Jurnal Ilmu Siber dan Teknologi Digital (JISTED) ISSN2986-7312 Vol 2.
No 1, 2023, 61-73 https://doi.
org/10.
35912/jisted.
Manajemen Risiko Teknologi Informasi Pada Aplikasi CMS di PT.
Sarana Citranusa Kabil - Batam Menggunakan ISO31000:2018 (Information Technology Risk Management in CMS Applications at PT.
Citranusa Kabil Facility - Batam Using ISO31000:2.
Suroto Suroto1*.
John Friadi2 Universitas Batam.
Batam1,2 suroto@univbatam.
id1*, john.
friadi@univbatam.
Riwayat Artikel Diterima pada 22 Juli 2023 Revisi 1 pada 24 Juli 2023 Revisi 2 pada 6 Agustus 2023 Disetujui pada 21 Agustus 2023 Abstract Purpose: The purpose of this research is to assist PT SCN in improving its ability in risk management, by minimizing the risks contained in the CMS application.
In addition, it aims to provide recommendations some risk action for risks that have been Methodology/approach: Object of this research is PT Sarana Citranusa Kabil Ae Batam.
In order to support its business activities.
PT SCN uses a application, called Cash Management System (CMS).
This study was conducted using method of case study Technique of data collection is in the form of observation.
The procedures of this research follow the ISO31000:2018 standard.
Results/findings: This study found that .
there are 20 possible risks, which can disrupt the performance of the CMS and business .
2 possible risks with high level.
10 possible risks with medium level.
8 possible risks with low level.
Limitations: This research focuses on risk management in the use of CMS applications.
The research does not address risks outside of information technology, for example, health and safety environmental issues.
Contribution: The result of this risk analysis is a proposed action recommendation based on the impact and frequency of occurrence.
Finally.
PT SCN can prevent and minimize risks so that the function of the CMS application can run optimally.
Keywords: Risk Management.
IT Risk.
Risk Assessment.
ISO13000 How to cite: Suroto.
Friadi.
Manajemen Risiko Teknologi Informasi Pada Aplikasi CMS di PT.
Sarana Citranusa Kabil - Batam Menggunakan ISO31000:2018.
Jurnal Ilmu Siber dan Teknologi Digital, 2.
, 61-73.
Pendahuluan Teknologi informasi (TI) adalah tulang punggung inovasi teknologi.
Inovasi ini telah memainkan peran besar dalam mengembangkan manajemen bisnis.
Saat ini, tidak ada satu pun bisnis di dunia ini yang tidak menggunakan teknologi TI.
Beberapa bidang dimana teknologi sangat penting untuk bisnis termasuk sistem penjualan, penggunaan TIK dalam manajemen, sistem akuntansi, dan aspek kompleks lainnya dari aktivitas bisnis sehari-hari (Lamarco, 2.
Teknologi memungkinkan kita mengotomatiskan proses bisnis, sehingga meningkatkan produktivitas kita .
nonymous, 2.
Teknologi memungkinkan kita untuk menggunakan lebih sedikit sumber daya, untuk meningkatkan kualitas dan kecepatan pelayanan kepada pelanggan.
Teknologi juga memudahkan untuk menyimpan lebih banyak informasi dengan tetap menjaga integritas informasi tersebut.
Kita lebih mampu menyimpan informasi yang sensitif dan rahasia.
Informasi dapat diambil secara instan saat dibutuhkan, dan dapat dianalisis untuk mempelajari tren masa lalu dan untuk meramalkan masa depan.
Namun, dengan semakin meningkatnya penggunaan teknologi informasi, maka semakin meningkat pula ancaman atau risiko yang dapat terjadi suatu saat.
Entitas bisnis perlu melakukan pengendalian risiko terhadap risiko SI/TI, dengan melakukan manajemen risiko yang tepat (Angraini & Pertiwi.
Manajemen risiko dilakukan dengan cara melakukan analisis risiko hingga mengevaluasi risiko.
Sehingga hasil yang diharapkan berupa rekomendasi pengendalian risiko dapat maksimal dan sesuai dengan yang diharapkan oleh instansi tersebut.
Studi kasus pada penelitian ini adalah PT.
Sarana Citranusa Kabil (PT.
SCN) - Batam.
PT.
