarang dan
dibutuhkan di masa depan
8
7
6
8
7.25 High
2 T idak adanya identifikasi
terhadap proses-proses bisnis
perusahaan yang terkait
pada keamanan IT
menyebabkan proses
monitoring tidak berjalan
secara efektif karena proses
bisnis bisa saja tidak
terdeteksi
8
3
7
8
6.5 High
3 T idak adanya prosedur
pencegahan insiden
(khususnya untuk
ha rdwa re) , IT Continuity
P la n, Disa ster Recovery
P la n, IT Security P la n ,
tidak ada pelatihan
karyawan terkait
kemungkinan adanya insiden
8
Tabel 4 Penilaian Aspek Impact
Faktor Risiko
I
AV AC
S
Sum
IT belum memiliki strategi
dan perencanaan yang jelas
untuk masa mendatang. Hal
ini menyebabkan proses IT
memungkinkan akan
mengganggu proses bisnis
yang sekarang dan
1 dibutuhkan di masa depan
2.12 1.8
0.7
2.2
6.82
terhadap proses-proses bisnis
perusahaan yang terkait
pada keamanan IT
menyebabkan proses
monitoring tidak berjalan
secara efektif karena proses
bisnis bisa saja tidak
2.12 0.23
0.7
1.9
4.945
2 terdeteksi
T idak adanya prosedur
pencegahan insiden
(khususnya untuk
ha rdwa re ), IT Continuity
P la n, Disa ster Recovery
P la n, IT Security P la n ,
tidak ada pelatihan
karyawan terkait
3 kemungkinan adanya insiden
2.12 1.58
0.7
1.9
6.295
4.3 Risk Severity
2
7
0
4.25 Medium
Risk Severity didapat dari hasil perkalian penilaian
aspek likelihood dengan penilaian aspek impact. Hasil
risk severity dapat dilihat pada Tabel 5.
Tabel 5 Risk Severity
No
Risiko
L
IT belum memiliki st rat egi
dan perencanaan yang jelas
unt uk masa mendat ang. Hal
ini menyebabkan proses IT
memungkinkan akan
mengganggu proses bisnis
yang sekarang dan
1 dibut uhkan di masa depan
T idak adanya ident ifikasi
t erhadap proses-proses yang
t erkait pada keamanan IT
pada proses bisnis
perusahaan menyebabkan
proses monit oring t idak
berjalan secara efekt if
karena proses bisnis bisa saja
2 t idak t erdet eksi
pencegahan insiden
(khususnya unt uk
ha rdwa re ), IT Continuity
P la n, Disa ster Recovery
P la n, IT Security P la n ,
t idak ada pelat ihan
karyawan t erkait
3 kemungkinan adanya insiden
I
7.25
Risk Severit y
6.82
51.15
Dari proses analisa risiko yang dilakukan dapat
disimpulkan bahwa d itemukan risiko yang paling
kritikal dan dilakukan pemberian respon. Risiko
tersebut adalah Risiko yang menjadi prioritas pertama:
1.
6.5
4.94
32.11
4.25
6.29
26.7325
4.4 Risk Response
Untuk tiap-tiap risiko diberikan response yang sesuai.
Response yang dapat diberikan antara lain adalah
accept, avoid, reduce/lessen ataupun transfer seperti
dapat dilihat pada Tabel 6,
Tabel 6 Risk Response
Rank Risiko
1 IT belum memiliki strategi
dan perencanaan yang jelas
untuk masa mendatang. Hal
ini menyebabkan proses IT
memungkinkan akan
mengganggu proses bisnis
yang sekarang dan
dibutuhkan di masa depan
5. KESIMPULAN DAN SARAN
Severity
Response Latar Belakang
Critica l
Lessen
2 T idak adanya identifikasi
High
terhadap proses-proses bisnis
perusahaan yang terkait
pada keamanan IT
menyebabkan proses
monitoring tidak berjalan
secara efektif karena proses
bisnis bisa saja tidak
terdeteksi
Lessen
3 T idak adanya prosedur
High
pencegahan insiden
(khususnya untuk
ha rdwa re ), IT Continuity
P la n, Disa ster Recovery
P la n, IT Security P la n ,
tidak ada pelatihan
karyawan terkait
kemungkinan adanya insiden
Lessen
Risk respone terhadap
resiko ini bertujuan
untuk mengurangi
likelihood resiko tidak
adanya strategi IT
dengan anjuran
pembuatan strategi IT .
Hal ini dapat diwujudkan
dengan penyusunan
strategi dengan
perencanaan sistem IT
dan NIST 800-30 untuk
security self-a ssesement
Guide
Risk respone terhadap
resiko terkait keamanan
IT jangan sampai
terjadi. Sehingga
diperlukan proses
monitoring fokus
terhadap proses-proses
IT penting yang
mendukung proses bisnis
seperti pada NIST 80030
Risk respone untuk
resiko ini adalah
mengimplementasikan
bentuk penanganan
insiden, dan pembuatan
pla n terkait continuity ,
security dengan tujuan
untuk mengurangi
impa ct dari risiko ini
dengan membuat
aturan/prosedur untuk
menangani berbagai
penyimpangan proses
IT yang mengacu pada
NIST 800-30
2.
