Risk Assesment Sistem Informasi Manajeme
Risk Assesment Sistem Informasi Manajemen Personel atau
Aplikasi Riwayat Hidup (RH) di lingkungan TNI AU
Untuk memenuhi tugas dari mata kuliah
Risk Assesment and Security Management (RASM)
Dosen:
Toto Suharto,S.Kom.,MT.
Dibuat Oleh:
Iim Abdurrohim NIM: L.25.012.0010
Muhammad Taher Jupri NIM: L.25.012.0012
Adi Hendrarini NIM: L.25.012.0013
PROGRAM PASCA SARJANA TEKNIK INFORMATIKA
2015
Daftar Isi
1.
Studi Organisasi dan Analisa Sistem .................................................... 3
1.1.
Studi Organisasi Disminpersau ......................................................... 3
1.2.
Analisis Sistem Riwayat Hidup (RH) ............................................... 5
2.
Identifikasi Risiko................................................................................. 5
2.1.
Identifikasi Asset............................................................................... 6
2.2.
Identifikasi Ancaman ........................................................................ 7
2.3.
Identifikasi Kerentanan ..................................................................... 8
2.4.
Analisis Tingkat Risiko................................................................... 15
2.5.
Analisis Dampak Terhadap Sistem ................................................. 15
2.6.
Evaluasi/ Perlakuan Risiko ............................................................. 16
2.7.
Mitigasi Risiko ................................................................................ 19
Daftar Pustaka .............................................................................................. 20
Hal. 2 dari 20
Tugas Matakuliah RASM
Risk Assesment Sistem Informasi Manajemen
Personel atau Aplikasi Riwayat Hidup (RH) di
lingkungan TNI AU
1.
Studi Organisasi dan Analisa Sistem
Penggunaan teknologi informasi oleh TNI Angkatan Udara saat ini masih
dalam skala terbatas di beberapa bidang diantaranya Aplikasi Intelijen, Aplikasi
Operasi, Aplikasi Logistik, Aplikasi Produksi Kesehatan, Aplikasi Perencanaan
Program Kegiatan dan Aplikasi Personel. Khusus di bidang personel, teknologi
informasi TNI AU yang telah digunakan dalam rangka peningkatan dan
pengembangan pembinaan personel berupa aplikasi terapan meliputi Eksekutif
Informasi Sistem (EIS), Riwayat Hidup (RH), Daftar Penghasilan Pokok (DPP),
Photobase (personel) dan Nominatif Personel (1).
Penggunaan teknologi informasi yang telah diterapkan oleh TNI Angkatan
Udara melalui beberapa aplikasi di atas, pada saat ini dilaksanakan oleh
Disinfolahta sebagai pengolah data dan manajerial dalam penggunaan sistem data
base, software, hardware, operator dan maintenance.
Sedangkan aplikasi terapan khususnya di bidang personel secara umum
dilaksanakan di Disminpersau melalui upaya pembinaan tenaga manusia
(binpersman) meliputi penyediaan, pendidikan, penggunaan, perawatan dan
pemisahan personel.
1.1. Studi Organisasi Disminpersau
Atas dasar Peraturan Kepala Staf TNI Angkatan Udara (Perkasau) tentang
Pokok Organisasi dan Prosedur Dinas Administrasi Personel TNI AU;
Bab I Pasal 1, 2, dan 3 tentang kedudukan, tugas dan fungsi Disminpersau;
dimana pasal 1 berbunyi:
Dinas Administrasi personel TNI AU, disingkat
Disminpersau adalah badan pelaksana pusat pada tingkat Mabesau yang
berkedudukan langsung di bawah Kasau . Pasal 2 berbunyi:
Disminpersau
bertugas membina dan menyelenggarakan serta mengendalikan administrasi
Hal. 3 dari 20
Tugas Matakuliah RASM
personel meliputi sebagian fungsi pembinaan personel yang terdiri atas
penyediaan/pengadaan, pendidikan, penggunaan, pemisahan dan penyiapan
penyaluran personel TNI AU serta pembinaan bidang profesi administrasi dan
dinas khusus . Pasal 3 berbunyi: Dalam rangka pelaksanaan tugas Disminpersau
menyelenggarakan fungsi-fungsi sebagai berikut (2):
a. Menyelenggarakan pembinaan prajurit TNI AU, meliputi:
1) Penyediaan prajurit TNI AU
2) Penggunaan prajurit TNI AU
3) Pemisahan dan penyaluran prajurit TNI AU
b. Menyelenggarakan pembinaan PNS TNI AU meliputi:
1) Pengadaan PNS TNI AU
2) Penggunaan PNS TNI AU
3) Pemisahan PNS TNI AU
c. Menyelenggarakan pembinaan profesi Korps Administrasi dan
Khusus serta pembinaan Wanita TNI AU.
d. Menyelenggarakan penyiapan calon siswa pendidikan untuk prajurit
dan PNS TNI AU.
e. Mengadakan koordinasi dan kerja sama dengan badan-badan dan
instansi terkait di dalam dan diluar TNI AU.
f. Mengajukan pertimbangan dan saran kepada Kasau mengenai hal-hal
yang berhubungan dengan bidang tugasnya.
Bab II Pasal 4 tentang Susunan Organisasi sebagi berikut:
a. Eselon Pemimpin: Kepala Dinas Administrasi Personel TNI AU,
disingkat Kadisminpersau;
b. Eselon Pembantu Pemimpin/Staf: Sekretariat Dinas, disingkat Setdis;
c. Eselon Staf Pelaksana:
1) Subdinas Penyediaan Prajurit, disingkat Subdisdiajurit.
2) Subdinas Administrasi Prajurit, disingkat Subdisminjurit.
3) Subdinas Administrasi Pegawai Negeri Sipil disingkat
Subdisminpns.
4) Subdinas Pemisahan Prajurit, disingkat Subdissahjurit.
Hal. 4 dari 20
Tugas Matakuliah RASM
5) Subdinas Pembina Profesi Administrasi dan Khusus,
disingkat Subdisbinprof Adm & Sus.
1.2. Analisis Sistem Riwayat Hidup (RH)
Fokus penilaian risiko yang dijadikan kasus pada penulisan ini adalah pada
aplikasi riwayat hidup (RH) personel TNI AU.
Tujuan aplikasi digambarkan dalam diagram ikan dibawah ini:
1.2-1Gambar Tujuan Aplikasi Riwayat Hidup (RH)
2.
Identifikasi Risiko
Untuk menenmukan risiko apa yang terdapat pada sistem tahapan berikut ini
perlu dilakukan:
Hal. 5 dari 20
Tugas Matakuliah RASM
2.1. Identifikasi Asset
Didalam identifikasi asset ini penilaian asset menggunakan metode penilaian
kualitatif dari kebutuhan terhadap keterjaminan Confidentiality, Integrity dan
Availability (C,I,A) adapun kriteria nya sebagai berikut:
Aspek Keterjaminan
C,I,A
Low (L)
Medium (M)
High (H)
Bobot
1
2
3
Adapun daftar identifikasi aset sebagai berikut:
NO
1.
