aplikasi manajemen risiko menggunakan...

APLIKASI MANAJEMEN RISIKO MENGGUNAKAN METODE

OPERATIONALLY CRITICAL THREAT, ASSET, AND VULNERABILITY

EVALUATION DAN FAILURE MODE AND EFFECTS ANALYSIS BERBASIS

ISO 31000:2009 UNTUK MEMBANTU MEMBUAT PROFIL RISIKO

PERUSAHAAN

Skripsi

Oleh

CINDY RAHAYU

NIM : 11140910000079

PROGRAM STUDI TEKNIK INFORMATIKA

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGRI SYARIF HIDAYATULLAH

JAKARTA

2018 M/1440 H

ii

LEMBAR PERSETUJUAN

iii

LEMBAR PENGESAHAN

iv

PERNYATAAN ORISINALITAS

v

PERNYATAAN PERSETUJUAN PUBLIKASI SKRIPSI

vi

Penulis : Cindy Rahayu

Program Studi : Teknik Informatika

Judul :Aplikasi Manajemen Risiko Menggunakan Metode

Operationally Critical Threat, Asset And Vulnerability Evaluations dan Failure Mode and Effect Analysis berbasis ISO

31000:2009 Untuk Membantu Membuat Profil Risiko Perusahaan.

ABSTRAK

Setiap organisasi memiliki proses bisnis yang harus dijaga keberlangsungannya,

untuk dapat menjaga kelangsungan bisnis dari gangguan yang disebabkan oleh

risiko organisasi, diperlukan sebuah sistem pengelolaan risiko dengan baik yang

sangat berpengaruh terhadap proses bisnis perusahaan. Manajemen risiko adalah suatu

upaya atau kegiatan yang terkoordinasi untuk mengarahakan dan mengendalikan

kegiatan perusahaan terhadap berbagai kemungkinan risiko yang ada. Metode

penelitian yang digunakan adalah Octave untuk mengelola risiko aset TI dan FMEA

untuk melakukan penilaian terhadap masing-masing risiko, yang kemudian diranking

berdasarkan prioritasnya. Dari hasil penelitian didapatkan profil dari Nilai Prioritas

Risiko (RPN). Sehingga organisasi dapat melakukan pencegahan, penanganan serta

perbaikan untuk ke depannya sesuai dengan tingkat prioritas risiko.

Kata kunci : Manajemen risiko, OCTAVE, FMEA, ISO 31000:2009

vii

Name : Cindy Rahayu

Study Program : Informatic Engineering

Tiltle :Applications Risk Management Using Method

Operationally Critical Threat, Asset And Vulnerability

Evaluations And Failure Mode and Effect Analysis Based on

ISO 31000:2009 To Help Make Company Risk Profiles.

ABSTRACT

Every organization has a business process that must be maintained, to be able to

maintain business continuity from disruptions caused by organizational risk, a good

risk management system is needed that greatly influences the company's business

processes. Risk management is a coordinated effort or activity to lead and control the

activities of the company against various possible risks. The research method used is

OCTAVE to manage the risk of IT and FMEA assets to assess each risk, which is then

ranked based on its priorities. From the results of the study obtained a profile of the

Priority Risk Value (RPN). So that the organization can carry out prevention, handling

and improvement for the future in accordance with the priority level of risk.

Keywords : Risk Management, OCTAVE, FMEA, ISO 31000:2009

viii

KATA PENGANTAR

Bismillahirrohmanirrohim …

Puji syukur penulis panjatkan kehadirat Allah SWT yang telah

melimpahkan rahmat, taufik serta hidayah-Nya sehingga penulis dapat

melaksanakan dan menyelesaikan tugas akhir skripsi ini dengan baik yang

merupakan salah satu syarat untuk memperoleh gelar kesarjanaan Strata Satu (S1) bagi

mahasiswa UIN Syarif Hidayatullah Jakarta, Program Studi Teknik Informatika,

Fakultas Sains dan Teknologi.

Penulis ingin mengucapkan banyak terima kasih kepada pihak-pihak terkait

lainnya yang telah banyak membimbing penulis dalam melakukan penulisan skripsi

ini, karena tanpa bimbingan dan dorongan dari semua pihak, maka penulisan

laporan ini tidak akan berjalan dengan lancar. Selanjutnya penulis menyampaikan

ucapan terima kasih kepada:

1. Allah subhanahu wa ta’ala

2. Orang tua dan keluarga tercinta yang telah memberi dorongan dan

dukungan baik moril maupun materil kepada penulis.

3. Bapak Dr. Agus Salim, M.Si selaku Dekan Fakultas Sains dan Teknologi.

4. Ibu Arini, MT selaku Ketua Program Studi Teknik Informatika.

5. Bapak Feri Fahrianto, M.Sc selaku Sekretaris Program Studi Teknik

Informatika.

6. Bapak Husni Teja Sukmana, ST, MSc, Ph.D selaku dosen pembimbing

pertama, yang telah memberikan bantuan berupa bimbingan, arahan dan

motivasi kepada penulis dalam menyelesaikan skripsi.

7. Bapak Rayi Pradono Iswara, M.Sc selaku dosen pembimbing kedua, yang

telah memberikan bantuan berupa bimbingan, arahan dan motivasi kepada

penulis dalam menyelesaikan skripsi.

8. Bapak Nasrul Hakiem selaku Kepala PUSTIPANDA yang telah

memberikan izin untuk pengujian aplikasi di Pustipanda.

ix

9. Seluruh dosen dan staf karyawan Fakultas Sains dan Teknologi yang telah

memberikan ilmu, bantuan dan kerjasama dari awal perkuliahan

berlangsung.

10. Teman-teman mahasiswa Teknik Informatika khususnya angkatan 2014

TIA, TI-B, dan TI-C yang telah menemani kegiatan perkuliahan selama ini.

11. “Teh Poci”, teman suka duka yang selalu menemani dan menjadi tempat

curhat selama kuliah, Febri, Mia, Ivan, Mufid dan Rois.

12. Temen seperjuangan skripsi Mawar dan Awliya yang membantu dalam

penulisan skripsi.

13. Kaka kelas yang turut membantu menemukan buku referensi Kak Ali, Kak

Kamal yang turut membantu dalam perihal materi manajemen risiko dan

adik kelas Kelvin yang turut membantu dalam perihal pengkodingan

aplikasi.

Serta semua pihak tidak dapat disebutkan satu persatu sehingga terwujudnya

penulisan ini. Penulis menyadari bahwa penulisan skripsi ini masih jauh dari

sempurna, untuk itu penulis mohon saran yang bersifat membangun untuk

penulis.Akhir kata semoga laporan skripsi ini dapat berguna bagi penulis khususnya

dan bagi para pembaca yang berniat pada umumnya.