SCN
merupakan perusahaan swasta yang bergerak di bidang usaha Kepelabuhan.
Sebagai pengelola pelabuhan umum di Kabil.
Dalam rangka untuk menunjang kegiatan bisnisnya.
PT.
SCN menggunakan sebuah aplikasi Cash Management System (CMS).
Aplikasi CMS digunakan untuk mengelola transaksi jasa kepelabuhan dan sistem pembayarannya.
Aplikasi CMS sangat membantu, namun disisi lain aplikasi ini juga memiliki risiko yang dapat terjadi sewaktu-waktu.
Sebagai contoh, risiko berupa Human Error, kegagalan koneksi jaringan dan Server Down (Friadi.
Yani.
Zaid, & Sikumbang, 2.
Oleh karena itu, sebuah analisis dan evaluasi manajemen risiko pada aplikasi CM diperlukan.
Ini dengan cara mengidentifikasi risiko dan potensi risiko yang ada serta bagaimana dampak dari kemungkinan risiko yang akan terjadi.
Dari permasalahan tersebut, maka diperlukan analisis risiko dengan menggunakan kerangka kerja ISO 31000:2018, dimana ISO31000:2018 memiliki standar dan tinjauan yang lebih luas dan dapat diterapkan di berbagai ruang lingkup instansi serta lebih ideal dibandingkan standar lainnya (RUMBA.
MIRSEL, & SABU, 2.
Tujuan dari penelitian ini adalah untuk membantu PT.
SCN dalam meningkatkan kemampuan dalam manajemen risiko, dengan cara meminimalisir risiko dan potensi risiko yang terdapat pada aplikasi CMS.
Selain itu, bertujuan untuk memberikan rekomendasi yang tepat terhadap risiko yang telah diidentifikasi atau risiko yang sewaktu-waktu dapat muncul dan mengganggu kinerja sistem .
Tinjauan Pustaka Penelitian Sebelumnya Lela Dina Berliana dan Andeka Rocky Tanamaah pada tahun 2021 melakukan studi mengenai manajemen risiko dengan menggunakan ISO 31000:2009 dilakukan oleh.
Penelitian tersebut dengan studi kasus yang dilakukan pada bidang industri Disperinnaker Kota Salatiga.
Dari penelitian tersebut didapatkan hasil, bahwa ada 14 kemungkinan risiko yang mengganggu jalannya aktivitas kegiatan pada bidang industri Disperinnaker Kota Salatiga.
Dari 14 kemungkinan risiko, ada 3 yang masuk ke dalam risiko tinggi , 6 yang masuk ke dalam level sedang, 5 yang masuk dalam level rendah (Berliana & Tanamaah, 2.
Vania Rizqita Putri1.
Agustinus Fritz Wijaya melakukan penelitian manajemen risiko teknologi informasi dengan menggunakan ISO 31000 pada tahun 2022.
Studi kasus di PT.
XYZ yang merupakan salah satu kantor cabang anak perusahaan perbankan di Indonesia yang fokus pada penyediaan fasilitas leasing, investasi dan modal kerja (Suciati.
Simamora.
Panusunan, & Fauzan, 2.
Hasil penelitian ini didapatkan 13 kemungkinan risiko yang memiliki tingkat risiko rendah , 6 kemungkinan risiko yang memiliki tingkat risiko sedang tingkat risiko serta 2 kemungkinan risiko yang memiliki tingkat risiko Selain itu, dihasilkan proposal risk treatment yang dapat dijadikan acuan oleh PT.
XYZ untuk meminimalkan kerugian yang diakibatkan oleh risiko tersebut.
(Putri & Wijaya, 2.
Selain itu.
Elly.
Hanes dan Joosten melakukan penelitian dengan judul ISO 31000:2018-Based IT Infrastructure Risk Management Study (Case Study: Universitas Mikroski.
pada tahun 2022.
Berdasarkan penelitian, hasil dari tingkat risiko adalah 2 kemungkinan risiko dengan level rendah, 10 kemungkinan risiko dengan level tinggi, dan 3 kemungkinan risiko dengan level ekstrim (Elly.
Hanes, & Joosten, 2.