KLASIFIKASI
ASSET
Data/ Informasi
a. Berkas fisik
b. Data digital
c. Data User
2.
3.
Perangkat Lunak
DESKRIPSI
Dokumen duplikat berupa: dikum/
ijazah, dikma/dikbangum, kursus
pendidikan militer, sk kenaikan
pangkat, sk jabatan, tanda
kehormatan
Seluruh data riwayat hidup personel
TNI AU dan PNS TNI AU yang
tersimpan didalam database dan
ditempatkan didalam server
Berisi seluruh data user yang
memiliki hak akses kedalam aplikasi
personel
Baik di server maupun di klien
menggunakan SO yang sama
Aplikasi yang digunakan untuk
b. Web browser
menjalankan aplikasi riwayat hidup
Yang digunakan sebagai pengolah
c. DBMS
database untuk aplikasi riwayat
hidup
Adalah aplikasi utama untuk
Aplikasi riwayat
d.
menjalankan seluruh sistem
hidup
manajamen personel
Perangkat keras dan perangkat jaringan komputer
Perangkat transmisi data secara
a. Access point
wireless menghubungkan node
dengan jaringan
a. Sistem operasi
b. Switch/hub
Perangkat transmisi data secara kabel
ASPEK
KETERJA
MINAN
C I A
L
1
L
1
Nilai
Asset
M
2
4
H M H
3 2 3
8
H
3
9
H
3
H
3
M H M
2 3 2
M M H
2 2 3
H
3
H
3
7
7
H
3
9
H M H
3 2 3
8
M M M
2 2 2
6
M M M
2 2 2
Hal. 6 dari 20
Tugas Matakuliah RASM
6
c. Modem
d. Kabel (UTP)
e. PC Server
f.
4.
Client PC
Sumber daya manusia
a. Administrator
b.
User akses
terbatas
c. User umum
Perangkat untuk koneksi jaringan
lokal dengan penyedia ISP
Media transmisi data untuk
menghubungkan perangkat satu
dengan yang lain
Perangkat komputer yang digunakan
untuk menyimpan aplikasi riwayat
hidup
Semua perangkat komputer baik pc,
laptop, notebook, dan tablet yang
terhubung dalam jaringan komputer
untuk melakukan akses kepada
aplikasi riwayat hidup
H M H
3 2 3
Orang/ bagian yang melakukan tugas
untuk melakukan maintenance dan
manajemen teknologi informasi
Orang/bagian yang memiliki hak
akses terhadap aplikasi dengan
batasan tertentu (Non administrator)
Orang/bagian yang mendapatkan
akses terbatas/ view saja untuk
melihat informasi umum
M M M
2 2 2
6
H
3
H
3
H
3
9
H
3
H M
3 2
8
H M M
3 2 2
7
M M M
2 2 2
6
L
1
3
L
1
L
1
2.2. Identifikasi Ancaman
Dalam menentukan penilaian ancaman terhadap asset ada dua katergori yang
dapat dilakukan yaitu melihat kekuatan ancamannya dan kemungkinan seringnya
terjadi, adapun bobot masing-masing penilaian ancaman tersebut dibawah ini:
Penilaian ancaman dengan melihat kekuatan ancamanya:
Kekuatan
Ancaman
Low (L)
Medium (M)
High (H)
Keterangan
Bobot
Ancaman tidak mempengaruhi operasi
bisnis
Ancaman mempengaruhi operasi bisnis,
tetapi masih bisa ditangani
Ancaman sangat mempengaruhi dan
mengganggu operasi bisnis
1
2
3
Penilaian ancaman dengan melihat probabilitas kemungkinan seringnya
terjadi ancaman:
Probabilitas
Bobot
Jarang, hampir tidak pernah terjadi 1
8
Hal. 7 dari 20
Tugas Matakuliah RASM
(J)
Kadang-kadang (K)
Sering (S)
2
3
Ancaman terhadap asset yang dimiliki sebagai berikut:
No
Nama Asset
1
Data/ Informasi
a. Berkas fisik
b. Data digital
c. Data User
Perangkat Lunak
a. Sistem operasi
b. Web browser
c. DBMS
d. Aplikasi riwayat hidup
Perangkat keras dan
perangkat jaringan komputer
a. Access point
b. Switch/hub
c. Modem
d. Kabel (UTP)
e. PC Server
f.
Client PC
Sumber daya manusia
a. Administrator
b. User akses terbatas
c. User umum
2.
3.
4.
Jenis
Ancaman
Kekuatan
Ancaman
Probabilitas Nilai
Ancaman
Threat-1
Threat-2
Threat-3
L(1)
H(3)
H(3)
K(2)
K(2)
J(1)
2
6
3
Threat-4
Threat-5
Threat-6
Threat-7
H(3)
M(2)
H(3)
H(3)
K(2)
K(2)
K(2)
K(2)
6
4
6
6
Threat-8
Threat-9
Threat-10
Threat-11
Threat-12
Threat-13
M(2)
M(2)
H(3)
M(2)
H(3)
H(3)
K(2)
J(1)
K(2)
K(2)
K(2)
S(3)
4
2
6
4
6
9
Threat-14
Threat-15
Threat-16
H(3)
H(3)
L(1)
K(2)
K(2)
J(1)
6
6
1
2.3. Identifikasi Kerentanan
Untuk melakukan penilaian tingkat kerentanan ada beberapa teknik
penilaian kerentanan diantaranya adalah:
1)
Automated vulnerability scanning tools
3)
Penetration Testing
2)
4)
5)
6)
7)
8)
Security testing and evaluation
Code Review
Interview people and users
Questionnaires
Physical inspection
Document analysis.
Hal. 8 dari 20
Tugas Matakuliah RASM
Penetration Testing adalah metode untuk mengevaluasi keamanan sistem
komputer atau jaringan dengan mensimulasikan serangan dari sumber yang
berbahaya. Sebagai contoh serangan yang dilakukan oleh Black Hat Hacker ,
Cracker , Defacer , dsb (3).
Gambar 2.3-1Penetration Testing Roadmap (3)
Penulis menuliskan artikel tentang penetration testing ini sebelumnya akan
dijadikan referensi dalam penilaian kerentanan ini tetapi karena sesuatu hal yang
belum bisa penulis lakukan sesuai dengan arahan pentesting maka penulis
melakukannya dengan cara by referensi internet untuk setiap ancamannya.
Adapun penilaian kerentanan memiliki bobot sebagai berikut:
Nilai Kerentanan
Low (L)
Medium (M)
High (H)
Keterangan
Aset yang sulit untuk diubah sehingga
membutuhkan waktu lama untuk diserang
Aset yang tidak terlalu sulit untuk diubah
tapi dibutuhkan waktu agak lama untuk
diserang
Aset yang mudah untuk diserang
Bobot
1
2
3
Hal. 9 dari 20
Tugas Matakuliah RASM
Daftar identifikasi kerentanannya sebagai berikut:
No Asset
1
Data/ Informasi
a.