Jakarta, 10 Oktober 2018

Penulis

Cindy Rahayu

x

DAFTAR ISI

LEMBAR PERSETUJUAN...........................................................................................ii

LEMBAR PENGESAHAN........................................................................................... iii

PERNYATAAN ORISINALITAS ...............................................................................iv

PERNYATAAN PERSETUJUAN PUBLIKASI SKRIPSI ......................................... v

ABSTRAK ....................................................................................................................vi

ABSTRACT ................................................................................................................. vii

KATA PENGANTAR................................................................................................. viii

DAFTAR ISI ................................................................................................................. x

DAFTAR GAMBAR ...................................................................................................xv

DAFTAR TABEL ...................................................................................................... xvii

BAB I PENDAHULUAN ............................................................................................. 1

1.1 Latar Belakang..................................................................................................... 1

1.2 Rumusan Masalah ............................................................................................... 4

1.3 Batasan Masalah .................................................................................................. 4

1.4 Tujuan Penelitian ................................................................................................. 4

1.5 Manfaat Penelitian ............................................................................................... 4

1.6 Metode Penelitian ................................................................................................ 5

1.6.1 Metode Pengumpulan Data ........................................................................... 5

1.6.2 Metode Pengembangan Sistem ..................................................................... 5

1.7 Sistematika Penulisan .......................................................................................... 5

BAB II LANDASAN TEORI ....................................................................................... 7

xi

2.1 Aplikasi................................................................................................................ 7

2.1.1 Pengertian Aplikasi ....................................................................................... 7

2.2 Web...................................................................................................................... 7

2.2.1 Pengertian Web ............................................................................................. 7

2.2.2 Aplikasi Berbasis Web.................................................................................. 8

2.3 Konsep Pemrograman Web ................................................................................. 9

2.3.6 Pengujian Blackbox .................................................................................... 10

2.4 Risiko................................................................................................................. 11

2.4.1 Definisi Risiko ............................................................................................ 11

2.4.2 Jenis-Jenis Risiko ........................................................................................ 12

2.4.3 Bentuk-Bentuk Risiko................................................................................. 13

2.4.4 Penanggulangan Risiko............................................................................... 15

2.5 Manajemen Risiko ............................................................................................. 15

2.5.1 Pengertian Manajemen Risiko .................................................................... 15

2.6 Manajemen Risiko Berbasis ISO 31000............................................................ 16

2.6.1 Prinsip Manajemen Risiko .......................................................................... 16

2.7 Kerangka Manajemen Risiko ............................................................................ 19

2.8 Proses Manajemen Risiko ................................................................................. 22

2.8.1 Penetapan konteks (Establishing Context).................................................. 23

2.8.2 Identifikasi risiko (risk identification) ........................................................ 24

2.8.3 Analisis Risiko ............................................................................................ 28

2.9 Manajemen Risiko Teknologi Informasi ........................................................... 28

2.10 OCTAVE ......................................................................................................... 29

xii

2.10.1 Fase 1: Membangun Profil Ancaman berdasarkan Aset ........................... 32

2.10.2 Fase 2: Mengidentifikasi Kerentanan Infrastruktur .................................. 33

2.10.3 Fase 3: Mengembangan Rencana dan Strategi Keamanan ....................... 34

2.11 Failure Mode and Effect Analysis (FMEA) .................................................... 35

2.11.1 Sejarah FMEA ....................................................................................... 35

2.11.2 Pengertian FMEA.................................................................................. 35

2.11.3 Penentuan Nilai Dampak (Severity: S) ................................................. 37

2.11.4 Penentuan Nilai Kemungkinan (Occurrence: O) .................................. 38

2.11.5 Penentuan Nilai Deteksi (Detection: D) ................................................ 39

2.11.6 Penentuan Level Risiko (Risk Priority Number)................................... 41

2.12 Profil Risiko.................................................................................................. 42

Studi Literatur Sejenis ............................................................................................. 43

BAB III METODOLOGI PENELITIAN.................................................................... 45

3.1 Metode Pengumpulan Data ............................................................................... 45

3.1.1 Studi Pustaka............................................................................................... 45

3.1.1 Wawancara.................................................................................................. 45

3.2 Metode Pengembangan Sistem.......................................................................... 45

3.3 Kerangka Berpikir ............................................................................................. 49

BAB IV ANALISIS DAN PERANCANGAN SISITEM........................................... 50

4.1 Requirement analysis......................................................................................... 50

4.1.1 Identifikasi masalah .................................................................................... 50

4.1.2 Sistem Yang Diusulkan............................................................................... 50

4.2 Design System.................................................................................................... 51

xiii

4.2.1 Use Case Diagram ...................................................................................... 51

4.2.2 Usecase Scenario ........................................................................................ 53

4.2.3 Activity Diagram ......................................................................................... 66

4.2.4 ERD (Entity Relationship Diagram)........................................................... 75

4.2.5 Sequence Diagram....................................................................................... 76

4.3 Perancangan Interface ....................................................................................... 85

4.4 Pengkodean...................................................................................................... 100

BAB V HASIL DAN PEMBAHASAN................................................................... 101

5.1 Implementasi .............................................................................................. 101

5.1.1 Tampilan Interface Login .................................................................... 101

5.1.2 Tampilan Management User ............................................................... 102

5.1.3 Tampilan Manajemen Jabatan............................................................. 103

5.1.4 Tampilan Daftar Kategori Aset Kritis ................................................. 104

5.1.5 Tampilan Daftar Aset Kritis ................................................................ 105

5.1.6 Tampilah Daftar Kebutuhan Keamanan Aset ..................................... 106

5.1.7 Tampilan Kategori Ancaman .............................................................. 107

5.1.8 Tampilan Identifikasi Ancaman .......................................................... 107

5.1.9 Tampilan Daftar Praktek Keamanan ................................................... 108

5.1.10 Tampilan Daftar Kelemahan Organisasi ............................................ 109

5.1.11 Tampilan Komponen Utama Aset ....................................................... 110

5.1.12 Tampilan Kemungkinan Ancaman Aset ............................................. 111

5.1.13 Tampilan Risk Register ....................................................................... 112

5.1.14 Tampilan Analisis Risiko .................................................................... 113

xiv

5.1.14 Tampilan Profil Risiko ........................................................................ 114

5.2 Pengujian Sistem ........................................................................................ 115

BAB VI PENUTUP ................................................................................................. 117

6.1 Kesimpulan ................................................................................................. 117

6.2 Saran ........................................................................................................... 118

DAFTAR PUSTAKA ............................................................................................... 119

LAMPIRAN .............................................................................................................. 121

xv

DAFTAR GAMBAR

Gambar 2.1 Kerangka Kerja Manajemen Risiko (ISO 31000:2009) .......................... 19

Gambar 2.2 Proses Penerapan Manajemen Risiko (IS0 31000:2009) ........................ 23

Gambar 2.3 Fase Octave ............................................................................................. 31

Gambar 2.4 Peta/Profil Risiko .................................................................................... 42

Gambar 3.1 Waterfall .................................................................................................. 46

Gambar 3.2 Kerangka Berfikiri................................................................................... 49

Gambar 4.1 Use Case Diagram Aplikasi Manajemen Risiko ..................................... 52

Gambar 4.2 Activity Diagram Login .......................................................................... 66

Gambar 4.3 Activity Diagram Data Use ..................................................................... 67

Gambar 4.4 Activity Diagram Manajemen Jabatan .................................................... 68

Gambar 4.5 Activity Diagram Kategori Ancaman...................................................... 69