2023 | Jurnal Ilmu Siber dan Teknologi Digital/ Vol 2 No 1, 61-73 Manajemen Resiko SI/TI (Johnson, 2.
menyatakan, risiko adalah bagian penting dalam melakukan bisnis, dan di dunia dimana sejumlah besar data diproses dengan kecepatan yang semakin tinggi.
Risiko TI meliputi kegagalan perangkat keras dan perangkat lunak, kesalahan manusia, spam, virus, dan serangan jahat, serta bencana alam seperti kebakaran, topan, atau banjir.
Jika kita memiliki bisnis yang menggunakan TI, penting untuk mengidentifikasi risiko terhadap sistem dan data TI.
Sehingga kita dapat mengurangi atau mengelola risiko tersebut, dan untuk mengembangkan rencana respons jika terjadi krisis TI.
Aktifitas mengidentifikasi dan mengurangi risiko merupakan tantangan bagi perusahaan manapun.
Manajemen risiko merupakan istilah yang digunakan tim TI dan keamanan setiap hari, disadari atau tidak (What is Information Technology (IT) Risk Management, 2.
Ini adalah proses yang konsisten untuk mengidentifikasi, menganalisis, mengevaluasi, dan menangani eksposur kerugian sambil juga mengamati pengendalian risiko dan sumber daya dalam upaya untuk mengurangi dampak kerugian yang merugikan.
Ini sering kali merupakan praktik yang juga digunakan di dalam departemen TI tetapi digunakan untuk sistem, jaringan, dan perangkat perusahaan untuk memitigasi potensi ancaman dunia Cara tim mendekati manajemen risiko dari sudut pandang bisnis tidak selalu diterjemahkan ke dalam metodologi yang sama tentang pendekatan manajemen risiko TI untuk keamanan TI.
Ini sering menjadi masalah umum di seluruh perusahaan saat mendekati risiko bisnis versus risiko keamanan TI.
Keamanan TI sering kali mengharuskan profesional dan pemimpin TI untuk melihat lebih dalam akar penyebab peningkatan manajemen risiko TI mereka.
Di bawah ini adalah beberapa akar penyebab umum untuk masalah manajemen risiko TI (What is Information Technology (IT) Risk Management.
A Third-party IT Solutions (Shadow IT Solution.
A mmaturity of Processes A Technical Debt A Lack of Communication Aplikasi CMS Transaksi yang terjadi antara PT.
SCN dengan pelanggan merupakan transaksi jual beli jasa, bukan Layanan / jasa yang disediakan oleh PT.
SCN , selaku pengelola pelabuhan, adalah layanan labuh, tambah, supply air, pembuangan sampah.
Pelanggan sebagai pengguna jasa harus membayar lunas sebelum kapal meninggalkan pelabuhan.
Pembayaran melalui transfer bank.
Guna memudahkan dalam pengelolaan data transaksi.
SCN mengembangkan sendiri sebuah sistem informasi, yang dinamakan Cash Management System (CMS).
CMS merupakan sistem informasi basis web yang berfungsi untuk mengelola transaksi jasa kepelabuhan dan sistem pembayarannya.
Manfaat yang dapat dirasakan, bahwa pelanggan .
gen kapal & perusahaan bongkar mua.
tidak perlu ke bank untuk membayar atas suatu transaksi jasa di pelabuhan SCN.
Cukup top up saldo dan selanjutnya aplikasi CMS akan meminta sistem bank untuk melakukan auto debit pada rekening pengguna jasa.
ISO 31000:2018
Pada Februari 2018, organisasi standar internasional ISO menerbitkan ISO 31000:2018 Risk management Ai Guidelines.
Standar ini menggantikan ISO 31000:2009 Risk management Ai Principles and Guidelines yang diterbitkan pada November 2009.
ISO 31000 adalah panduan penerapan risiko yang terdiri atas tiga elemen: prinsip .
, kerangka kerja .
, dan proses .
Prinsip manajemen risiko adalah dasar praktik atau filosofi manajemen risiko.
Kerangka kerja adalah pengaturan sistem manajemen risiko secara terstruktur dan sistematis di seluruh organisasi.
Proses adalah aktivitas pengelolaan risiko yang berurutan dan saling terkait (Vorst.
Priyarsono, & Budiman.
Delapan prinsip ISO 31000, yaitu:
A Manajemen risiko harus diintegrasikan ke dalam seluruh operasi dan aktivitas bisnis.