Berkas fisik
Jenis
Ancaman
Threat-1
Bentuk Ancaman
Kerentanan
Faktor Perusak: Bencana
alam dan Manusia (sengaja
maupun tidak sengaja) (4)
Ruang penyimpanan karena struktur
bangunan, lokasi maupun bahan yang
digunakan mudah rusak (4)
Tidak semua ruang penyimpanan
berkas memiliki alarm fire
Tidak terdapat proteksi penggunaan
komputer terhadap pengguna/ user
Tidak ada aplikasi pendeteksi dari
gangguan keamanan dari komputer
Setiap user pengguna komputer
dengan bebas menggunakan
eksternal storage
Tidak ada mekanisme pengawasan
pengguna komputer
Belum ada kebijakan yang mengatur
tentang pentingnya akses login
pribadi user ke sistem
Tidak ada proteksi terhadap data
yang tersimpan
Bencana kebakaran (4)
Data korups
b.
c.
2.
Data digital
Data User
Threat-2
Threat-3
Perangkat Lunak
a.
Sistem operasi
Threat-4
Malware/ spyware/ Trojan
Horse
Virus & worm
Pelanggaran pemeliharaan
sistem informasi
Pemberitahuan akses login
ke pihak yang tidak
berwenang
Penyadapan (sniffing)
Error register
Waktu komputer error
Nilai
Kerentanan
Tidak dilakukan maintenance berkala
Tidak adanya pemeriksaan berkala
Tidak terpasang aplikasi pendeteksi
Total Nilai
L(1)
2
L(1)
L(1)
8
M(2)
H(3)
M(2)
M(2)
5
H(3)
M(2)
M(2)
Hal. 10 dari 20
Tugas Matakuliah RASM
6
Virus & Worm
Java/ active x error
b.
Web browser
Threat-5
Software error
Web physing
Aplikasi error (crash)
Penyalahgunaan hak akses
c.
DBMS
Threat-6
Terjadinya error antara
koneksi basisdata dengan
aplikasi
Brute force login
d.
Aplikasi riwayat
hidup
Threat-7
Ilegal encoding
Kesalahan penggunaan
perangkat lunak
dan pengaman
Pengguna dengan bebas
menggunakan eksternal disk
Tidak ada penjadwalan secara
berkala update pada web browser
Tidak ada aturan yang mengatur
instalasi komputer
Tidak ada konfirmasi yang
membenarkan user jika berhasil
mengakses situs yang benar
Tidak ada pembaharuan dari versi
database
Tidak ada prosedur pemantauan pada
penggunaan mesin server
Tidak ada log untuk mencatat
aktifitas administrator dan user
lainnya
Mekanisme atau prosedur
pemeliharaan aplikasi tidak terjadual
Tidak ada batasan ketika user gagal
melakukan login
Tidak ada batas jumlah karakter
password
Belum ada kebijakan penyandian
Pemahaman pengguna terhadap antar
muka masih kurang
Kurangnya dokumentasi mengenai
M(2)
M(2)
6
M(2)
M(2)
L(1)
4
L(1)
M(2)
M(2)
L(1)
L(1)
Hal. 11 dari 20
Tugas Matakuliah RASM
8
Session Hijacking
SQL Injection
3.
Perangkat keras dan
perangkat jaringan
komputer
a.
Access point
Interfensi sinyal
Threat-8
Guessing password attack
Pencurian hardware
Ip address scanning
b.
c.
Switch/hub
Modem
Threat-9
Threat-10
Kerusakan perangkat
Pencurian perangkat
IP spoofing
penggunaan perangkat lunak
Tidak ada kebijakan yang
mengharuskan pengguna
membersihkan temporary
Aplikasi menerima seluruh karakter
yang di inputkan
Kurang pengujian atau validasi pada
aplikasi sehingga terbuka untuk di
hack
Terganggu karena dekat dengan
perangkat yang mengganggu sinyal
Password yang digunakan terlalu
mudah
Terpasang ditempat yang tidak aman
Konfigurasi jaringan komputer yang
masih menggunakan default
Faktor usia perangkat yang terlalu
lama tidak ada update
Kurangnya perhatian terhadap
penyimpanan perangkat
Konfigurasi menggunakan default
Konfigurasi yang tidak memenuhi
standar keamanan
M(2)
M(2)
L(1)
9
M(2)
H(3)
H(3)
L(1)
2
L(1)
H(3)
Hal. 12 dari 20
Tugas Matakuliah RASM
5
Wiretapping
telnet remote login
d.
e.
Kabel (UTP)
PC Server
Threat-11
Threat-12
Kerusakan fisik kabel
jaringan komputer
Korosi dan pembekuan
Gangguan listrik
Api
DNS spooffing
f.
4.
Client PC
Threat-13
Sumber daya manusia
a.
Administrator
Pencurian perangkat keras
Kesalahan penanganan
Threat-14
Kesalahan pengkodean
programming
Ottentifikasi yang terlalu mudah
Data yang saling bertukar pada
media jaringan komputer tidak
terlindungi
Setiap kompter yang terhubung
dengan internet dapat mengakses dan
melakukan login terhadap router
Kurang pemeliharaan kabel karena
tidak ada pemeliharaan berkala
Kurang perhatian pemeliharaan
terhadap kabel
Sumber listrik yang tidak stabil
Tidak dipatuhi kebijakan larangan
merokok sehingga api dari rokok
menimbulkan kebakaran
Tidak ada pemantauan terhadap user
yang mengakses server
Kurangnya pengawasan dan
perlindungan fisik terhadap
penyimpanan media perangkat keras
Prosedur rekruitmen personil yang
tidak sesuai
Kesalahan penggunaan perangkat TI
Pelatihan keamanan yang tidak
cukup
Tidak cukup pengujian terhadap
perangkat lunak
L(1)
L(1)
L(1)
2
L(1)
M(2)
H(3)
7
M(2)
M(2)
2
L(1)
3
L(1)
Hal. 13 dari 20
Tugas Matakuliah RASM
Pelanggaran ketersediaan
personil
Kesalahan penggunaan
perangkat TI
b.
User akses
terbatas
Threat-15
Pencurian dokumen
Penyebaran data rahasia
c.
User umum
Threat-16
Penyalahgunaan hak akses
Hanya satu orang yang mengerti
pengelolaan TI
Ketidakhadiran personil
Pelatihan yang tidak cukup
Prosedur rekruitmen personil yang
tidak sesuai
Kebijakan hak akses menggunakan
infrastruktur TI yang belum memadai
Bekerja tanpa ada pengawasan yang
cukup
Belum ada aturan atau kebijakan
yang mengatur penjaminan data yang
bersifat rahasia
Kurangnya kebijakan atau aturan
tentang hak akses menggunakan
infrastruktur TI
L(1)
M(2)
6
M(2)
M(2)
H(3)
Hal. 14 dari 20
Tugas Matakuliah RASM
3
2.4. Analisis Tingkat Risiko
Untuk menentukan tingkat risiko menggunakan estimasi kuantitatif yaitu:
Tingkat risiko = asset x threat x vulnerability
Threat = kekuatan ancaman x probabilitas
Maka daftar ini menunjukkan tingkat risiko yang ada:
No
Asset
1
Data/ Informasi
a.