Tidak adanya pendekatan monitoring
peforma IT yang menggunakan matriks nilai
menyebabkan
tidak
bias
dipastikan
keberlangsungan proses IT yang di
implementasikan di Bank.Z.
Risiko yang menjadi prioritas kedua:
Tidak adanya identifikasi terhadap prosesproses yang berpengaruh besar pada proses
bisnis perushaaan menyebabkan proses
monitoring tidak berjalan secara efektif
karena tidak dapat langsung fokus kepada
proses yang mendukung proses bisnis
perusahaan.
Saran yang diberikan adalah perusahaan menerapkan
manajemen
risiko
secara
penuh
sehingga
kemungkinan muncul risiko bias dikurangi. Selain hal
tersebut, perlu diadakan peninjauan ulang Pada analisa
risiko keterangan dari wawancara terhadap pihak
terkait menjadi sesuatu yang sangat penting. Banyak
hal yang tidak dapat diungkap risikonya apabila
metode wawancara yang digunakan kurang maksimal.
Oleh karena itu untuk pengembangan selanjutnya
dapat menggunakan metode wawancara yang lebih
baik.
6. REFERENSI
[1] Chrisdiyanto, I. 2013. IT Risk Assesment Di Perpustakaan
Universitas Kristen Petra. Surabaya : Universitas Kristen Petra
[2] Creswell, J. 2014. Research Design Fourth Edition. USA : SAGE
Publications, Inc.
[3] Garbarino, S. dan Holland, J. 2009. Quantitative and Qualitative
Methods in Impact Evaluation and Measuring Result. UK : GSDRC
[4] OWASP Foundation. 2014. OWASP Risk Rating
Methodology.URI:
https://www.owasp.org/index.php/OWASP_Risk_Rating_
Methodology
[5] Rizky, S. 2011. Konsep Dasar Rekayasa Perangkat Lunak.
Jakarta : Prestasi Pustaka
[6] Guide for Conducting Risk Assessments. 2012. Guide for
Conducting Risk Assessments. URI:
https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final
Delis Permata Sari 1)
Dr-Ing. M.Hendayun. 2)
delisper@gmail.com
hendayun@aol.de
1) 2)
Program Studi Program Pendidikan Magister program studi Teknik Informatika Universitas Langlangbuana
Bandung
ABSTRAK
Bank sebagai institusi yang memiliki izin untuk
melakukan banyak aktifitas, memiliki peluang yang
sangat luas dalam memperoleh pendapatan (income).
Dalam menjalankan aktifitas, untuk memperoleh
pendapatan perbankan selalu dihadapkan pada risiko.
Belakangan ini, terutama dengan semakin
meningkatnya berbagai transaksi perbankan yang
didukung Teknologi Informasi (TI) dengan
keberadaan E-Banking. Masalah risiko atau tingkat
keamanan di bank tidak hanya yang terkait langsung
dengan pelayanan yang dimiliki bank, yang langsung
digunakan untuk melakukan transaksi oleh nasabah,
seperti penggunaan E-Banking.
Permasalahan yang terjadi pada perusahaan adalah
tidak adanya identifikasi terhadap risiko-risiko yang
mungkin terjadi. Ada sebuah kasus dimana nasabah
tidak bisa mengakses akunnya secara online, nilai
rekening yang secara tiba-tiba berkurang tanpa
sepengetahuan pemiliknya, hingga dibajaknya data
privasi nasabah bank. Hal ini dapat mengganggu
bahkan merusak kestabilitasan hidup suatu
perusahaan.
Pada artikel ini, dilakukan penjelasan cara kerja
perusahaan, mencari risiko-risiko yang ada, penilaian
terhadap setiap risiko yang ada dan respon terhadap
risiko-risiko itu. Proses risk assessment dilakukan
berdasarkan NIST 800-30 yang menjelaskan tentang
sepuluh langkah risk assesment dan OWASP Risk
Rating Methodology tentang penentuan bobot setiap
risiko berdasarkan kriteria tertentu. OWASP dipakai
sebagai acuan untuk menentukan bobot setiap risiko.
Kata Kunci: Secure software requirement, risk
assessment, OWASP Risk Rating, e-banking.
ABSTRACT
Bank as of that institutions have permission to do
much activity, a very wide has an opportunity in
obtaining revenue (income). In running activity, to
earn income banking always will be exposed to risk.
In recent years, it has been overcome by the growing
number of transactions supported by Information
Technology (IT) with the existence E-Banking. Not
only directly related to services owned by banks,
which directly used to conduct transactions with
customers, such as using E-Banking.