Gambar 4.6 Activity Diagram Kategori Risiko .......................................................... 70

Gambar 4.7 Activity Diagram Identifikasi Risiko ...................................................... 71

Gambar 4.8 Activity Diagram Risk Register .............................................................. 72

Gambar 4.9 Activity Diagram Analisis Risiko ........................................................... 73

Gambar 4.10 Activity Diagram Lihat Profil Risiko .................................................... 74

Gambar 4.11 Entity Relationship Diagram (ERD) ..................................................... 75

Gambar 4.12 Sequence Diagram Login ...................................................................... 76

Gambar 4.13 Squence Diagram Manajemen Login .................................................... 77

Gambar 4.14 Sequence Diagram Manajemen Jabatan ................................................ 78

Gambar 4.15 Sequence Diagram Manajemen Kategori Risiko .................................. 79

Gambar 4 16 Squence Diagram Kategori Ancaman ................................................... 80

Gambar 4.17 Sequence Diagram Identifikasi Risiko ................................................. 81

Gambar 4.18 Sequence Diagram Analisis Risiko ....................................................... 82

Gambar 4.19 Sequence Diagram Lihat Identifikasi Risiko ......................................... 83

Gambar 4.20 Sequence Diagram Lihat Profil Risiko .................................................. 84

Gambar 4 21 Rancangan tampilan login ..................................................................... 85

Gambar 4.22 Rancangan Tampilan Manajemen Login User ...................................... 86

Gambar 4.23 Rancangan Tampilan Manajemen Jabatan User ................................... 87

Gambar 4 24 Rancangan Tampilan Kategori Aset...................................................... 88

Gambar 4.25 Rancangan Tampilan Aset Kritis .......................................................... 89

Gambar 4.26 Rancangan Tampilan Kebutuhan Keamanan ........................................ 90

Gambar 4.27 Rancangan Tampilan Kategori Ancaman.............................................. 91

Gambar 4.28 Rancangan Tampilan Identifikasi Ancaman ......................................... 92

xvi

Gambar 4.29 Rancangan Tampilan Praktek Keamanan.............................................. 93

Gambar 4.30 Rancangan Tampilan Form Kelemahan Organisasi .............................. 94

Gambar 4.31 Rancangan Tampilah Form Komponen Aset ........................................ 95

Gambar 4.32 Rancangan Tampilan Form Kemungkinan Ancaman ........................... 96

Gambar 4.33 Rancangan Tampilan Form Potential Cause ......................................... 97

Gambar 4.34 Rancaangan Tampilan Form Analisis Risiko ........................................ 98

Gambar 4.35 Rancangan Tampilan Profil Risiko ....................................................... 99

Gambar 4.36 ScreenShoot Pengkodean .................................................................... 100

Gambar 5.1 Tampilan Interface Login ...................................................................... 101

Gambar 5 2 Tampilan Form Management User........................................................ 102

Gambar 5.3 Tampilan Form Manajemen Jabatan ..................................................... 103

Gambar 5.4 Tampilan Form Kategori Aset Kritis..................................................... 104

Gambar 5.5 Tampilan Form Daftar Aset Kritis ........................................................ 105

Gambar 5.6 Tampilan Form Daftar Kebutuhan Keamanan Aset.............................. 106

Gambar 5.7 Tampilan Form Kategori Ancaman....................................................... 107

Gambar 5.8 Tampilan Form Identifikasi Ancaman .................................................. 107

Gambar 5.9 Tampilan Form Daftar Praktek Keamanan ........................................... 108

Gambar 5.10 Gambar Tampilan Form Kelemahan Organisasi................................. 109

Gambar 5.11 Tampilan Form Komponen Utama Aset ............................................. 110

Gambar 5. 12 Tampilan Form Kemungkinan Ancaman Aset................................... 111

Gambar 5.13 Tampilan Form Risk Register ............................................................. 112

Gambar 5.14 Tampilan Form Analisis Risiko .......................................................... 113

Gambar 5.15 Tampilan Profil Risiko ........................................................................ 114

xvii

DAFTAR TABEL

Tabel 2.1 Metode OCTAVE dan Output .................................................................... 34

Tabel 2.2 Nilai Dampak (Sumber:FMEA) .................................................................. 37

Tabel 2.3 Nilai Kemungkinan (Sumber: FMEA)........................................................ 38

Tabel 2.4 Nillai Deteksi (Sumber:FMEA) .................................................................. 40

Tabel 2.5 Level Risiko (Sumber:FMEA) .................................................................... 41

Tabel 2 6 Studi Literatur Sejenis................................................................................. 43

Tabel 4.1 Usecase Scenario Login .............................................................................. 53

Tabel 4.2 Usecase scenario Managemen Login .......................................................... 54

Tabel 4.3 Usecase scenario Management Jabatan ...................................................... 55

Tabel 4.4 Usecase Management Aset Kritis ............................................................... 56

Tabel 4.5 Usecase Manejemen identifikasi ancaman.................................................. 57

Tabel 4.6 Usecase Management Praktik Keamanan ................................................... 58

Tabel 4.7 Usecase Management Kelemahan Organisasi ............................................ 59

Tabel 4.8 Usecase Manajemen Komponen Aset......................................................... 60

Tabel 4.9 Usecase Management Kemungkinan Ancaman .......................................... 61

Tabel 4.10 Management Potensial Cause ................................................................... 62

Tabel 4.11 Identifikasi Risiko ..................................................................................... 63

Tabel 4.12 Usecase Analisis Risiko ............................................................................ 64

Tabel 4.13 Usecase Profil risiko ................................................................................. 65

1 UIN Syarif Hidayatullah Jakarta

BAB I

PENDAHULUAN

1.1 Latar Belakang

Risiko adalah kemungkinan terjadinya suatu kerugian yang tidak diduga atau tidak

diinginkan. Ketidak pastian atau kemungkinan terjadinya sesuatu yang apabila terjadi

mengakibatkan kerugian.

(sumber: CRMS Indonesia:2017)

Risiko Reputasi sebagai Risiko Terbesar 2017. Survey yang dilakukan oleh Forbes

bersama Deloitte Touche Tohmatsu Limited pada tahun 2013 bahkan telah menemukan

risiko reputasi sebagai risiko strategis paling penting dari 300 eksekutif yang disurvey.

Argumen ini juga didukung oleh penelitian dari World Economics yang menemukan

bahwa rata-rata 25% nilai pasar suatu perusahaan secara langsung berkaitan dengan

reputasinya. Selain berpengaruh langsung pada pendapatan dan nilai merk perusahaan,

risiko reputasi juga didorong oleh beberapa aspek risiko bisnis yang perlu dikelola

secara aktif. Beberapa risiko yang dianggap paling berkaitan dengan risiko reputasi

mencakup risiko etik dan integritas, risiko keamanan, risiko produk dan jasa, serta

risiko kerja sama dengan pihak ketiga. Menilai dampak dan kompleksitas

2

UIN Syarif Hidayatullah Jakarta

pengelolaannya, tidak mengherankan jika risiko ini dinilai sebagai risiko terbesar

perusahaan.