Berkas fisik
b.
Data digital
c.
Data User
Perangkat Lunak
a.
Sistem operasi
b.
Web browser
c.
DBMS
d.
Aplikasi riwayat
hidup
Perangkat keras dan
perangkat jaringan
komputer
a.
Access point
b.
Switch/hub
c.
Modem
d.
Kabel (UTP)
e.
PC Server
f.
Client PC
Sumber daya manusia
a.
Administrator
b.
User akses terbatas
c.
User umum
2.
3.
4.
Nilai
Asset
Nilai
Ancaman
Nilai
Kerentanan
Tingkat
Risiko
Kriteria
Risiko
4
8
9
2
6
3
2
8
5
16
384
135
N
D
L
7
7
9
8
6
4
6
6
6
6
4
8
252
168
216
384
H
M
M
D
6
6
8
6
9
8
4
2
6
4
6
9
9
2
5
2
7
2
216
24
240
48
378
144
M
N
M
N
D
L
7
6
3
6
6
1
3
6
3
126
216
9
L
M
N
2.5. Analisis Dampak Terhadap Sistem
Bobot nilai kriteria dampak terhadap sistem
Bobot
Nilai
1
2
3
4
5
Kriteria Dampak
Batas Bawah
Batas Atas
Negligible (N)
Low (L)
Medium (M)
High (H)
Destructive
3
82
163
244
324
81
162
243
323
405
Hal. 15 dari 20
Tugas Matakuliah RASM
Bobot nilai dampak = nilai asset x ancaman x (ancaman x probabilitas)
Daftar nilai dampak terhadap sistem
No
Asset
1
Data/
Informasi
Berkas fisik
Data digital
Data User
Perangkat
Lunak
Sistem
operasi
Web browser
DBMS
Aplikasi
riwayat hidup
Perangkat
keras dan
perangkat
jaringan
komputer
Access point
Switch/hub
Modem
Kabel (UTP)
PC Server
Client PC
Sumber daya
manusia
Administrator
User akses
terbatas
User umum
2.
a.
b.
c.
a.
b.
c.
d.
3.
4.
a.
b.
c.
d.
e.
f.
a.
b.
c.
Nilai Nilai
Nilai
Nilai
Kriteria
Aset Ancaman (ancaman x Dampak Dampak
probabilitas)
4
8
9
1
3
3
2
6
3
8
144
81
N
L
N
7
3
6
126
L
7
9
8
2
3
3
4
6
6
56
162
144
N
L
L
6
6
8
6
9
8
2
2
3
2
3
3
4
2
6
4
6
9
48
24
144
48
162
216
N
N
L
N
L
M
7
6
3
3
6
6
126
108
L
L
3
1
1
3
N
2.6. Evaluasi/ Perlakuan Risiko
Meskipun belum memahami betul dari slide bapak tentang bagian evaluasi
ini, tetapi akan saya coba menyimpulkan sendiri dengan membuat daftar pasangan
risiko dan dampak sehingga menjadi daftar evaluasi risiko sebagai berikut:
Hal. 16 dari 20
Tugas Matakuliah RASM
Daftar Perlakuan Risiko
RISIKO
Data/
Informasi
Berkas fisik
Data digital
Data User
Perangkat
Lunak
Sistem
operasi
Web browser
DBMS
Aplikasi
riwayat hidup
Perangkat
keras dan
perangkat
jaringan
komputer
N T AM T AM
D AM M AM M
L
T AM T
A
H
M
M
T
T
T
D AM
M
A
M
AM
M
M
T
T
M
AM
AM
M
A
A
T
A
A
T
AM AM
A
A
A
A
A
A
M
N
AM
M
A
T
A
T
T
AM
T
M
AM
T
M
A
AM
M
M
A
A
T
T
M
A
A
T
M
A
A
T
AM AM
A
A
A
A
A
A
D
L
Administrat
or
User akses
terbatas
User umum
D
Client PC
M
Kabel
(UTP)
PC Server
M
Modem
H
Aplikasi
riwayat
hidup
Access
point
Switch/hub
L
Sistem
operasi
Web
browser
DBMS
D
Data User
N
Data digital
Berkas fisik
DAMPAK
L
AM T
T
M AM AM
A
T
T
M
M
M
M
A
T
T
A
T
T
AM AM
M
N
A
A
T
T
AM
T
AM
T
A
AM
A
A
T
T
Hal. 17 dari 20
Tugas Matakuliah RASM
Access point M T
M
T AM
Switch/hub
N T AM T AM
Modem
M T
M
T AM
Kabel (UTP) N T AM T AM
PC Server
D AM M AM M
Client PC
L
T AM T
A
Sumber daya
manusia
Administrator L
T AM T
A
User akses
M T
M
T AM
terbatas
User umum
N T AM T AM
Catatan penjelasan:
A
A
A
A
A
T
A
A
A
A
A
T
M
AM
M
AM
M
A
A
T
A
T
A
T
T
T
T
T
AM
T
A
A
A
A
A
T
A
A
A
A
A
T
T
T
A
T
T
T
T
T
T
A
A
A
A
M
AM
A
T
A
A
A
A
M
T
T
AM T
T
M
T
T
AM T
T
M AM AM
A
T
T
A
T
T
AM
T
T
M
T
T
A
A
A
A
A
T
T
T
T
T
AM
T
T
T
A
T
A
T
Diterima = T
Dialihkan = A
Mitigasi = M
Dialihkan/Mitigasi = AM
Hal. 18 dari 20
Tugas Matakuliah RASM
2.7. Mitigasi Risiko
Berkas Fisik
Ancaman
Kerentanan
Skenario
Belum diselesaikan
Hal. 19 dari 20
Tugas Matakuliah RASM
Daftar Pustaka
1. Devano, Iwan Surya Dharma. OPTIMALISASI SISTEM INFORMASI
MANAJEMEN DALAM PEMBINAAN PERSONEL TNI ANGKATAN UDARA
GUNA MENDUKUNG TUGAS PADA LIMA TAHUN MENDATANG. dibaca
pada tanggal 22/04/2015 : http://iwansuryadharma.blogspot.com/, 2009. Internet
Blog.
2. TNI MARKAS BESAR ANGKATAN UDARA. Penyempurnaan
Pokok-Pokok Organisasi dan Prosedur Disminpersau Disaeroau. Jakarta :
Peraturan KASAU No. Perkasau/10/III/2008 Tanggal 10 Maret 2008, 2008.
Perkasau.
3. Hacking: Penetration Testing Concept. Binus Hacker. [Online]
Independent
Hacking
Community.
[Cited:
Mei
12,
2015.]
http://www.binushacker.net/hacking-penetration-testing-concept.html.
4. H, Verdi Yudha. Strategi Perlindungan dan Pengamanan Arsip. Arsip
ITS. [Online] [Cited: Mei 12, 2015.] http://arsip.its.ac.id/?wpfb_dl=80.