The problems that occur in the company there is no
identification of the risks that occur. There was a case
where customers could not access their accounts
online, whose accounts were suddenly reduced
unbeknownst to their owners, until the hijacking of
bank privacy data. This can disrupt and even damage
the stability of a company's life.
In this article, an explanation of how the company
works, look for existing risks, an assessment of each
risk and response to those risks. The risk assessment
process is based on NIST 800-30 describing the ten
steps of risk assessment and the OWASP Risk Rating
Methodology on determining the weight of each risk
according to certain criteria. OWASP is used as a
reference to determine the weight of each risk.
Keywords: Secure software requirements, risk
assessment, OWASP Risk Rating, e-banking.
1. PENDAHULUAN
Perkembangan dunia perbankan dari tahun ke tahun
saat ini semakin pesat. Hal ini terlihat dari semakin
banyaknya jumlah bank, baik milik asing maupun
pemerintah. Pada tahun 2017, tercatat bahwa terdapat
116 bank yang tersebar di seluruh Indonesia
(http://keuangan.kontan.co.id/news/ojk-jumlah-banksaat-ini-116-di-indonesia). kondisi ini tentu semakin
memotivasi setiap bank untuk memberikan
performansi terbaik mereka. Selain itu, kompetisi di
dunia perbankan saat ini tidak hanya berupa
penawaran jasa secara offline , tetapi juga telah menuju
e-environment seperti penerapan e-banking (Gonzalez
dkk ., 2004 dalam Rod dkk., 2009). Survei yang
dilakukan Biro Riset Info Bank (BIRI) dan Marketing
Research Indonesia (MRI) juga membuktikan bahwa
layanan e-banking semakin menjadi faktor penting
dalam menentukan tingkat kepuasan nasabah.
Akan tetapi, setiap proyek dalam suatu perusahaan
yang telah dibangun dengan manajemen yang baik
pun, memiliki beberapa resiko yang dapat
mengganggu bahkan merusak kestabilitasan hidup
suatu perusahaan. Tak terkecuali proyek E-Banking.
Ada sebuah kasus dimana nasabah tidak bisa
mengakses akunnya secara online, nilai rekening yang
secara tiba-tiba berkurang tanpa sepengetahuan
pemiliknya, hingga dibajaknya data privasi nasabah
bank.
Oleh karena itu, dalam perencanaannya membangun
proyek dalam perusahaan, dibutuhkan manajemen
yang baik dan perlu diperhatikan dan merumuskan
beberapa resiko yang akan dihadapi, baik itu resiko
kecil, besar ataupun sangat besar yang dapat
mengganggu
kestabilitasan
kehidupan
suatu
perusahaan.
2. DASAR TEORI
2.1. PENGERTIAN E-BANKING
Perbankan Elekronik (bahasa Inggris: E-banking) Ebanking yang juga dikenal dengan istilah internet
banking ini adalah melakukan transaksi, pembayaran,
dan transaksi lainnya melalui internet dengan website
milik bank yang dilengkapi sistem keamanan. Dari
waktu ke waktu, makin banyak bank yang
menyediakan layanan atau jasa internet banking yang
diatur melalui Peraturan Bank Indonesia No.
9/15/PBI/2007 Tahun 2007 tentang Penerapan
Manajemen Risiko Dalam Penggunaan Teknologi
Informasi Oleh Bank Umum. Penyelenggaraan
internet banking merupakan penerapan atau aplikasi
teknologi informasi yang terus berkembang dan
dimanfaatkan untuk menjawab keinginan nasabah
perbankan yang menginginkan servis cepat, aman,
nyaman murah dan tersedia setiap saat (24 jam/hari, 7
hari/minggu) dan dapat diakses dari mana saja baik itu
dari HP, Komputer, laptop/ note book, PDA, dan
sebagainya.
Aplikasi teknologi informasi dalam internet banking
akan meningkatkan efisiensi, efektifitas, dan
produktifitas sekaligus meningkatkan pendapatan
melalui sistem penjualan yang jauh lebih efektif
daripada bank konvensional. Tanpa adanya aplikasi
teknologi informasi dalam internet banking, maka
internet banking tidak akan jalan dan dimanfaatkan
oleh industri perbankan. Secara umum, dalam
penyediaan layanan internet banking, bank
memberikan informasi mengenai produk dan jasanya
via portal di internet, memberikan akses kepada para
nasabah untuk bertransaksi dan meng-update data
pribadinya.
Adapun persyaratan bisnis dari internet banking antara
lain :
a). aplikasi mudah digunakan
b). layanan dapat dijangkau dari mana saja
c). murah
d). dapat dipercaya
e). dapat diandalkan (reliable).