Menurut ISO 31000:2009, Manajemen risiko adalah suatu upaya atau kegiatan

yang terkoordinasi untuk mengarahkan dan mengendalikan kegiatan perusahaan

terhadap berbagai kemungkinan risiko yang ada. Hasil survey Central for Risk

Management Study (CRMS) 2017, menunjukkan bahwa manajemen risiko

dipersepsikan memiliki manfaat 360˚ bagi perusahaan. Hal ini dapat dilihat dari

indikator keempat perspektif yang menempati empat manfaat utama, yaitu peningkatan

kualitas pelayanan (68%, perspektif pelanggan), kinerja keuangan secara keseluruhan

(67%, perspektif finansial), efisiensi penggunaan sumber daya (66%, perspektif

internal bisnis), dan peningkatan kinerja pekerja (62%, perspektif pengembangan).

Kesadaran mengenai pentingnya manajemen risiko telah menghadirkan

berbagai macam standar mengenai manajemen risiko di berbagai negara, seperti di

Australia dan New Zealand AS/NZS 4360:2004; Canada CAN/CSA Q850:97; Jepang

JIS Q2001; Amerika Serikat NFPA 1600 dan COSO-ERM Integrated Framework;

United Kingdom BS 6079-3:2000, ISO 31000 Risk Management – Guideline on

participles and implementation of risk management. Penulis memilih menggunakan

standar ISO 31000:2009 karena standar ini dapat diterapkan dalam perusahaan di

industri apapun dan dimanapun (Cintya, 2014). Keunggulan ISO 31000 yang

diutarakan oleh Kusuma (2014) dalam Center for Risk Management Studies (CRMS),

yakni standar ini memberikan keunggulan esensial dalam memandu secara detail dan

komprehensif. Selain hal tersebut, terdapat pula keunggulan kompetitif yakni adanya

prinsip manajemen risiko, penetapan konteks eksternal, dan pemisahan kerangka kerja

dengan proses manajemen risiko. Sebagai bukti bahwa ISO 31000 layak untuk diadopsi

adalah dengan adanya pengakuan oleh 40 negara di dunia, termasuk Indonesia.

Sistem assessment management risiko merupakan suatu sistem yang dalam

kegiatan berkaitan dengan orang-orang, fasilitas, teknologi, media, prosedur-

3


prosedur dan pengendalian. Sistem assessment management risiko yang baik terkait

dalam proses pengolahan, penyimpanan, penyajian data dan sampai kepada siapa

informasi dan laporan tersebut diberikan secara real time, sehingga mampu

memberikan suatu informasi yang bermanfaat bagi perusahaan (Soleh & Venny,

2016)

Pada saat ini penerapan manajemen risiko pada perusahaan masih sedikit yang

menggunakan sebuah sistem aplikasi dan kebanyakan masih menggunakan metode

manual/semi komputerisasi, dimana pemilik risiko menulis dikertas atau mengetik

di excel dalam memberikan data potensi risiko sehingga membutuhkan waktu yang

cukup lama dalam mengklasifisikan risiko-risiko yang ada. Adapun aplikasi

manajemen risiko saat ini tetapi metode yang digunakannya hanya satu dan menjadi

tidak akurat hasilnya. Untuk mengatasi masalah tersebut maka dibutuhkan sebuah

sistem atau aplikasi dengan mengunakan konsep yang baik yang mampu membantu

setiap individu atau organisasi untuk mengukur nilai risiko dan profil risiko perusahaan

Pada penelitian yang berjudul “Aplikasi Assessment Manajemen Risiko

Berbasis ISO 31000:2009 Untuk Membangun Awerness Pemilik Risiko” oleh Soleh

dan Gunawan (2016) memiliki kelemahan yaitu hanya menggunakan standar

manajemen risiko dan tidak memakai metode lain untuk menganalisis risiko.

Sementara itu, penelitian yang berjudul “Strategi Mitigasi Risiko Aset Kritis Teknologi

Informasi Menggunakan Metode Octave Dan FMEA” oleh Avina dan Yupie (2017)

memiliki kelemahan yaitu masih menggunakan sistem manual tidak diterapkan

kedalam aplikasi. Dan pada penelitian yang berjudul “Aplikasi Manajemen Risiko

Untuk Membantu Mengambil Keputusan Menggunakan Metode Descision Table

Berbasis Web” oleh Dihin dan Muriyatmoko (2016) memiliki kelemahan ke akuratan

aplikasi ini hanya 50 % dalam pengambilan keputusan.

Berdasarkan uraian diatas, maka penulis tertarik untuk melakukan penelitian

dengan judul “Aplikasi Manajemen Risiko Menggunakan Metode OCTAVE dan

4


FMEA Berbasis ISO 31000:2009 Untuk Membantu Membuat Profil Risiko

Perusahaan”

1.2 Rumusan Masalah

Rumusan masalah dalam penelitian ini adalah bagaimana membangun aplikasi

manajemen risiko menggunakan metode OCTAVE dan FMEA berbasis ISO

31000:2009 untuk membantu membuat profil risiko perusahaan?

1.3 Batasan Masalah

1. Aplikasi ini berbasis web PHP MySQL.

2. Aplikasi ini bisa digunakan untuk umum bisa dipakai diperusahaan manasaja.

3. Aplikasi ini difokuskan untuk mengukur risiko aset perusahaan.

4. Aplikasi ini menggunakan metode OCTAVE untuk mengidentifikasi risiko dan

menggunakan metode FMEA untuk menganalisis risiko.

5. Aplikasi ini dibuat sampai tahap analisis risiko.

6. Aplikasi ini hanya melakukan simulasi terkait di Pustipanda

7. Penelitian ini tidak menggunakan studi kasus dari Pustipanda.

8. Output aplikasi ini visualisasi profil risiko perusahaan.

1.4 Tujuan Penelitian

Tujuan dalam penelitian ini adalah membangun aplikasi manajemen risiko

menggunakan metode OCTAVE dan FMEA berbasis ISO 31000:2009 untuk

membantu membuat profil risiko perusahaan.

1.5 Manfaat Penelitian

1. Dengan adanya Aplikasi manajemen risiko ini dapat mempermudah pemilik

risiko untuk menyampaikan data potensi risiko.

2. Dengan adanya aplikasi manajemen risiko memberikan kemudahan untuk

perusahaan dalam membantu membuat profil risiko.

3. Memberikan pengetahuan tentang pengukuran risiko terhadap perusahaan atau

organisasi.

5


4. Sebagai referensi dan penilitian selanjutnya.

1.6 Metode Penelitian

Metode penelitian yang penulis gunakan meliputi:

1.6.1 Metode Pengumpulan Data

Metode pengumpulan data yang penulis lakukan dalam penelitian ini,

diantaranya:

1.6.1.1 Studi Pustaka

1.6.1.2 Wawancara

1.6.1.3 Studi Literatur Sejenis

1.6.2 Metode Pengembangan Sistem

Metode pengembangan sistem yang digunakan dalam pembuatan aplikasi ini

adalah metode berorientasi objek dengan model waterfall. Model waterfall

melakukan pendekatan secara sistematis dan berurutan mulai dari level

kebutuhan sistem kemudian ke tahap analisis, desain, pengkodean, pengujian,

dan maintance. Sedangkan untuk perancangan sistem menggunakan tools unified

model language (UML).