Hal. 20 dari 20
Tugas Matakuliah RASM
Aplikasi Riwayat Hidup (RH) di lingkungan TNI AU
Untuk memenuhi tugas dari mata kuliah
Risk Assesment and Security Management (RASM)
Dosen:
Toto Suharto,S.Kom.,MT.
Dibuat Oleh:
Iim Abdurrohim NIM: L.25.012.0010
Muhammad Taher Jupri NIM: L.25.012.0012
Adi Hendrarini NIM: L.25.012.0013
PROGRAM PASCA SARJANA TEKNIK INFORMATIKA
2015
Daftar Isi
1.
Studi Organisasi dan Analisa Sistem .................................................... 3
1.1.
Studi Organisasi Disminpersau ......................................................... 3
1.2.
Analisis Sistem Riwayat Hidup (RH) ............................................... 5
2.
Identifikasi Risiko................................................................................. 5
2.1.
Identifikasi Asset............................................................................... 6
2.2.
Identifikasi Ancaman ........................................................................ 7
2.3.
Identifikasi Kerentanan ..................................................................... 8
2.4.
Analisis Tingkat Risiko................................................................... 15
2.5.
Analisis Dampak Terhadap Sistem ................................................. 15
2.6.
Evaluasi/ Perlakuan Risiko ............................................................. 16
2.7.
Mitigasi Risiko ................................................................................ 19
Daftar Pustaka .............................................................................................. 20
Hal. 2 dari 20
Tugas Matakuliah RASM
Risk Assesment Sistem Informasi Manajemen
Personel atau Aplikasi Riwayat Hidup (RH) di
lingkungan TNI AU
1.
Studi Organisasi dan Analisa Sistem
Penggunaan teknologi informasi oleh TNI Angkatan Udara saat ini masih
dalam skala terbatas di beberapa bidang diantaranya Aplikasi Intelijen, Aplikasi
Operasi, Aplikasi Logistik, Aplikasi Produksi Kesehatan, Aplikasi Perencanaan
Program Kegiatan dan Aplikasi Personel. Khusus di bidang personel, teknologi
informasi TNI AU yang telah digunakan dalam rangka peningkatan dan
pengembangan pembinaan personel berupa aplikasi terapan meliputi Eksekutif
Informasi Sistem (EIS), Riwayat Hidup (RH), Daftar Penghasilan Pokok (DPP),
Photobase (personel) dan Nominatif Personel (1).
Penggunaan teknologi informasi yang telah diterapkan oleh TNI Angkatan
Udara melalui beberapa aplikasi di atas, pada saat ini dilaksanakan oleh
Disinfolahta sebagai pengolah data dan manajerial dalam penggunaan sistem data
base, software, hardware, operator dan maintenance.
Sedangkan aplikasi terapan khususnya di bidang personel secara umum
dilaksanakan di Disminpersau melalui upaya pembinaan tenaga manusia
(binpersman) meliputi penyediaan, pendidikan, penggunaan, perawatan dan
pemisahan personel.
1.1. Studi Organisasi Disminpersau
Atas dasar Peraturan Kepala Staf TNI Angkatan Udara (Perkasau) tentang
Pokok Organisasi dan Prosedur Dinas Administrasi Personel TNI AU;
Bab I Pasal 1, 2, dan 3 tentang kedudukan, tugas dan fungsi Disminpersau;
dimana pasal 1 berbunyi:
Dinas Administrasi personel TNI AU, disingkat
Disminpersau adalah badan pelaksana pusat pada tingkat Mabesau yang
berkedudukan langsung di bawah Kasau . Pasal 2 berbunyi:
Disminpersau
bertugas membina dan menyelenggarakan serta mengendalikan administrasi
Hal. 3 dari 20
Tugas Matakuliah RASM
personel meliputi sebagian fungsi pembinaan personel yang terdiri atas
penyediaan/pengadaan, pendidikan, penggunaan, pemisahan dan penyiapan
penyaluran personel TNI AU serta pembinaan bidang profesi administrasi dan
dinas khusus . Pasal 3 berbunyi: Dalam rangka pelaksanaan tugas Disminpersau
menyelenggarakan fungsi-fungsi sebagai berikut (2):
a. Menyelenggarakan pembinaan prajurit TNI AU, meliputi:
1) Penyediaan prajurit TNI AU
2) Penggunaan prajurit TNI AU
3) Pemisahan dan penyaluran prajurit TNI AU
b. Menyelenggarakan pembinaan PNS TNI AU meliputi:
1) Pengadaan PNS TNI AU
2) Penggunaan PNS TNI AU
3) Pemisahan PNS TNI AU
c. Menyelenggarakan pembinaan profesi Korps Administrasi dan
Khusus serta pembinaan Wanita TNI AU.
d. Menyelenggarakan penyiapan calon siswa pendidikan untuk prajurit
dan PNS TNI AU.
e. Mengadakan koordinasi dan kerja sama dengan badan-badan dan
instansi terkait di dalam dan diluar TNI AU.
f. Mengajukan pertimbangan dan saran kepada Kasau mengenai hal-hal
yang berhubungan dengan bidang tugasnya.
Bab II Pasal 4 tentang Susunan Organisasi sebagi berikut:
a. Eselon Pemimpin: Kepala Dinas Administrasi Personel TNI AU,
disingkat Kadisminpersau;
b. Eselon Pembantu Pemimpin/Staf: Sekretariat Dinas, disingkat Setdis;
c. Eselon Staf Pelaksana:
1) Subdinas Penyediaan Prajurit, disingkat Subdisdiajurit.
2) Subdinas Administrasi Prajurit, disingkat Subdisminjurit.
3) Subdinas Administrasi Pegawai Negeri Sipil disingkat
Subdisminpns.
4) Subdinas Pemisahan Prajurit, disingkat Subdissahjurit.
Hal. 4 dari 20
Tugas Matakuliah RASM
5) Subdinas Pembina Profesi Administrasi dan Khusus,
disingkat Subdisbinprof Adm & Sus.
1.2. Analisis Sistem Riwayat Hidup (RH)
Fokus penilaian risiko yang dijadikan kasus pada penulisan ini adalah pada
aplikasi riwayat hidup (RH) personel TNI AU.
Tujuan aplikasi digambarkan dalam diagram ikan dibawah ini:
1.2-1Gambar Tujuan Aplikasi Riwayat Hidup (RH)
2.
Identifikasi Risiko
Untuk menenmukan risiko apa yang terdapat pada sistem tahapan berikut ini
perlu dilakukan:
Hal. 5 dari 20
Tugas Matakuliah RASM
2.1. Identifikasi Asset
Didalam identifikasi asset ini penilaian asset menggunakan metode penilaian
kualitatif dari kebutuhan terhadap keterjaminan Confidentiality, Integrity dan
Availability (C,I,A) adapun kriteria nya sebagai berikut:
Aspek Keterjaminan
C,I,A
Low (L)
Medium (M)
High (H)
Bobot
1
2
3
Adapun daftar identifikasi aset sebagai berikut:
NO
1.