Berbagai jenis teknologinya diantaranya meliputi :
a) Anjungan Tunai Mandiri (Automated Teller
Machine)
b) Sistem Aplikasi Perbankan (Banking Application
System)
c) Sistem Penyelesaian Bruto Waktu-Nyata (RealTime Gross Settlement System)
d)
Perbankan Daring (Internet Banking)
e)
Sistem Kliring Elektronik
Bank Indonesia sendiri lebih sering menggunakan
istilah Teknologi Sistem Informasi Perbankan untuk
semua terapan teknologi informasi dan komunikasi
dalam layanan perbankan, atau lebih populer dengan
istilah perbankan elektronik (electronic banking)
2.2 SOFTWARE ENGINEERING
Ada beberapa contoh software engineering yang ada:
1. Waterfall : Diciptakan oleh William Royce. Dalam
kenyataannya, model siklus ini sangat sulit untuk
diterapkan, karena dibutuhkan sebuah koordinasi yang
baik dari tim perangkat lunak, serta kerjasama yang
toleratif antara pihak pengembang dengan pihak
pengguna [5].
2. Spiral : Diawali dari perencanaan dari perangkat
lunak itu sendiri, yang didalamnya termasuk waktu
pengerjaan, sumber daya yang dibutuhkan dan
informasi menyangkut pengerjaan proyek. Tahap
berikutnya adalah analisa risiko. Dilanjutkan dengan
proses pembuatan software. Saat proses pembuatan
software dianggap selesai, maka masuk tahap
construction and release [5].
3. Rapid Aplication Development : Suatu proses
pembuatan software yang menitik beratkan pada
waktu pembuatan yang sangat singkat
4. Prototyping : Prototyping dimulai dengan
pengumpulan kebutuhan klien lalu dievaluasi dan
setelah itu dijadikan sebagai dasar pembuatan
software.
2.3. Metodologi Analisa Risiko
1. Metodologi analisa kuantitatif, yaitu metodologi
yang berkisar antara proses mengoleksi, menganalisa,
menginterpretasi dan menulis hasil dari sebuah
penelitian yang menitikberatkan pada kuantitas
(angka). Secara garis besar, data yang dihasilkan
adalah data dalam bentuk angka [3]. Satu hal yang
mencolok dalam analisa kuantitatif adalah
penggunaan survey yang menyediakan data numerik
terhadap trend, kebiasaan dari sebuah populasi. Untuk
koleksi data memakai kuesioner atau interview.
2. Metodologi analisa kualitatif, yaitu metodologi
yang menitik beratkan pada koleksi data, analisa
interpretasi dan laporan yang berbeda dengan metode
kuantitatif. Memakai sampel, koleksi
dari data yang open-ended, analisa teks atau gambar,
represenasi informasi yang berbentuk figur dan tabel
merupakan ciri khas dari metode kualitatif. Secara
garis besar, data yang dihasilkan dari analisa kualitatif
adalah berbentuk teks [3]. Salah satu bentuk metode
kualitatif yang dipakai adalah case study, dimana
peneliti melakukan analisa terhadap suatu kasus
tertentu.
3. Metodologi campuran, merupakan metodologi yang
menggabungkan metodologi kuantitatif dan kualitatif.
Metode ini menggabungkan survey yang dilakukan
pada kuantitatif untuk menentukan strata atau
tingkatan yang didapat dari metode kualitatif [3].
Dalam metode ini, data yang dikumpulkan berbentuk
angka dan teks atau gambar. Berikut contoh model inti
dalam metodologi campuran menurut [2]:
• Convergent parallel mixed method: Metodologi
campuran dimana peneliti menggabungkan data
kuantitatif dan kualitatif untuk menyediakan analisa
pada permasalahan.
• Explanatory sequential mixed method: Metodologi
dimana peneliti melakukan metodologi kuantitatif,
menganalisa hasilnya dan kemudian membuat hasil
penelitian untuk menjelaskan hasil lebih detail denan
metode kualitatif. Disebut sequential karena pada fase
kuantitatif diikuti oleh fase kualitatif
• Exploratory sequential mixed method: Kebalikan
dari explanatory sequential method, dimana peneliti
memulai penelitian dengan metode kualitatif. Data
yang didapat lalu dianalisa untuk dipakai dalam fase
berikutnya yaitu metode kuantitatif.
2.4. Risk Assessment
Risk assesment adalah sebuah cara untuk menentukan
risiko – risiko yang mungkin terjadi dalam manajemen
risiko. Menurut NIST ada 10 langkah dalam risk
assesment yang harus dijalani [6]:
1.System Characterization : Menentukan batasan –
batasan dari sistem IT yang sedang dipakai. Metode
dalam mengumpulkan data – data karakteristik adalah
dengan kuesioner dan interview.
2.Threat Identification : Mengidentifikasi sumber
ancaman yang mungkin terjadi, dimana ancaman dari
manusia merupakan ancaman terbesar yang mungkin
terjadi.
3.Vulnerability Identification : Merupakan identifikasi
kelemahan dalam sebuah sistem, misalnya pada
bagian desain, implementasi.