A Pendekatan harus terstruktur dan komprehensif.
2023 | Jurnal Ilmu Siber dan Teknologi Digital/ Vol 2 No 1, 61-73 A Proses dan kerangka kerja manajemen risiko harus disesuaikan agar sesuai dengan tujuan dan konteks organisasi.
A Pemangku kepentingan harus dilibatkan dalam kerangka pengelolaan.
itu harus inklusif.
A Manajemen risiko harus dinamis dan kuat.
pemikiran preemptive, mengantisipasi, mendeteksi, mengakui dan menanggapi perubahan.
A Manajemen risiko memperhitungkan keterbatasan informasi yang tersedia.
A Faktor manusia dan budaya adalah yang terpenting, dan harus dipertimbangkan pada semua tahapan dan aspek manajemen risiko.
A Kerangka manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman.
Sedangkan, proses manajemen resiko dapat dijelaskan dalam diagram di bawah ini Gambar 1.
Proses Manajemen Resiko Berdasar Standar ISO 31000:2018 Sumber: proxsisgroup.
ISO 31000 membantu organisasi mengembangkan strategi manajemen risiko untuk mengidentifikasi dan memitigasi risiko secara efektif, sehingga meningkatkan kemungkinan pencapaian tujuan dan meningkatkan perlindungan aset perusahaan.
Tujuan menyeluruhnya adalah untuk mengembangkan budaya manajemen risiko di mana karyawan dan pemangku kepentingan menyadari pentingnya pemantauan dan pengelolaan risiko.
Metodologi Penelitian Penelitian manajemen risiko pada aplikasi CMS di PT.
SCN ini dilakukan dengan menggunakan metode penelitian studi kasus.
Studi kasus merupakan penelitian kualitatif dimana peneliti melakukan eksplorasi secara mendalam terhadap program, proses, aktivitas atau orang.
Hal ini karena objek penelitian .
plikasi CMS) terikat oleh waktu dan aktivitas.
Peneliti melakukan pengumpulan data secara mendetail dengan menggunakan teknik pengumpulan data berupa observasi.
Observasi atau pengamatan langsung ke lapangan dilakukan dalam waktu yang berkesinambungan.
Prosedur penelitian ini mengikuti standar ISO31000:2018, seperti gambar 1 di atas.
Dengan demikian, langkah atau tahapan penelitian ini adalah sebagai berikut:
Identifikasi Risiko Langkah ini untuk menemukan, mengenali, dan mendeskripsikan peristiwa atau risiko yang tidak pasti yang dapat membantu atau mencegah departemen mencapai tujuannya.
Ini melibatkan identifikasi sumber risiko, peristiwa, penyebab dan konsekuensi potensial mereka.
Informasi yang relevan, tepat dan terkini penting dalam mengidentifikasi risiko.
Dalam penelitian ini, bagaimana memperoleh dan menyajikan data risiko yang mungkin timbul dan yang dapat mengganggu proses bisnis pada penggunaan aplikasi CMS.
Analisis Risiko Langkah untuk memahami sifat risiko dan menentukan tingkat eksposur risiko.
Ini melibatkan pertimbangan ketidakpastian, sumber risiko, konsekuensi, kemungkinan, peristiwa, skenario, kontrol dan efektivitasnya.
Tahap analisis risiko pada aplikasi CMS.
2023 | Jurnal Ilmu Siber dan Teknologi Digital/ Vol 2 No 1, 61-73 .
Evaluasi Risiko Membandingkan hasil analisis risiko dengan kriteria risiko untuk menentukan apakah diperlukan tindakan tambahan.
Hal ini dapat menyebabkan keputusan untuk: .
tidak melakukan apa-apa lagi .
mempertimbangkan opsi penanganan risiko .
melakukan analisis lebih lanjut untuk lebih memahami risiko .
mempertahankan kontrol yang ada .
mempertimbangkan kembali tujuan.
Penanganan Risiko Memilih dan menerapkan opsi untuk mengatasi peristiwa yang tidak pasti - terima, pantau, bagikan, hindari, kurangi kemungkinan/dampak ancaman atau optimalkan peluang.
Menyeimbangkan manfaat potensial yang diperoleh dalam kaitannya dengan pencapaian tujuan terhadap biaya, usaha atau kerugian implementasi.