KLASIFIKASI
ASSET
Data/ Informasi
a. Berkas fisik
b. Data digital
c. Data User
2.
3.
Perangkat Lunak
DESKRIPSI
Dokumen duplikat berupa: dikum/
ijazah, dikma/dikbangum, kursus
pendidikan militer, sk kenaikan
pangkat, sk jabatan, tanda
kehormatan
Seluruh data riwayat hidup personel
TNI AU dan PNS TNI AU yang
tersimpan didalam database dan
ditempatkan didalam server
Berisi seluruh data user yang
memiliki hak akses kedalam aplikasi
personel
Baik di server maupun di klien
menggunakan SO yang sama
Aplikasi yang digunakan untuk
b. Web browser
menjalankan aplikasi riwayat hidup
Yang digunakan sebagai pengolah
c. DBMS
database untuk aplikasi riwayat
hidup
Adalah aplikasi utama untuk
Aplikasi riwayat
d.
menjalankan seluruh sistem
hidup
manajamen personel
Perangkat keras dan perangkat jaringan komputer
Perangkat transmisi data secara
a. Access point
wireless menghubungkan node
dengan jaringan
a. Sistem operasi
b. Switch/hub
Perangkat transmisi data secara kabel
ASPEK
KETERJA
MINAN
C I A
L
1
L
1
Nilai
Asset
M
2
4
H M H
3 2 3
8
H
3
9
H
3
H
3
M H M
2 3 2
M M H
2 2 3
H
3
H
3
7
7
H
3
9
H M H
3 2 3
8
M M M
2 2 2
6
M M M
2 2 2
Hal. 6 dari 20
Tugas Matakuliah RASM
6
c. Modem
d. Kabel (UTP)
e. PC Server
f.
4.
Client PC
Sumber daya manusia
a. Administrator
b.
User akses
terbatas
c. User umum
Perangkat untuk koneksi jaringan
lokal dengan penyedia ISP
Media transmisi data untuk
menghubungkan perangkat satu
dengan yang lain
Perangkat komputer yang digunakan
untuk menyimpan aplikasi riwayat
hidup
Semua perangkat komputer baik pc,
laptop, notebook, dan tablet yang
terhubung dalam jaringan komputer
untuk melakukan akses kepada
aplikasi riwayat hidup
H M H
3 2 3
Orang/ bagian yang melakukan tugas
untuk melakukan maintenance dan
manajemen teknologi informasi
Orang/bagian yang memiliki hak
akses terhadap aplikasi dengan
batasan tertentu (Non administrator)
Orang/bagian yang mendapatkan
akses terbatas/ view saja untuk
melihat informasi umum
M M M
2 2 2
6
H
3
H
3
H
3
9
H
3
H M
3 2
8
H M M
3 2 2
7
M M M
2 2 2
6
L
1
3
L
1
L
1
2.2. Identifikasi Ancaman
Dalam menentukan penilaian ancaman terhadap asset ada dua katergori yang
dapat dilakukan yaitu melihat kekuatan ancamannya dan kemungkinan seringnya
terjadi, adapun bobot masing-masing penilaian ancaman tersebut dibawah ini:
Penilaian ancaman dengan melihat kekuatan ancamanya:
Kekuatan
Ancaman
Low (L)
Medium (M)
High (H)
Keterangan
Bobot
Ancaman tidak mempengaruhi operasi
bisnis
Ancaman mempengaruhi operasi bisnis,
tetapi masih bisa ditangani
Ancaman sangat mempengaruhi dan
mengganggu operasi bisnis
1
2
3
Penilaian ancaman dengan melihat probabilitas kemungkinan seringnya
terjadi ancaman:
Probabilitas
Bobot
Jarang, hampir tidak pernah terjadi 1
8
Hal. 7 dari 20
Tugas Matakuliah RASM
(J)
Kadang-kadang (K)
Sering (S)
2
3
Ancaman terhadap asset yang dimiliki sebagai berikut:
No
Nama Asset
1
Data/ Informasi
a. Berkas fisik
b. Data digital
c. Data User
Perangkat Lunak
a. Sistem operasi
b. Web browser
c. DBMS
d. Aplikasi riwayat hidup
Perangkat keras dan
perangkat jaringan komputer
a. Access point
b. Switch/hub
c. Modem
d. Kabel (UTP)
e. PC Server
f.
Client PC
Sumber daya manusia
a. Administrator
b. User akses terbatas
c. User umum
2.
3.
4.
Jenis
Ancaman
Kekuatan
Ancaman
Probabilitas Nilai
Ancaman
Threat-1
Threat-2
Threat-3
L(1)
H(3)
H(3)
K(2)
K(2)
J(1)
2
6
3
Threat-4
Threat-5
Threat-6
Threat-7
H(3)
M(2)
H(3)
H(3)
K(2)
K(2)
K(2)
K(2)
6
4
6
6
Threat-8
Threat-9
Threat-10
Threat-11
Threat-12
Threat-13
M(2)
M(2)
H(3)
M(2)
H(3)
H(3)
K(2)
J(1)
K(2)
K(2)
K(2)
S(3)
4
2
6
4
6
9
Threat-14
Threat-15
Threat-16
H(3)
H(3)
L(1)
K(2)
K(2)
J(1)
6
6
1
2.3. Identifikasi Kerentanan
Untuk melakukan penilaian tingkat kerentanan ada beberapa teknik
penilaian kerentanan diantaranya adalah:
1)
Automated vulnerability scanning tools
3)
Penetration Testing
2)
4)
5)
6)
7)
8)
Security testing and evaluation
Code Review
Interview people and users
Questionnaires
Physical inspection
Document analysis.
Hal. 8 dari 20
Tugas Matakuliah RASM
Penetration Testing adalah metode untuk mengevaluasi keamanan sistem
komputer atau jaringan dengan mensimulasikan serangan dari sumber yang
berbahaya. Sebagai contoh serangan yang dilakukan oleh Black Hat Hacker ,
Cracker , Defacer , dsb (3).
Gambar 2.3-1Penetration Testing Roadmap (3)
Penulis menuliskan artikel tentang penetration testing ini sebelumnya akan
dijadikan referensi dalam penilaian kerentanan ini tetapi karena sesuatu hal yang
belum bisa penulis lakukan sesuai dengan arahan pentesting maka penulis
melakukannya dengan cara by referensi internet untuk setiap ancamannya.
Adapun penilaian kerentanan memiliki bobot sebagai berikut:
Nilai Kerentanan
Low (L)
Medium (M)
High (H)
Keterangan
Aset yang sulit untuk diubah sehingga
membutuhkan waktu lama untuk diserang
Aset yang tidak terlalu sulit untuk diubah
tapi dibutuhkan waktu agak lama untuk
diserang
Aset yang mudah untuk diserang
Bobot
1
2
3
Hal. 9 dari 20
Tugas Matakuliah RASM
Daftar identifikasi kerentanannya sebagai berikut:
No Asset
1
Data/ Informasi
a.