4.Control Analysis : Tujuan dari langkah ini adalah
menganalisa kontrol yang sudah diimplementasi untuk
meminimalisasi kemungkinan dari ancaman yang
akan mengeksploitasi kelemahan yang ada.
5.Threat Source / Vulnerability Pairs : Menentukan
sumber ancaman beserta kelemahannya yang menjadi
perhatian terbesar. Kelemahan tanpa sumber ancaman
bukan merupakan risiko, begitu juga sebaliknya.
6.Likelihood
Determination
:
Menetukan
kemungkinan dari kelemahan – kelemahan yang ada
untuk dieksploitasi.
7.Impact Analysis : Menentukan dampak yang berasal
dari latihan ancaman dari setiap pasangan sumber
ancaman/kelemahan yang menjadi perhatian.
8.Risk Determination : untuk menentukan risiko yang
ada dengan menggunakan risk-level matrix. Tabel 1
menggambarkan bentuk risk-level matrix
9.Control Recommendations : Selesaikan risk
assesment ini dengan menentukan kontrol apa yang
harus dilakukan untuk meminimalisasi risiko dari
pasangan ancaman/kelemahan yang menjadi perhatian
utama.
10. Result Documentation : Laporan yang dibuat dari
risk assesment harus memiliki detail yang cukup
sehingga memungkinkan manajemen dari perusahaan
untuk menetukan langkah yang harus diambil dari
risiko – risiko yang sudah diidentifikasi.
Tabel 1 Risk-level matrix
1.
2.
3.
4.
Ease of Discovery
Ease of Exploit
Awareness
Intrusion Detection
Langkah berikutnya adalah menghitung impact dari
risiko yang ditemukan. Ada 2 jenis impact faktors
yaitu technical dan business impact factor . Berikut
adalah beberapa faktor dalam technical impact factor :
1.
2.
3.
4.
Loss of Confidentiality
Loss of Integrity
Loss of Avalaibility
Loss of Accountability
Berikut adalah beberapa faktor dalam business impact
factor :
1.
2.
3.
4.
2.5. OWASP Risk Rating Methodology
Open World Application Security Object (OWASP)
adalah suatu organisasi nirlaba yang memiliki misi
yaitu meningkatan keamanan dari suatu software [4].
Berikut adalah metode penilaian risiko yang dibuat
OWASP :
1.
2.
3.
4.
5.
Mengidentifikasi risiko,
Menentukan faktor-faktor untuk estimasi
likelihood
Menentukan faktor-faktor yang berpengaruh
terhadap impact,
Menghitung risk severity,
Memutuskan risiko mana saja yang harus
diprioritaskan berdasarkan Risk Severity nya.
Financial Damage
Reputation Damage
Non-Compliance
Privacy Violation
Tahap berikutnya adalah menentukan severity dari
setiap risiko yang ditemukan dengan cara mencari
rata-rata dari factor setiap risiko.Setelah itu ditentukan
levelnya melalui likelihood and impact levels. Setiap
risiko mempunyai bobot likelihood dan impact yang
berbeda, mulai dari low, lalu medium, dan yang paling
tinggi adalah high. Gambar 3 menunjukkan likelihood
and impact level.
Langkah pertama yaitu mengidentifikasi risiko. Dalam
mengidentifikasi risiko, perlu adanya informasi terkait
jenis risiko apa saja yang mungkin terjadi, bentuk dan
proses penyerangan risiko yang dapat terlaksana.
Langkah kedua adalah menentukan faktor likelihood.
Secara sederhana perhitungan likelihood dapat
dilakukan dengan langsung membagi risiko ke dalam
beberapa kategori yakni high, medium, low. Ada
beberapa faktor yang dapat membantu penentuan
likelihood, yang pertama adalah threat agent.:
1.
2.
3.
4.
Skill Level
Motive
Opportunity
Size
Faktor berikutnya adalah vulnerability faktor, dimana
faktor ini dipakai untuk mengestimasi kemungkinan
vulnerability
ditemukan
dan
dipergunakan.
Vulnerablity faktors juga dibagi ke dalam beberapa
kriteria yakni sebagai berikut:
Gambar 1 Likelihood and Impact Levels
3.
MODEL DAN STRATEGI BISNIS
3.1 Cara Kerja E-Banking
Aplikasi teknologi informasi dalam internet banking
secara garis besar dapat dibagi menjadi dua bagian:
front-end (yang berhubungan dengan nasabah) dan
back-end (yang berhubungan dengan bank). Kedua
bagian ini biasanya dipisahkan dengan firewall (bisa
sebuah firewall atau beberapa firewall jika dibutuhkan
keandalan dan kinerja yang sangat tinggi).