Toleransi terhadap risiko harus menentukan jenis dan luasnya respons.
Hasil dan Pembahasan Penilaian Resiko Ini adalah langkah pertama yang perlu dilakukan terkait proses manajemen resiko pada aplikasi CMS.
Langkah ini melalui beberapa tahapan kecil secara berurutan, yaitu mengidentifikasi risiko, kemudian menganalisis risiko, dan terakhir mengevaluasi risiko.
Identifikasi Risiko Identifikasi Aset Pada tahap ini dilakukan identifikasi aset-aset yang terkait dengan aplikasi CMS.
Aset-aset meliputi data, perangkat lunak, dan perangkat keras.
Fokus pada identifikasi 3 aset tersebut.
Tabel 1.
Identifikasi Aset Komponen SI/TI Aset Data Data pelanggan, data kapal, data berth, data transaksi pengguna jasa Cash Management System Software Hardware Sumber: Data primer dari observasi .
Server Mengidentifikasi Risiko yang Mungkin Terjadi Selanjutnya dari identifikasi kemungkinan risiko, kita dapat mengklasifikasikan sumber resiko dalam 3 faktor, yaitu faktor alam, faktor manusia, dan faktor sistem atau infrastruktur.
Berdasarkan hasil identifikasi risiko, ditemukan 20 risiko yang mungkin terjadi pada aplikasi CMS.
Hasil identifikasi kemungkinan risiko dapat dilihat pada tabel 2.
Tabel 2.
Mengidentifikasi Risiko Yang Mungkin Terjadi Faktor
Id Risiko Yang Mungkin Terjadi Alam
R01
Banjir
R02
Kebakaran R03 Gempa bumi
MANUSIA
R04
Hujan badai R05
Kesalahan Manusia
R06
Penyalahgunaan hak akses R07
Pencurian dan Kebocoran Data
R08
Perangkat keras pencurian R09
Peretasan 2023 | Jurnal Ilmu Siber dan Teknologi Digital/ Vol 2 No 1, 61-73
SISTEM DAN
INFRASTRUKTUR
R10
Antarmuka Pengguna yang sulit untuk memahami R11
Kerusakan pada fasilitas R12
Karyawan baru yang masih awam dengan sistem
R13
Koneksi jaringan yang buruk
R14
Kerusakan peralatan jaringan R15 Database Server bermasalah R16 Kehilangan data R17 Suhu ruang terlalu panas R18 Backup data bermasalah R19 Kesalahan sistem R20 Tidak ada daya listrik Sumber: Data primer dari observasi .
Mengidentifikasi Dampak dari Risiko yang Mungkin Terjadi Selanjutnya pada tahap ini dilakukan identifikasi dampak dari risiko yang mungkin terjadi pada aplikasi CMS.
Pada tahap ini, dilakukan identifikasi terhadap dampak dari kemungkinan risiko yang telah diidentifikasi pada tabel 2.
Hasil identifikasi dampak disajikan dalam tabel 3.
Tabel 3.
Mengidentifikasi Dampak dari Risiko yang Mungkin Terjadi Faktor
Risiko Yang Mungkin Dampak Terjadi Alam
MANUSIA
R01
Banjir
Aset yang terekspos banjir dapat menyebabkan kerusakan R02
Kebakaran Dapat menyebabkan kerusakan pada R03
Gempa bumi
Dapat menyebabkan kerusakan pada R04
Hujan badai Memungkinkan terjadinya kerusakan R05
Kesalahan Manusia
Ada miskomunikasi data, data invalid
R06
Penyalahgunaan hak akses karyawan lain dapat mengakses sistem menggunakan akun pengguna lain.
Data tidak valid
R07
Pencurian dan Kebocoran Data Data rahasia .
arif, transaks.
terekpos R08
Perangkat keras pencurian Kerugian keuangan perusahaan R09
Peretasan Bocornya data perusahaan, sistem
down yang pada akhirnya timbul
kehilangan waktu kerja 2023 | Jurnal Ilmu Siber dan Teknologi Digital/ Vol 2 No 1, 61-73
R10
Antarmuka Pengguna yang sulit untuk dipahami Pengguna menjalankan aplikasi
R11
Kerusakan pada fasilitas Kerusakan aset dan Kerugian finansial R12 Karyawan baru yang masih awam dengan sistem Potensi problem yang akhirnya menimbulkan kehilangan waktu kerja .
aktu yang dibutuhkan untuk SISTEM DAN R13
INFRASTRUKTUR
Koneksi jaringan yang buruk Pengguna mengalami mengakses sistem.