1.7 Sistematika Penulisan

Sistematika penulisan yang digunakan dalam penelitian ini adalah sebagai berikut:

BAB I PENDAHULUAN

Pada bab ini penulis menjelaskan tentang latar belakang pemilihan

judul, rumusan masalah, batasan masalah, tujuan penelitian, manfaat

penelitian, metodologi penelitian, dan sistematika penulisan.

6


BAB II TINJAUAN PUSTAKA DAN LANDASAN TEORI

Pada bab ini penulis menjelaskan tentang landasan-landasan teori yang

digunakan dan berkaitan dengan penelitian.

BAB III METODOLOGI PENELITIAN

Pada bab ini penulis menjelaskan tentang metode penelitian yang

digunakan serta langkah-langkah yang dilakukan dalam penelitian ini.

BAB IV ANALISIS DAN PERANCANGAN SISTEM

Pada bab ini berisi analisis manajemen risiko menggunakan metode

Failure Mode and Effect Analysis (FMEA) dan perancangan sistem

yang akan dibangun, baik perancangan data maupun perancangan

proses yang akan menjadi modul-modul sebagai dasar dari kode

program yang akan dibangun.

BAB V HASIL DAN PEMBAHASAN

Bab ini berisi uraian mengenai proses pengujian sistem serta penjelasan

hasil yang didapat setelah pengujian.

BAB VI PENUTUP

Bab ini berisi uraian mengenai kesimpulan yang didapatkan dari

hasil penelitian serta saran yang dapat digunakan untuk

pengembangan penelitian di masa mendatang.


BAB II

LANDASAN TEORI

2.1 Aplikasi

2.1.1 Pengertian Aplikasi

Aplikasi adalah intruksi-intruksi yang di eksekusi untuk menyediakan fungsi-

fungsi tertentu. Aplikasi merupakan sebuah produk yang dikembangkan oleh

pengembang perangkat lunak (Software engineer) yang mencangkup program yang

dapat dieksekusi oleh komputer dengan berbagai ukuran dan arsitektur (Pressman,

2002).

Komputer kaitannya dengan aplikasi terdiri dari beberapa unit fungsional

untuk mencapai tujuan pengolahan data yaitu:

1. Bagian yang membaca data

2. Bagian yang mengelola data

3. Bagian yang mengeluarkan hasil pengolahan data

2.2 Web

2.2.1 Pengertian Web

Web adalah sebuah sistem dimana informasi dalam bentuk teks, gambar,

suara, dan lainnya yang tersimpan dalam sebuah internet web server yang

ditampilkan dalam bentuk hypertext. Informasi dalam bentuk teks di web ditulis

dalam format HTML (Budiyanto, 2013).

Secara umum, untuk menjelajah internet (Browsing/Surfing), harus diketahui

alamat yang dituju. Aturan penulisan alamat tersebut adalah: protocol (http://),

domain (www.uinjkt.ac.id), directory (/assisten/), nama halaman (personel.html)

(Budiyanto, 2013).

http://www.uinjkt.ac.id/

8


2.2.2 Aplikasi Berbasis Web

Aplikasi Berbasis Web (web base aplication) adalah aplikasi yang dapat

dijalankan langsung melalui web browser yang bisa menggunakan internet

ataupun intranet dan tidak tergantung pada sistem operasi yang digunakan.

Unsur-unsur dalam web adalah sebagai berikut:

1. Internet

Internet merupakan kepanjangan dari Interconnection Networking.

Internet merupakan rangkaian jaringan terbesar di dunia dimana semua

jaringan yang berada pada semua organisasi dihubungkan dengan suatu

jaringan terbesar melalui telpon, satelit dan sistem-sistem komunikasi yang

lain sehingga dapat saling berkomunikasi (Mulyanto, 2015).

Untuk dapat bertukar informasi, digunakan protocol standar yaitu

Transmision Control Protocol yang lebih dikenal sebagai TCP/IP. Sedangkan

intranet merupakan jaringan komputer di dalam suatu organisasi yang

menggunakan teknologi internrt sehingga saling berbagi informasi.

Komunikasi, kerja sama dan dukungan bagi proses bisnis.

2. Nama Domain / URL

Nama domain atau URL adalah alamat unik di dunia internet yang

digunakan untuk mengidentifikasi sebuah website. Nama domain

memudahkan user dalam mengingat alamat IP. Layanan yang bertugas

menerjemahkan alamat IP ke sebuah nama domain adalah DNS (Domain

Name Service).

3. Web Browser

Web browser merupakan aplikasi di pihak client yang berfungsi

menerjemahkan dan menampilkan informasi dari server secara grafis kepada

client.

4. Web Server

9


Sebuah komputer (server) dan software yang menyimpan dan

mendistribusikan data komputer lainnya melalui jaringan internet.

5. Web Hosting

Web hosting yaitu sebagai ruangan yang terdapat dalam harddisk

tempat menyimpaan berbagai data, file-file, gambar, dan lain-lain yang akan

ditempatkan di website.

Aplikasi berbasis web memiliki kelebihan sebgai beerikut:

a. Platform Independent yaitu aplikasi dapat dijalankaan diberbagai

system operasi seperti Windows, Linux, Mac OS.

b. Disetiap komputer, cukup copy script programnya ke server atau

salah satu komputer. Untuk komputer lain yang ingin menjalankan

program cukup membuka alamat host server dimana program di

simpan melalui browser.

c. Dapat diakses kapan pun dan dimana pun selama terkoneksi

internet.

2.3 Konsep Pemrograman Web

Web merupakan fasilitas hyper teks untuk menampilkan data berupa teks,

gambar, suara, animasi dan data multimedia lainnya. PHP merupakan salah satu script

(perintah-perintah program server slide yang sangat popular diterapkan dalam sebuah

situs web). Situs atau web di kategorikan menjadi dua yaitu:

1. Web Statis

Web statis adalah web yang berisi atau menampilkan informasi-

informasi yang sifatnya statis (tetap). Disebut statis karena pengguna tidak

dapat berinteraksi dengan web tersebut. Singkatnya, untuk mengetahui web

bersifat statis atau dinamis dapat dilihat dari tampilannya. Jika suatu web hanya

berhubungan dengan halaman web lain dan berisi suatu informasi tetap maka

web tersebut adalah web statis.

10


Pada web statis, pengguna hanya dapat melihat isi dokumen pada

halaman web dan apabila di klik akan perpindah ke halaman web lain. Interaksi

pengguna hanya terbatas pada melihat informasi yang ditampilkan, tetapi tidak

dapat mengolah informasi yang dihasilkan. Web statis biasanya merupakan

HTML yang ditulis pada editor teks dan disimpan dalam bentul .html atau .htm.

2. Web dinamis

Web dinamis adalah web yang menampilkan informasi serta dapat

berinteraksi dengan pengguna. Web dinamis memungkinkan pengguna untuk

berinteraksi menggunakan form sehingga dapat mengolah informasi yang

ditampilkn. Web dinamis bersifat interaksi, tidak kaku dan terlihat lebih indah

(Raharjo, 2016).