Berkas fisik
Jenis
Ancaman
Threat-1
Bentuk Ancaman
Kerentanan
Faktor Perusak: Bencana
alam dan Manusia (sengaja
maupun tidak sengaja) (4)
Ruang penyimpanan karena struktur
bangunan, lokasi maupun bahan yang
digunakan mudah rusak (4)
Tidak semua ruang penyimpanan
berkas memiliki alarm fire
Tidak terdapat proteksi penggunaan
komputer terhadap pengguna/ user
Tidak ada aplikasi pendeteksi dari
gangguan keamanan dari komputer
Setiap user pengguna komputer
dengan bebas menggunakan
eksternal storage
Tidak ada mekanisme pengawasan
pengguna komputer
Belum ada kebijakan yang mengatur
tentang pentingnya akses login
pribadi user ke sistem
Tidak ada proteksi terhadap data
yang tersimpan
Bencana kebakaran (4)
Data korups
b.
c.
2.
Data digital
Data User
Threat-2
Threat-3
Perangkat Lunak
a.
Sistem operasi
Threat-4
Malware/ spyware/ Trojan
Horse
Virus & worm
Pelanggaran pemeliharaan
sistem informasi
Pemberitahuan akses login
ke pihak yang tidak
berwenang
Penyadapan (sniffing)
Error register
Waktu komputer error
Nilai
Kerentanan
Tidak dilakukan maintenance berkala
Tidak adanya pemeriksaan berkala
Tidak terpasang aplikasi pendeteksi
Total Nilai
L(1)
2
L(1)
L(1)
8
M(2)
H(3)
M(2)
M(2)
5
H(3)
M(2)
M(2)
Hal. 10 dari 20
Tugas Matakuliah RASM
6
Virus & Worm
Java/ active x error
b.
Web browser
Threat-5
Software error
Web physing
Aplikasi error (crash)
Penyalahgunaan hak akses
c.
DBMS
Threat-6
Terjadinya error antara
koneksi basisdata dengan
aplikasi
Brute force login
d.
Aplikasi riwayat
hidup
Threat-7
Ilegal encoding
Kesalahan penggunaan
perangkat lunak
dan pengaman
Pengguna dengan bebas
menggunakan eksternal disk
Tidak ada penjadwalan secara
berkala update pada web browser
Tidak ada aturan yang mengatur
instalasi komputer
Tidak ada konfirmasi yang
membenarkan user jika berhasil
mengakses situs yang benar
Tidak ada pembaharuan dari versi
database
Tidak ada prosedur pemantauan pada
penggunaan mesin server
Tidak ada log untuk mencatat
aktifitas administrator dan user
lainnya
Mekanisme atau prosedur
pemeliharaan aplikasi tidak terjadual
Tidak ada batasan ketika user gagal
melakukan login
Tidak ada batas jumlah karakter
password
Belum ada kebijakan penyandian
Pemahaman pengguna terhadap antar
muka masih kurang
Kurangnya dokumentasi mengenai
M(2)
M(2)
6
M(2)
M(2)
L(1)
4
L(1)
M(2)
M(2)
L(1)
L(1)
Hal. 11 dari 20
Tugas Matakuliah RASM
8
Session Hijacking
SQL Injection
3.
Perangkat keras dan
perangkat jaringan
komputer
a.
Access point
Interfensi sinyal
Threat-8
Guessing password attack
Pencurian hardware
Ip address scanning
b.
c.
Switch/hub
Modem
Threat-9
Threat-10
Kerusakan perangkat
Pencurian perangkat
IP spoofing
penggunaan perangkat lunak
Tidak ada kebijakan yang
mengharuskan pengguna
membersihkan temporary
Aplikasi menerima seluruh karakter
yang di inputkan
Kurang pengujian atau validasi pada
aplikasi sehingga terbuka untuk di
hack
Terganggu karena dekat dengan
perangkat yang mengganggu sinyal
Password yang digunakan terlalu
mudah
Terpasang ditempat yang tidak aman
Konfigurasi jaringan komputer yang
masih menggunakan default
Faktor usia perangkat yang terlalu
lama tidak ada update
Kurangnya perhatian terhadap
penyimpanan perangkat
Konfigurasi menggunakan default
Konfigurasi yang tidak memenuhi
standar keamanan
M(2)
M(2)
L(1)
9
M(2)
H(3)
H(3)
L(1)
2
L(1)
H(3)
Hal. 12 dari 20
Tugas Matakuliah RASM
5
Wiretapping
telnet remote login
d.
e.
Kabel (UTP)
PC Server
Threat-11
Threat-12
Kerusakan fisik kabel
jaringan komputer
Korosi dan pembekuan
Gangguan listrik
Api
DNS spooffing
f.
4.
Client PC
Threat-13
Sumber daya manusia
a.
Administrator
Pencurian perangkat keras
Kesalahan penanganan
Threat-14
Kesalahan pengkodean
programming
Ottentifikasi yang terlalu mudah
Data yang saling bertukar pada
media jaringan komputer tidak
terlindungi
Setiap kompter yang terhubung
dengan internet dapat mengakses dan
melakukan login terhadap router
Kurang pemeliharaan kabel karena
tidak ada pemeliharaan berkala
Kurang perhatian pemeliharaan
terhadap kabel
Sumber listrik yang tidak stabil
Tidak dipatuhi kebijakan larangan
merokok sehingga api dari rokok
menimbulkan kebakaran
Tidak ada pemantauan terhadap user
yang mengakses server
Kurangnya pengawasan dan
perlindungan fisik terhadap
penyimpanan media perangkat keras
Prosedur rekruitmen personil yang
tidak sesuai
Kesalahan penggunaan perangkat TI
Pelatihan keamanan yang tidak
cukup
Tidak cukup pengujian terhadap
perangkat lunak
L(1)
L(1)
L(1)
2
L(1)
M(2)
H(3)
7
M(2)
M(2)
2
L(1)
3
L(1)
Hal. 13 dari 20
Tugas Matakuliah RASM
Pelanggaran ketersediaan
personil
Kesalahan penggunaan
perangkat TI
b.
User akses
terbatas
Threat-15
Pencurian dokumen
Penyebaran data rahasia
c.
User umum
Threat-16
Penyalahgunaan hak akses
Hanya satu orang yang mengerti
pengelolaan TI
Ketidakhadiran personil
Pelatihan yang tidak cukup
Prosedur rekruitmen personil yang
tidak sesuai
Kebijakan hak akses menggunakan
infrastruktur TI yang belum memadai
Bekerja tanpa ada pengawasan yang
cukup
Belum ada aturan atau kebijakan
yang mengatur penjaminan data yang
bersifat rahasia
Kurangnya kebijakan atau aturan
tentang hak akses menggunakan
infrastruktur TI
L(1)
M(2)
6
M(2)
M(2)
H(3)
Hal. 14 dari 20
Tugas Matakuliah RASM
3
2.4. Analisis Tingkat Risiko
Untuk menentukan tingkat risiko menggunakan estimasi kuantitatif yaitu:
Tingkat risiko = asset x threat x vulnerability
Threat = kekuatan ancaman x probabilitas
Maka daftar ini menunjukkan tingkat risiko yang ada:
No
Asset
1
Data/ Informasi
a.