Bagian front-end merupakan bagian yang langsung
berhubungan dengan
nasabah,
yaitu
yang
menggunakan web browser sebagai user interface. Hal
yang menarik untuk dibahas pada bagian front-end
adalah disain dari interface yang memudahkan bagi
pengguna. Perlu diingat bahwa nasabah memiliki latar
belakang dan mekanisme akses yang beragam. Ada
nasabah yang melakukan akses dari kantor dengan
komputer desktop yang high-end, sementara itu ada
nasabah yang menggunakan komputer biasa. Untuk itu
disain jangan menggunakan grafik yang berlebihan
dan susah untuk diakses.
Sisi back-end (dapur) merupakan hal yang terpenting.
Implementasi di sisi back-end harus dapat memenuhi
aspek-aspek yang disyaratkan (secara bisnis maupun
secara teknis). Dari sisi back-end, terlihat adanya trend
untuk menggunakan middleware, dimana sistem
dipisahkan menjadi tiga aspek:
• Presentation layer
• Transaction layer
• Data (base) layer
Pemisahan di atas dilakukan untuk memudahkan
implementasi dan mempercepat deployment aplikasi
baru. Pendekatan layering ini mirip dengan layering di
sisi network yang terbukti ampuh dalam dunia
Internet. Implementasi yang ada saat ini sering
sepotong-sepotong sehingga menyulitkan pengelolaan
(management). Data tersebar di berbagai database
yang terkait dengan aplikasi tertentu sehingga
menyulitkan untuk mengintegrasikan data-data.
Implementasi yang terpadu (integrated) akan
memudahkan perusahaan di kemudian hari.
Aplikasi teknologi informasi dalam internet banking
harus memenuhi aspek-aspek sbb:
1. Mudah meluncurkan aplikasi / produk / servis lain.
Saat ini mungkin bank baru memikirkan Internet
Banking. Akan tetapi di kemudian hari akan muncul
layanan mobile banking, TV banking, dan berbagai
layanan baru lainnya yang belum terbayang pada saat
ini. Sistem yang ada harus dapat meluncurkan layanan
ini dengan cepat. Time to market merupakan kunci
utama dalam era digital ini.
2. Scalability, baik dalam ukuran maupun dalam
kecepatan. Sistem yang ada harus dapat melayani
nasabah dalam jumlah kecil, misalnya ribuan orang,
sampai ke nasabah dalam jumlah besar, misalnya
belasan juta orang. Seringkali sistem yang
dikembangkan hanya dapat bekerja untuk jumlah
nasabah yang sedikit sehingga ketika servis menjadi
populer dan nasabah mulai banyak menggunakan
servis tersebut maka servis menjadi sangat lam bat.
3. Dapat mengakomodasi platform / sistem yang
berbeda-beda (heterogen). Multi-channel access
merupakan paradigma yang harus didukung. Pada
masa yang akan datang, layanan diharapkan dapat
diakses dari berbagai platform; mulai dari datang ke
counter, diteruskan dengan akses lewat Internet, dan
kemudian diselesaikan melalui handphone.
4. Memiliki sifat resilency, tahan bantingan dan cepat
kembali ke kondisi semula jika terjadi masalah.
Musibah tidak dapat diprediksi. Banjir, kebakaran,
kerusuhan, dan berbagai hal lainnya dapat
menyebabkan terhentinya layanan. Servis Banking
(termasuk Internet Banking) harus dapat kembali
menjalankan layanan dalam waktu sesingkat mungkin.
5. Manageable. Sistem yang ada harus dapat dikelola
dengan baik. Meningkatnya variasi dan kompleksitas
dari layanan sering menyebabkan kompleksitas di sisi
sistem yang mengimplementasikan layanan tersebut.
Untuk itu sistem Internet Banking yang ada harus
dapat dikelola (manageable). Jika tidak, sistem akan
menjadi kacau balau dan tidak terkendali.
3.2. Strategi bisnis Aplikasi E-Banking
Di Indonesia, internet banking telah diperkenalkan
pada konsumen perbankan sejak beberapa tahun lalu.
Beberapa bank besar baik BUMN atau swasta
Indonesia yang menyediakan layanan tersebut antara
lain BCA, Bank Mandiri, BNI, BII, Lippo Bank,
Permata Bank dan sebagainya.
Dengan adanya internet
keuntungan antara lain:
banking,
memberikan
1. Business expansion.
Dahulu sebuah bank harus memiliki sebuah kantor
cabang untuk beroperasi di tempat tertentu. Kemudian
hal ini dipermudah dengan hanya meletakkan mesin
ATM sehingga dia dapat hadir di tempat tersebut.
Kemudian ada phone banking yang mulai
menghilangkan batas fisik dimana nasabah dapat
menggunakan telepon untuk melakukan aktivitas
perbankannya. Sekarang ada internet banking yang
lebih mempermudah lagi karena menghilangkan batas
ruang dan waktu.
2. Customer loyality.
Khususnya nasabah yang sering bergerak (mobile),
akan merasa lebih nyaman untuk melakukan aktivitas
perbankannya tanpa harus membuka account di bank
yang berbeda-beda di berbagai tempat. Dia dapat
menggunakan satu bank saja.