2.3.6 Pengujian Blackbox

Pengujian blackbox adalah tipe pengujian perangkat lunak dengan

memperlakukan perangkat lunak yang tidak diketauhi kinerja internalnya. Jenis

pengujian ini hanya memandang perangkat lunak dari sisi dan kebutuhan yang telah

didefinisikan pada saat awal perancangan (Soetam Rizky, 2011)

Black Box testing memfokuskan pada kebutuhan fungsional dari software. Hal

ini berarti bahwa pengujian ini memperbolehkan software engineeer menurunkan

sejumlah input yang ditunjukan untuk menguji kebutuhan fungsional dari program

tesebut. Pengujian ini berusaha menemukan error dengan kategori sebagai berikut:

1) Fungsi yang salah atau hilang.

2) Kesalahan antarmuka, struktur data atau pengaksesan data eksternal, unjuk

kerja, inisialisasi dan penghentian.

Tidak seperti pengujian white box yang dilakukan pada awal proses, pengujian

black box diterapkan pada akhir tahapan proses pengujian. Hal ini dikarenakan

pengujian ini tidak mementingkan struktur kontrol tapi lebih memfokuskan pada

domain informasi.

11


2.4 Risiko

2.4.1 Definisi Risiko

Risiko berhubungan dengan ketidak pastian, ini terjadi oleh karena kurang

atau tidak tersedianya cukup informasi tentang apa yang akan terjadi. Sesuatu yang

tidak pasti (uncertain) dapat berakibat menguntungkan atau merugikan. Menurut

Wideman (2016), ketidak pastian yang menimbulkan kemungkinan

menguntungkan dikenal dengan istilah peluang (opportunity), sedangkan ketidak

pastian yang menimbulkan akibat yang merugikan dikenal dengan istilah risiko

(risk). Secara umum risiko dapat diartikan sebagai suatu keadaan yang dihadapi

seseorang atau perusahaan dimana terdapat kemungkinan yang merugikan.

Menurut ISO 31000 : 2009, risiko adalah effect of uncertainty on objectives,

atau dapat dikatakan bahwa risiko adalah efek yang muncul akibat adanya

ketidakpastian dalam tujuan. Tujuan –tujuan bisa juga ditujukan untuk tujuan –

tujuan perusahaan maupun organisasi.

The International Standard Organization (dalam ISO Guide 73:2009 Risk

Management – Vocabulary) menjelaskan risiko sebagai dampak yang timbul dari

ketidak pastian dalam upaya mencapai objek. Risiko sering ditandai dengan

kejadian yang berpoteni muncul dan konsekuensi yang ditimbulkan, atau

kombinasi dari keduanya. Risiko juga sering digambarkan sebagai kombinasi dari

konsekuensi atas suatu kejadian (termasuk perubahan dalam suatu kondisi) dan

kemungkinan yang berhubungan dengan suatu kejadian. Resiko dapat berdampak

negatif dalam tujuan perusahaan, dan lebih jauh dapat menimbulkan terjadinya

kerugian atau ancaman bagi kelangsungan hidup perusahaan.

Menurut (The Internal Auditors, 2004) mendefinisikan risiko adalah

kemungkinan suatu peristiwa atau kejadian, atau akibat yang mungkin memberikan

dampak terhadap organisasi atau aktivitas yang di review. Dampak atas risiko

tersebut senantiasa mengarah pada suatu kerugian atau hal-hal buruk yang tidak

12


diinginkan oleh perusahaan, yang pada akhirnya dampak tersebut akan berimbas

pada terganggunya pencapaian tujuan perusahaan.

Peraturan Mentri Keuangan Nomor 142/PMK.010/2009 menjelaskan bahwa

risiko adalah potensi terjadinya suatu peristiwa yang dapat menimbulkan kerugian.

Sedangkan Selim dan McName (dikutip oleh Sarens, 2007) mendefinisikan risiko

sebagai sebuah konseep yang digunakan untuk menunjukan dampak dari ketidak

pastian mengenai suatu kejadian atau hasil yang ditimbulkan dari kejadian tersebut

yang memungkinkan terjadinya efek materialitas pada sasaran organisasi.

Menurut (Badan Sertifikasi Manejemen Risiko, 2005) risiko didefinisikan

sebagai “chance of bad outcome” atau suatu kemungkinan akan terjadi hasil yang

tidak diinginkan yang ddapat menimbulkan kerugian apabila tidak diantisipasi serta

dikelola dengan baik.

Pada dasarnya, definisi risiko mengarah pada suatu ketidakpastian atas

terjadinya peristiwa dalam periode waktu tertentu. Peristiwa tersebut menyebabkan

suatu kerugian baik kerugian kecil yang tidak berarti, maupun kerugian besar yang

berpengaruh terhadap keberlangsungan hidup suatu organisasi.

Secara umum, risiko dapat didefinisikan sebagai suatu keadaan yang dihadapi

oleh organisasi dengan kemungkinan yang merugikan. Sehingga dapat dikatakan

bahwa selama perusahaan mengalami kerugian wwalaupun sekecil apapun, hal

tersebut dianggap risiko.

2.4.2 Jenis-Jenis Risiko

Menurut Gondodiyoto (2009), risiko dapat dibedakan dalam beberapa jenis,

yaitu :

a) Risiko Bisnis (Business Risk)

Risiko bisnis adalah risiko yang dapat disebabkan oleh faktor-

faktor internal (permasalahan kepegawaian, berkaitan dengan

mesinmesin, dll) maupun eksternal (perubahan kondisi

13


perekonomian, tingkat kurs yang berubah mendadak, dll) yang

berakibat kemungkinan tidak tercapainya tujuan organisasi.

b) Risiko Bawaan (Inherent Risk)

Risiko bawaan adalah potensi kesalahan atau penyalahgunaan yang

melekat pada suatu kegiatan, jika tidak ada pengendalian internal.

Contohnya kegiatan kampus, jika tidak ada absensi akan banyak

mahasiswa yang tidak hadir.

c) Risiko Pengendalian (Control Risk)

Risiko pengendalian adalah masih adanya risko meskipun sudah ada

pengendalian. Contohnya meskipun sudah ada absensi tetapi tetap saja

ada beberapa mahasiswa yang menitipkan absen.

d) Risiko Deteksi (Detections Risk)

Risiko deteksi adalah risiko yang terjadi karena prosedur audit yang

dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup

atau materialitas atau adanya kemungkinan fraud.

e) Risiko Audit (Audit Risk)

Risiko audit adalah risiko bahwa hasil pemeriksaan auditor ternyata

belum mencerminkan keadaan sesungguhnya.

2.4.3 Bentuk-Bentuk Risiko

Menurut Djojo

soedarso (2015), risiko dapat dibedakan dengan berbagai macam cara antara

lain:

1. Menurut sifatnya risiko dapat dibedakan kedalam:

a. Risiko yang tidak disengaja (risiko murni), adalah risiko yang apabila

terjadi tentu menimbulkan kerugian dan terjadi tanpa disengaja;

misalnya risiko terjadinya kebakaran, bencana alam, pencurian,

penggelapan, pengacauan, dan sebagainya.