R14
Kerusakan peralatan jaringan Pengguna tidak dapat mengakses R15
Database Server bermasalah Pengguna tidak dapat mengakses R16
Kehilangan data
Data perusahaan yang hilang
R17
Suhu ruang terlalu panas Hardware stuck, respon sistem lambat bahkan mungkin sistem tak dapat R18 Backup data bermasalah Tak ada data kehilangan data.
R19
Kesalahan sistem Pengguna tidak dapat mengakses R20 Tidak ada daya listrik Pengguna tidak dapat mengakses Potensi Sumber: Data primer dari observasi .
Analisis Resiko Pemeriksaan dampak peristiwa risiko pada hasil tujuan tertentu.
Analisis dampak risiko dilakukan secara kualitatif dan kuantitatif.
Setiap ancaman, resiko dan kemungkinan dinilai.
Berikut tabel kriteria kemungkinan .
atau frekuensi kemungkinan risiko yang terjadi.
Tabel 4.
Tabel Kriteria Kemungkinan (Likelihoo.
Likelihood Deskripsi Frekuensi Kejadian Skor Kriteria Rare Risiko tidak pernah terjadi > 2 tahun Unlikely Risiko jarang terjadi 1 Ae 2 tahun Possible Tidak sering 7 Ae 12 bulan Likely Sering terjadi 4 Ae 6 bulan Certain Pasti terjadi 1 Ae 3 bulan Sumber: Data primer dari observasi .
2023 | Jurnal Ilmu Siber dan Teknologi Digital/ Vol 2 No 1, 61-73 Selanjutnya, nilai dari setiap dampak risiko yang terjadi ditentukan.
Hal ini dapat dilihat dari tabel dampak yang terdiri dari risiko yang mungkin terjadi.
Pada tabel Evaluasi Dampak digabungkan menjadi 5 kriteria dan dampak tersebut dinilai berdasarkan pada tidak berpengaruh hingga dampak yang sangat berpengaruh.
Tabel 5.
Kriteria Dampak dan Skor Impact (Dampa.
Deskripsi Skor Impact Level Not Significant (Tidak tidak berdampak langsung pada operasi bisnis Minor (Keci.
mungkin termasuk kerusakan fitur yang tidak kritis atau keluhan pengguna dengan prioritas Moderate (Sedan.
dapat memengaruhi fungsi non-kritis atau Major Dampak yang signifikan dan mengganggu kegiatan bisnis.
Hal ini dapat mencakup gangguan sistem parsial atau memengaruhi fungsi penting.
Severe secara signifikan berdampak pada operasi bisnis, menyebabkan waktu henti yang lama, atau mengakibatkan kerugian finansial yang Sumber: Data primer dari observasi .
Selanjutnya, setelah mendapatkan kriteria dari frekuensi kejadian pada tabel 4 dan kriteria dampak pada tabel 5, kemudian dilakukan penilaian risiko yang mungkin terjadi terhadap frekuensi kejadian dan kriteria dampak yang akan terjadi.
Tabel 6.
Penilaian Kemungkinan dan Dampak Possible Risk
Likelihood
Impact
R01
Banjir
R02
Kebakaran R03
Gempa bumi
R04
Hujan badai R05
Kesalahan Manusia
R06
Penyalahgunaan hak akses R07
Pencurian dan Kebocoran Data
R08
Perangkat keras pencurian R09
Peretasan 2023 | Jurnal Ilmu Siber dan Teknologi Digital/ Vol 2 No 1, 61-73
R10
Antarmuka Pengguna yang sulit untuk dipahami R11
Kerusakan pada fasilitas R12
Karyawan baru yang masih awam dengan sistem
R13
Koneksi jaringan yang R14
Kerusakan peralatan R15
Database Server
R16
Kehilangan data
R17
Suhu ruang terlalu panas R18
Backup data bermasalah R19
Kesalahan sistem
R20
Tidak ada daya listrik Sumber: Data primer dari observasi .