3. Revenue and cost improvement.
4.2 Risk Impact
Biaya untuk memberikan layanan perbankan melalui
Internet Banking dapat lebih murah daripada
membuka kantor cabang atau membuat mesin ATM.
Kriteria yang dijadikan pedoman dalam menilai aspek
impact meliputi Kehilangan Integritas (I), Avalability
(AV), Accountability (AC), Layanan (S). Untuk setiap
kriteria impact Dilakukan pembobotan seperti terlihat
pada Tabel 3 agar sesuai dengan dampak bisnis pada
perusahaan.
4. Competitive advantage.
Bank yang memiliki internet banking akan memiliki
keuntungan dibandingkan dengan bank yang tidak
memiliki internet banking. Dalam waktu dekat, orang
tidak ingin membuka account di bank yang tidak
memiliki fasilitas Internet Banking.
5. New business model.
Internet Banking memungkinan adanya bisnis model
yang baru. Layanan perbankan baru dapat diluncurkan
melalui web dengan cepat.
Penilaian risiko dilakukan dengan mengacu pada
metode Risk Rating Methodology yang dikeluarkan
OWASP.
4.1 Risk Likelihood
Kriteria yang dijadikan pedoman untuk menilai aspek
likelihood
meliputi Awareness (AW), Skill Level (SL),
Teamwork (TW), Management dan Stakeholder
Support (MS) dijabarkan hasil penilaian kriteria
likelihood. Hasil likelihood pada Tabel 2 digunakan
untuk menghitung
Tabel 2.Penilaian Likelihoodng overall risk severity.
AW
Impact
Jumlah Persentase Desimal
Pengali
Kehilangan Integritas
53 26.5%
0.265
2.385
Ava ibility
45 22.5%
0.225
2.025
Accounta bility
47 23.5%
0.235
2.115
55 27.5%
0.275
2.475
1
9
Layanan
T otal
200
100%
Berdasarkan hasil dari pembobotan diatas dapat
diberikan penilaian aspek impact seperti terlihat pada
Tabel 4.
4. PENILAIAN RISIKO
No Faktor Risiko
Tabel 3 Pembobotan Aspek Impact
SL
TW
MS
Likelihood
Ca tegory
1 IT belum memiliki strategi
dan perencanaan yang jelas
untuk masa mendatang. Hal
ini menyebabkan proses IT
memungkinkan akan
mengganggu proses bisnis
yang sekarang dan
dibutuhkan di masa depan
8
7
6
8
7.25 High
2 T idak adanya identifikasi
terhadap proses-proses bisnis
perusahaan yang terkait
pada keamanan IT
menyebabkan proses
monitoring tidak berjalan
secara efektif karena proses
bisnis bisa saja tidak
terdeteksi
8
3
7
8
6.5 High
3 T idak adanya prosedur
pencegahan insiden
(khususnya untuk
ha rdwa re) , IT Continuity
P la n, Disa ster Recovery
P la n, IT Security P la n ,
tidak ada pelatihan
karyawan terkait
kemungkinan adanya insiden
8
Tabel 4 Penilaian Aspek Impact
Faktor Risiko
I
AV AC
S
Sum
IT belum memiliki strategi
dan perencanaan yang jelas
untuk masa mendatang. Hal
ini menyebabkan proses IT
memungkinkan akan
mengganggu proses bisnis
yang sekarang dan
1 dibutuhkan di masa depan
2.12 1.8
0.7
2.2
6.82
terhadap proses-proses bisnis
perusahaan yang terkait
pada keamanan IT
menyebabkan proses
monitoring tidak berjalan
secara efektif karena proses
bisnis bisa saja tidak
2.12 0.23
0.7
1.9
4.945
2 terdeteksi
T idak adanya prosedur
pencegahan insiden
(khususnya untuk
ha rdwa re ), IT Continuity
P la n, Disa ster Recovery
P la n, IT Security P la n ,
tidak ada pelatihan
karyawan terkait
3 kemungkinan adanya insiden
2.12 1.58
0.7
1.9
6.295
4.3 Risk Severity
2
7
0
4.25 Medium
Risk Severity didapat dari hasil perkalian penilaian
aspek likelihood dengan penilaian aspek impact. Hasil
risk severity dapat dilihat pada Tabel 5.