14


b. Risiko yang disengaja (risiko spekulatif), adalah risiko yang disengaja

ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian

memberikan keuntungan kepadanya, misalnya risiko utang piutang,

perjudian, dan sebagainya.

c. Risiko fundamental, adalah risiko yang penyebabnya tidak dapat

dilimpahkan kepada pihak lain dan yang menderita tidak hanya satu

atau beberapa orang saja, tetapi banyak orang, seperti banjir, angin

topan, dan sebagainya.

d. Risiko khusus, adalah risiko yang bersumber pada peristiwa yang

mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal

tenggelam, pesawat jatuh, tabrakan mobil, dan sebagainya.

e. Risiko dinamis, adalah risiko yang timbul karena perkembangan dan

kemajuan (dinamika) masyarakat dibidang ekonomi, ilmu dan teknologi,

seperti risiko keuangan dan risiko penerbangan ke luar angkasa.

Kebalikannya adalah risiko statis yaitu risiko yang selalu ada walaupun

tidak terjadi perubahan-perubahan keadaan, contohnya seperti risiko hari

tua dan juga risiko kematian.

2. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko

dapat dibedakan kedalam:

a. Risiko yang dapat dialihkan kepada pihak lain, dengan

mempertanggungkan suatu objek yang mana akan terkena risiko kepada

perusahaan asuransi, dengan membayar sejumlah premi asuransi.

b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat

diasuransikan), meliputi semua jenis risiko spekulatif.

3. Menurut sumber/penyebab timbulnya, risiko dapat dibedakan kedalam:

a. Risiko intern, yaitu risiko yang berasal dari dalam perusahaan itu

sendiri, seperti kerusakan aktiva karena ulah karyawan, kecelakaan

kerja, kesalahan manajemen dan sebagainya.

15


b. Risiko ekstern, yaitu risiko yang berasal dari luar perusahaan, seperti

risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan

kebijakan pemerintah, dan sebagainya.

2.4.4 Penanggulangan Risiko

Menurut Djojosoedarso (2015), upaya-upaya untuk menanggulangi risiko

harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimalisir.

Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara

yang dapat dilakukan perusahaan untuk meminimalisirrisiko kerugian, antara lain:

1. Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya

peristiwa yang menimbulkan kerugian.

2. Melakukan retensi, artinya mentolerir atau membiarkan terjadinya kerugian,

dan untuk mencegah terganggunya operasi perusahaan akibat kerugian

tersebut disediakan sejumlah dana untuk menanggulanginya.

3. Melakukan pengendalian terhadap risiko.

4. Mengalihkan atau memindahkan risiko kepada pihak lain.

2.5 Manajemen Risiko

2.5.1 Pengertian Manajemen Risiko

Menurut The Essential Handbook of Internal Auditing, K.H Spencer Pickett

(2005), “risk management is a dinamyc process for taking all reasonable steps to

find out and deal with risk that impact our objectives”.

Ditekankan bahwa manajemen risiko bukanlah suatu proses yang statis,

melainkan suatu proses yang dinamis mengikuti perkembangan untuk menghadapi

setiap risiko yang terjadi yang mempengaruhi pencapaian tujuan. Dengan kata lain,

selama aktivitas berlangsung maka aktivitas manajemen risiko juga senantiasa

berlangsung

16


Peraturan Menteri Keuangan Nomor 142/PMK.010/2009 menjelaskan

bahwa manajemen risiko adalah serangkaian prosedur dan metodologi yang

digunakan untuk mengidentifikasi, mengukur, memantau, dan mengendalikan

risiko yang timbul darikegiatan usaha. Redja (2008) mendefinisikan manajemen

risiko sebagai proses yang mengidentifikasi eksposur kerugian yang dihadapi oleh

14 organisasi dan memilih teknik yang paling sesuai dalam memperlakukan

eksposur tersebut.

2.6 Manajemen Risiko Berbasis ISO 31000

International Organization for Standardization (ISO) mengeluarkan framework

standar untuk mengelola risiko yaitu ISO 31000:2009 dengan judul “Risk

Management-Principles and Guidelines on Implementation”. Standar ini dikeluarkan

untuk membantu perusahaan dalam mengelola risiko. Karena sifatnya yang generik,

framework ini dapat diaplikasikan di berbagai jenis perusahaan, grup atau individu.

ISO 31000:2009 menyediakan panduan dalam mendesain, implementasi dan

memelihara proses pengelolaan risiko di dalam sebuah organisasi.

2.6.1 Prinsip Manajemen Risiko

Merujuk pada ISO 31000:2009 (ISO,2009) agar manajemen risiko dapat lebih

efektif maka perusahaan/ organisasi harus mematuhi prinsip-prinsip manajemen

risiko. Berikut merupakan prinsip-prinsip dari manajemen risiko (Susilo & Kaho,

2015):

1. Manajemen risiko melindungi dan menciptakan nilai tambah

Manajemen risiko memberikan konstribusi melalui peningkatan kemungkinan

pencapaian sasaran perusahaan secara nyata.Selain itu juga memberikan

perbaikan dalam aspek keselamatan, kesehatan kerja, kepatuhan terhadap

peraturan perundangan, perlindungan lingkungan hidup, persepsi public,

kualitas produk, reputasi, corporate governance, efisiensidan operasi.

2. Manajemen risiko adalah bagian terpadu dari proses organisasi

17


Manajemen risiko bukansuatu aktivitasyang berdirisendirinamun merupakan

bagian dari tanggungjawabmanajemen dan merupakan bagian

prosesorganisasi, termasuk perencanaan strategisdan proyek serta proses

perubahan manajemen.

3. Manajemen risiko adalah bagian dari proses pengambilan keputusan

Manajemen risiko membantu para pengambil keputusan untuk mengambil

keputusan atas dasar pilihan-pilahan yang tersedia dengan informasi yang

selengkap mungkin. Manajemen risiko dapat membantu menentukan prioritas

tindakan dan membedakan berbaagai alternatif tindakan. Manajemen risiko

dapat membantu menunjukkan semua risiko yang ada, mana risiko yang dapat

diterima dan mana risiko yang memerlukan pelakuan lebih lanjut. Manajemen

risiko juga memantau apakah perlakuan risiko yang telah diambil memadai dan

cukup efektif atau tidak. Informasi ini merupakan bagian dari proses

pengambilan keputusan.

4. Manajemen risiko secara khusus menangani aspek ketidakpastian

Manajemen risiko secara khusus menangani aspek ketidakpastian dalam proses

pengambilan keputusan. Ia memperkirakan bagaimana sifat ketidakpastian dan

bagaimanakah hal tersebut harus ditangani.

5. Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu

Sifat sistematik terstruktur, dan tepat waktu yang digunakan dalam pendekatan

manajemen risiko inilah yang memberikan konstribusi terhadapan efesiensi

daan konstitensi manajemen risiko. Dengan demikian hasilnya dapat

dibandingkan dan memberikan hasil serta perbaikan.