Pada tabel 6, nilai dari setiap risiko yang mungkin terjadi telah ditentukan dalam tabel frekuensi kejadian dan tabel kriteria dampak.
Evaluasi Resiko Pada langkah ini, kita membandingkan hasil analisis risiko dengan kriteria risiko untuk menentukan apakah risiko residual masih dapat ditoleransi.
Sehingga melalui evaluasi ini, hasilnya akan dikelompokkan ke dalam matriks evaluasi risiko sesuai dengan 3 level, yaitu rendah, sedang, dan tinggi.
Tabel 7.
Matriks Evaluasi Risiko Likelihood Impact (Dampa.
Not Minor Moderate Major Severe Certain Sedang Sedang Tinggi Tinggi Tinggi Likely Sedang Sedang Sedang Tinggi Tinggi Possible Rendah Sedang Sedang Sedang Tinggi Unlikely Rendah Rendah Sedang Sedang Sedang Rare Rendah Rendah Rendah Sedang Sedang Sumber: Data primer dari observasi .
2023 | Jurnal Ilmu Siber dan Teknologi Digital/ Vol 2 No 1, 61-73 Selanjutnya, setiap risiko yang mungkin terjadi dimasukkan ke dalam matriks penilaian risiko sesuai dengan kriteria frekuensi kejadian dengan kriteria dampak.
Hasil disajikan dalam table 8 berikut.
Tabel 8.
Matriks Evaluasi Risiko Berdasarkan Kemungkinan dan Dampak Likelihood Impact (Dampa.
Certain
Likely Possible Unlikely Rare
Not Minor
Moderate Major Severe R17
R12
R05
R13
R15
R20
R19
R02
R06
R04
R14
R07
R18
R08
R09
R11
R01
R16
R10
R03
Sumber: Data primer dari observasi .
Pada tahap selanjutnya, matriks risiko dijabarkan ke dalam bentuk tabel yang telah diurutkan berdasarkan level Tinggi.
Sedang, dan Rendah.
Hasil disajikan dalam table 9 berikut.
Tabel 9.
Pengelompokan Risiko Berdasarkan Tingkatan Likelihood Impact
Tingkat Resiko
Possible Risk
R13
Koneksi jaringan yang Tinggi R15 Database Server bermasalah Tinggi R01 Banjir Sedang R03 Gempa bumi Sedang R04 Hujan badai Sedang R05 Kesalahan Manusia Sedang R12 Karyawan baru yang masih awam dengan sistem Sedang R14 Kerusakan peralatan Sedang R16 Kehilangan data Sedang R17 Suhu ruang terlalu panas Sedang R19 Kesalahan sistem Sedang R20 Tidak ada daya listrik Sedang R02 Kebakaran Rendah R06 Penyalahgunaan hak akses Rendah R07 Pencurian dan Kebocoran Rendah 2023 | Jurnal Ilmu Siber dan Teknologi Digital/ Vol 2 No 1, 61-73 Data R08 Pencurian Perangkat keras Rendah R09 Peretasan Rendah Rendah R11 Kerusakan pada fasilitas Rendah R18 Backup data bermasalah Sumber: Data primer dari observasi .
Rendah
R10
Antarmuka Pengguna yang sulit untuk dipahami Tahap evaluasi ini menemukan beberapa kemungkinan risiko yang masuk dalam klasifikasi tertentu sesuai tingkat risiko, yaitu 2 potensi risiko, yaitu: R013 dan R015.
Selain itu, beberapa risiko juga diklasifikasikan ke dalam tingkat risiko yang memiliki level medium .
yaitu 10, yaitu: R001.
R003.
R004.
R005.
R012.
R014.
R016.
R017.
R020 dan R019.
Sedangkan, potensi risiko yang tergolong pada tingkat level low .
ada 8, yaitu: R002.
R006.
R007.
R008.
R009.
R010.
R011, dan R018.
Penanganan Resiko Setelah tahap penilaian risiko selesai dilakukan, proses selanjutnya adalah Penanganan risiko .
isk Tujuan dari penanganan risiko adalah untuk mengelola signifikansi risiko pada aplikasi CMS, dengan menangani likelihood .
atau impact .
atau keduanya.
Untuk setiap risiko tingkat Tinggi.