Tabel 5 Risk Severity
No
Risiko
L
IT belum memiliki st rat egi
dan perencanaan yang jelas
unt uk masa mendat ang. Hal
ini menyebabkan proses IT
memungkinkan akan
mengganggu proses bisnis
yang sekarang dan
1 dibut uhkan di masa depan
T idak adanya ident ifikasi
t erhadap proses-proses yang
t erkait pada keamanan IT
pada proses bisnis
perusahaan menyebabkan
proses monit oring t idak
berjalan secara efekt if
karena proses bisnis bisa saja
2 t idak t erdet eksi
pencegahan insiden
(khususnya unt uk
ha rdwa re ), IT Continuity
P la n, Disa ster Recovery
P la n, IT Security P la n ,
t idak ada pelat ihan
karyawan t erkait
3 kemungkinan adanya insiden
I
7.25
Risk Severit y
6.82
51.15
Dari proses analisa risiko yang dilakukan dapat
disimpulkan bahwa d itemukan risiko yang paling
kritikal dan dilakukan pemberian respon. Risiko
tersebut adalah Risiko yang menjadi prioritas pertama:
1.
6.5
4.94
32.11
4.25
6.29
26.7325
4.4 Risk Response
Untuk tiap-tiap risiko diberikan response yang sesuai.
Response yang dapat diberikan antara lain adalah
accept, avoid, reduce/lessen ataupun transfer seperti
dapat dilihat pada Tabel 6,
Tabel 6 Risk Response
Rank Risiko
1 IT belum memiliki strategi
dan perencanaan yang jelas
untuk masa mendatang. Hal
ini menyebabkan proses IT
memungkinkan akan
mengganggu proses bisnis
yang sekarang dan
dibutuhkan di masa depan
5. KESIMPULAN DAN SARAN
Severity
Response Latar Belakang
Critica l
Lessen
2 T idak adanya identifikasi
High
terhadap proses-proses bisnis
perusahaan yang terkait
pada keamanan IT
menyebabkan proses
monitoring tidak berjalan
secara efektif karena proses
bisnis bisa saja tidak
terdeteksi
Lessen
3 T idak adanya prosedur
High
pencegahan insiden
(khususnya untuk
ha rdwa re ), IT Continuity
P la n, Disa ster Recovery
P la n, IT Security P la n ,
tidak ada pelatihan
karyawan terkait
kemungkinan adanya insiden
Lessen
Risk respone terhadap
resiko ini bertujuan
untuk mengurangi
likelihood resiko tidak
adanya strategi IT
dengan anjuran
pembuatan strategi IT .
Hal ini dapat diwujudkan
dengan penyusunan
strategi dengan
perencanaan sistem IT
dan NIST 800-30 untuk
security self-a ssesement
Guide
Risk respone terhadap
resiko terkait keamanan
IT jangan sampai
terjadi. Sehingga
diperlukan proses
monitoring fokus
terhadap proses-proses
IT penting yang
mendukung proses bisnis
seperti pada NIST 80030
Risk respone untuk
resiko ini adalah
mengimplementasikan
bentuk penanganan
insiden, dan pembuatan
pla n terkait continuity ,
security dengan tujuan
untuk mengurangi
impa ct dari risiko ini
dengan membuat
aturan/prosedur untuk
menangani berbagai
penyimpangan proses
IT yang mengacu pada
NIST 800-30
2.
Tidak adanya pendekatan monitoring
peforma IT yang menggunakan matriks nilai
menyebabkan
tidak
bias
dipastikan
keberlangsungan proses IT yang di
implementasikan di Bank.Z.
Risiko yang menjadi prioritas kedua:
Tidak adanya identifikasi terhadap prosesproses yang berpengaruh besar pada proses
bisnis perushaaan menyebabkan proses
monitoring tidak berjalan secara efektif
karena tidak dapat langsung fokus kepada
proses yang mendukung proses bisnis
perusahaan.
Saran yang diberikan adalah perusahaan menerapkan
manajemen
risiko
secara
penuh
sehingga
kemungkinan muncul risiko bias dikurangi. Selain hal
tersebut, perlu diadakan peninjauan ulang Pada analisa
risiko keterangan dari wawancara terhadap pihak
terkait menjadi sesuatu yang sangat penting. Banyak
hal yang tidak dapat diungkap risikonya apabila
metode wawancara yang digunakan kurang maksimal.
Oleh karena itu untuk pengembangan selanjutnya
dapat menggunakan metode wawancara yang lebih
baik.
6. REFERENSI
[1] Chrisdiyanto, I. 2013. IT Risk Assesment Di Perpustakaan
Universitas Kristen Petra. Surabaya : Universitas Kristen Petra
[2] Creswell, J. 2014. Research Design Fourth Edition. USA : SAGE
Publications, Inc.
[3] Garbarino, S. dan Holland, J. 2009. Quantitative and Qualitative
Methods in Impact Evaluation and Measuring Result. UK : GSDRC
[4] OWASP Foundation. 2014. OWASP Risk Rating
Methodology.URI:
https://www.owasp.org/index.php/OWASP_Risk_Rating_
Methodology
[5] Rizky, S. 2011. Konsep Dasar Rekayasa Perangkat Lunak.
Jakarta : Prestasi Pustaka
[6] Guide for Conducting Risk Assessments. 2012. Guide for
Conducting Risk Assessments. URI:
https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final