Berkas fisik
b.
Data digital
c.
Data User
Perangkat Lunak
a.
Sistem operasi
b.
Web browser
c.
DBMS
d.
Aplikasi riwayat
hidup
Perangkat keras dan
perangkat jaringan
komputer
a.
Access point
b.
Switch/hub
c.
Modem
d.
Kabel (UTP)
e.
PC Server
f.
Client PC
Sumber daya manusia
a.
Administrator
b.
User akses terbatas
c.
User umum
2.
3.
4.
Nilai
Asset
Nilai
Ancaman
Nilai
Kerentanan
Tingkat
Risiko
Kriteria
Risiko
4
8
9
2
6
3
2
8
5
16
384
135
N
D
L
7
7
9
8
6
4
6
6
6
6
4
8
252
168
216
384
H
M
M
D
6
6
8
6
9
8
4
2
6
4
6
9
9
2
5
2
7
2
216
24
240
48
378
144
M
N
M
N
D
L
7
6
3
6
6
1
3
6
3
126
216
9
L
M
N
2.5. Analisis Dampak Terhadap Sistem
Bobot nilai kriteria dampak terhadap sistem
Bobot
Nilai
1
2
3
4
5
Kriteria Dampak
Batas Bawah
Batas Atas
Negligible (N)
Low (L)
Medium (M)
High (H)
Destructive
3
82
163
244
324
81
162
243
323
405
Hal. 15 dari 20
Tugas Matakuliah RASM
Bobot nilai dampak = nilai asset x ancaman x (ancaman x probabilitas)
Daftar nilai dampak terhadap sistem
No
Asset
1
Data/
Informasi
Berkas fisik
Data digital
Data User
Perangkat
Lunak
Sistem
operasi
Web browser
DBMS
Aplikasi
riwayat hidup
Perangkat
keras dan
perangkat
jaringan
komputer
Access point
Switch/hub
Modem
Kabel (UTP)
PC Server
Client PC
Sumber daya
manusia
Administrator
User akses
terbatas
User umum
2.
a.
b.
c.
a.
b.
c.
d.
3.
4.
a.
b.
c.
d.
e.
f.
a.
b.
c.
Nilai Nilai
Nilai
Nilai
Kriteria
Aset Ancaman (ancaman x Dampak Dampak
probabilitas)
4
8
9
1
3
3
2
6
3
8
144
81
N
L
N
7
3
6
126
L
7
9
8
2
3
3
4
6
6
56
162
144
N
L
L
6
6
8
6
9
8
2
2
3
2
3
3
4
2
6
4
6
9
48
24
144
48
162
216
N
N
L
N
L
M
7
6
3
3
6
6
126
108
L
L
3
1
1
3
N
2.6. Evaluasi/ Perlakuan Risiko
Meskipun belum memahami betul dari slide bapak tentang bagian evaluasi
ini, tetapi akan saya coba menyimpulkan sendiri dengan membuat daftar pasangan
risiko dan dampak sehingga menjadi daftar evaluasi risiko sebagai berikut:
Hal. 16 dari 20
Tugas Matakuliah RASM
Daftar Perlakuan Risiko
RISIKO
Data/
Informasi
Berkas fisik
Data digital
Data User
Perangkat
Lunak
Sistem
operasi
Web browser
DBMS
Aplikasi
riwayat hidup
Perangkat
keras dan
perangkat
jaringan
komputer
N T AM T AM
D AM M AM M
L
T AM T
A
H
M
M
T
T
T
D AM
M
A
M
AM
M
M
T
T
M
AM
AM
M
A
A
T
A
A
T
AM AM
A
A
A
A
A
A
M
N
AM
M
A
T
A
T
T
AM
T
M
AM
T
M
A
AM
M
M
A
A
T
T
M
A
A
T
M
A
A
T
AM AM
A
A
A
A
A
A
D
L
Administrat
or
User akses
terbatas
User umum
D
Client PC
M
Kabel
(UTP)
PC Server
M
Modem
H
Aplikasi
riwayat
hidup
Access
point
Switch/hub
L
Sistem
operasi
Web
browser
DBMS
D
Data User
N
Data digital
Berkas fisik
DAMPAK
L
AM T
T
M AM AM
A
T
T
M
M
M
M
A
T
T
A
T
T
AM AM
M
N
A
A
T
T
AM
T
AM
T
A
AM
A
A
T
T
Hal. 17 dari 20
Tugas Matakuliah RASM
Access point M T
M
T AM
Switch/hub
N T AM T AM
Modem
M T
M
T AM
Kabel (UTP) N T AM T AM
PC Server
D AM M AM M
Client PC
L
T AM T
A
Sumber daya
manusia
Administrator L
T AM T
A
User akses
M T
M
T AM
terbatas
User umum
N T AM T AM
Catatan penjelasan:
A
A
A
A
A
T
A
A
A
A
A
T
M
AM
M
AM
M
A
A
T
A
T
A
T
T
T
T
T
AM
T
A
A
A
A
A
T
A
A
A
A
A
T
T
T
A
T
T
T
T
T
T
A
A
A
A
M
AM
A
T
A
A
A
A
M
T
T
AM T
T
M
T
T
AM T
T
M AM AM
A
T
T
A
T
T
AM
T
T
M
T
T
A
A
A
A
A
T
T
T
T
T
AM
T
T
T
A
T
A
T
Diterima = T
Dialihkan = A
Mitigasi = M
Dialihkan/Mitigasi = AM
Hal. 18 dari 20
Tugas Matakuliah RASM
2.7. Mitigasi Risiko
Berkas Fisik
Ancaman
Kerentanan
Skenario
Belum diselesaikan
Hal. 19 dari 20
Tugas Matakuliah RASM
Daftar Pustaka
1. Devano, Iwan Surya Dharma. OPTIMALISASI SISTEM INFORMASI
MANAJEMEN DALAM PEMBINAAN PERSONEL TNI ANGKATAN UDARA
GUNA MENDUKUNG TUGAS PADA LIMA TAHUN MENDATANG. dibaca
pada tanggal 22/04/2015 : http://iwansuryadharma.blogspot.com/, 2009. Internet
Blog.
2. TNI MARKAS BESAR ANGKATAN UDARA. Penyempurnaan
Pokok-Pokok Organisasi dan Prosedur Disminpersau Disaeroau. Jakarta :
Peraturan KASAU No. Perkasau/10/III/2008 Tanggal 10 Maret 2008, 2008.
Perkasau.
3. Hacking: Penetration Testing Concept. Binus Hacker. [Online]
Independent
Hacking
Community.
[Cited:
Mei
12,
2015.]
http://www.binushacker.net/hacking-penetration-testing-concept.html.
4. H, Verdi Yudha. Strategi Perlindungan dan Pengamanan Arsip. Arsip
ITS. [Online] [Cited: Mei 12, 2015.] http://arsip.its.ac.id/?wpfb_dl=80.
Hal. 20 dari 20
Tugas Matakuliah RASM