Sedang atau Rendah, maka satu atau beberapa tindakan penanganan risiko akan Tabel 10.
Penanganan Risiko
Tingkat Tindakan Terhadap Resiko
Resiko
Possible Risk
R13
Koneksi jaringan yang Tinggi Pemeriksaan unjuk kerja semua perangkat jaringan, ganti perangkat jika diperlukan.
Termasuk review konfigurasi perangkat, khususnya DNS.
Routing R15 Database Server Tinggi Pemeriksaan database, web server.
R01
Banjir Sedang Menempatkan alat-alat infrastruktur di tempat yang aman R03 Gempa bumi Sedang Menyediakan backup sistem di kota lain.
R04
Hujan badai Sedang Memperkuat dinding bangunan menyediakan penangkal petir
R05
Kesalahan Manusia Sedang Mengadakan R12 Karyawan baru yang masih awam dengan Sedang Membuat panduan .
ser guid.
dan pelatihan dan pengetahuan kepada karyawan baru R14
Kerusakan peralatan Sedang Menyediakan perangkat cadangan R16
Kehilangan data
Sedang Pemeriksaan dan backup data secara R17
Suhu ruang terlalu Sedang Pemasangan air conditioning (AC) & Alat
2023 | Jurnal Ilmu Siber dan Teknologi Digital/ Vol 2 No 1, 61-73
panas pengukur suhu
R19
Kesalahan sistem Sedang Monitoring sistem .
esources, log fil.
secara berkala, update software sistem secara rutin.
R20
Tidak ada daya listrik Sedang Menyediakan backup power listrik/ genset Rendah Menyediakan alat pemadam kebakaran.
Rendah Memberikan batasan akses atau session login untuk setiap pengguna.
Penggunaan OTP (One Time Passwor.
R02
Kebakaran R06
Penyalahgunaan hak
R07
Pencurian dan Kebocoran Data Rendah Pengamanan komunikasi data dengan beberapa teknik, seperti penggunaan protocol https daripada http, certificate SSL.
VPN, point to point, enkripsi data.
R08
Pencurian Perangkat
Rendah
Penggunaan CCTV
R09
Peretasan Rendah Penerapan keamanan jaringan (Update sistem operasi & software lain, firewall, strength password, validasi input form di aplikasi dan lainny.
R10 Antarmuka Pengguna yang sulit untuk Rendah Modifikasi user interface R11 Kerusakan pada Rendah Berikan aturan untuk tidak melakukan kerusakan fasilitas R18 Backup data Rendah Lakukan backup data dan pantau hasil backup untuk memastikan proses backup Sumber: Data primer dari observasi .
Tabel 10 di atas merupakan rekomendasi penanganan risiko untuk meminimalisir kemungkinan terjadinya risiko pada aplikasi CMS di PT.
SCN
Kesimpulan Penelitian manajemen risiko SI/TI menggunakan ISO31000:2018 pada aplikasi CMS.
Penelitian melalui beberapa tahapan, dari tahapan risk assessment hingga tahapan risk treatment.
Hasil penelitian .
Ada 20 risiko yang mungkin terjadi, dimana mereka dapat mengganggu kinerja aplikasi CMS dan aktifitas bisnis.
Ada 2 kemungkinan resiko yang memiliki tingkat tinggi, yaitu koneksi jaringan buruk, dan software server bermasalah.
Ada 10 kemungkinan risiko yang memiliki tingkat sedang, yaitu banjir, kebakaran, petir, kesalahan manusia, dan beberapa potensi risiko lainnya.
Ada 8 kemungkinan risiko yang memiliki tingkat rendah, yaitu gempa bumi, penyalahgunaan hak akses, pencurian data, pencurian perangkat keras, peretasan, antarmuka pengguna yang sulit dipahami, vandalisme, dan pencadangan masalah.
Selain itu, hasil penelitian memberikan berbagai rekomendasi risk action untuk masing-masing risiko yang mungkin terjadi.
Diharapkan penelitian dapat dijadikan pedoman bagi PT.
SCN untuk meminimalisir kemungkinan resiko yang dapat mengganggu kinerja aplikasi CMS dan aktifitas bisnis.
2023 | Jurnal Ilmu Siber dan Teknologi Digital/ Vol 2 No 1, 61-73
References