6. Manajemen risiko berdasarkan pada informasi terbaik yang tersedia

Informasi dalam proses manajemen risiko merupakan dasar sumber informasi

yang berupa data historikal, respon pemangku kepentingan, pengalaman,

observasi, estimasidanpertimbanganahli.Akantetapi harus disadari bahwa

semua informasi memberikan keterbatasan yang harus dipertimbangkan dalam

18


mengambil keputusan, baik dalam membuat model risiko maupun perbedaan

pendapat yang mungkin terjadi diantara para ahli.

7. Manajemen risiko adalah khas untuk penggunaanya (tailored)

Manajemen risiko harus diselaraskan dengan konteks internal dan eksternal

organisasi, serta sasaran organisasi dan profil risko yang dihadapi organisasi

tersebut.

8. Manajemen risiko mempertimbangkan faktor manusia dan budaya

Penerapan manajemen risiko disesuaikan dengan kapabilitas organisasi,

persepsi dan tujuan individu secara internal maupun eksternal di luar

organisasi yang dapat menunjang atau menghambat pencapaian tujuan

organisasi.

9. Manajemen risiko harus transparan dan inklusif

Untuk memastikan bahwa manajemen risiko masih tetap relevan, para

pemangku kepentingan dari seluruh level organisasi dan pemangku

kepentingan secara efektif. Keterlibatan para pemangku kepentingan harus

dapat terwakilidengan baik dan mendapatkan kesempatan menyampaikan

pendapat dalam menentukan kriteria risiko.

10. Manajemen risko bersifat dinamis, berulang, dan tanggap terhadap

perubahan.

Ketika organisasi mengalami perubahan dan terjadi peristiwa baru, konteks dan

pemahaman risiko juga akan mengalami perubahan. Dalam hal ini monitoring

dan review berperan memberikan kontribusi atas perubahan yang terjadi

sehingga muncul risiko baru, ada yang berubah frekuensi maupun dampaknya

dan ada risiko yang sudah tidak muncul kembali. Sehingga manajemen risiko

harus senantiasa tanggap terhadap perubahan yang terjadi.

11. Manajemen risiko harus memfasilitasi terjadinya perbaikan dan

peningkatan organisasi secara berlanjut.

19


Organisasi mengembangkan dan menerapkan perbaikan strategi manajemen

risiko serta meningkatkan kematangan pelaksanaan manajemen risiko dari

seluruh proses bisnisnya.

2.7 Kerangka Manajemen Risiko

Kesuksesan dalam melaksanakan manajemen risiko tergantung pada tingkat

efektivitas kerangka kerja manajemen risiko yang merupakan dasar dalam penataan

yang mencakup seluruh proses bisnis perusahaan. Kerangka kerja ini membantu

pengelolaan risiko secara efektif di seluruh level proses bisnis. Kerangka kerjaini

memastikanbahwa informasiyang lengkapdan memadai dari proses manajemen

risiko yang akan dilaporkan serta sebagai dasar membuat keputusan. Hal ini

dilakukan sesuai dengan tingkat akuntabilitas pada organisasi. Pada Gambar 2.1

merupakan kerangka manajemen risiko sesuai dengan ISO 31000.

Gambar 2.1 Kerangka Kerja Manajemen Risiko (ISO 31000:2009)

20


Kerangka kerja manajemen risiko merupakan induk dari proses manajemen

risiko yang lebih bersifat teknis yang membantu organisasi dalam mengintegrasikan

manajemen risiko ke dalam sistem manajemen organisasi secara komprehensif.

Kerangka kerja pada Gambar 2.1 menunjukkan gambaran mengenaitata kelola risiko

(risk governance) yang harus dilaksanakan.

1. Mandate dan Komitmen (Mandate and Commitment)

Pengenalan dan upaya menerapkan manajemen risiko yang efektif

mempersyaratkan adanya komitmen yang kuat dan bberlanjut darii

manajemen organisasi. Untuk itu, diperlukan perencanaan yang matang dan

strategi yang tepat dalam pelaksanaanya guna melaksanakan hal in maka

manajemen harus:

Mengartikulasikan dengan jelas pentingnya manajemen risiko bagi

organisasi dan menetapkan kebijakan manajemen risiko;

Mentapkan indikator kinerja manajemen risiko yang selaras dengan

indikator kinerja perusahaan;

Memastikan kepatuhan terhadap perarturan perundang-undangan;

Menugaskan secara jelas dan dengan akuntabilitas serta tanggung

jawab unit manajemen risiko pada tingkatan yang memadai;

Memastikan bahwa tersedia alokasi sumber daya yang cukup untuk

kegiatan manajemen risiko;

Mengomunikasikan manfaat manajemen risiko ke seluruh

pemangku kepentingan terkait;

Memastikan bahwa kerangka manajemen risiko berfungsi dengan

baik.

2. Desain Kerangka KerjaManajemen Risiko (Design of Framework)

Memahami organisasi dan konteks

21


Menetapkan peraturan manajemen risiko

Akuntabilitas

Integrasike dalam proses organisasi

Sumber daya

Melakukan komunikasi internal dan mekanisme pelaporan

Melakukan komunikasi eksternal dan mekanisme pelaporan.

3. ImplementasiManajemen Risiko (Implement Rsik Management)

Melaksanakan kerangka kerja manajemen risiko

Dalam melaksanakan kerangka kerja manajemen risiko organisasi

harus:

Menetapkan ketepatan waktu dan strategi penerapan kerangka

manajemen risiko.

Melaksanakan peraturan manajemen risiko dan proses organisai.

Mematuhi persyaratan hukum dan peraturan yang berlaku.

Menetapkan pembuatan keputusan, mengembangan dan

menetapkan sasaran yang selaras dengan pencapaian proses

manajemen risiko.

Melakukan komunikasi dan pelatihan.

Komunikasi dan konsultasi dengan pemilik kepentingan untuk

menetapkan kerangka kerja manajemen risiko dengan tepat.

Melaksanakan proses manajemen risiko.

Manajemen risiko harus dilaksanakan dengan menerapkan

proses manajemen risiko sesuai dengan klausul 5 yang

dilaksanakan secara berkelanjutan, relevan dengan proses bisnis

dan fungsi organisasi.

4. Monitoring dan review (Monitor and Review Framework)

22


Dalam menerapkan manajemen risiko secara efektif dan

berkesinambungan guna mendukung tercapainya tujuan organisasi maka

harus:

Mengukur ketepatan indikator pencapaian manajemen risiko yang

dilakukan secara berkala.

Mengukur perkembangan secara berkala dan penyimpangan

pelaksanaan terhadap rencana.

Melaksanakan review atas kerangka kerja manajemen risiko,

peraturan dan rencana, konteks internal dan eksternalperusahaan.

Melaporkan risiko, perkembangan pelaksanaan manajemen risiko

dan kepatuhan atasperaturan manajemen risiko.

Melakukan review efektivitas kerangka kerja manajemen risiko.

5. Perbaikan berkelanjutan (Improve Framework)

Berdasarkan hasil monitoring dan review, keputusan akan dibuat tentang

bagaimana mengelola kerangka kerja manajemen risiko, peraturan dan

pengembangan rencana. Keputusan ini akan menjadi dasar pengembangan

manajemen risiko perusahaan dan membentuk budaya manajemen risiko.

2.8 Proses Manajemen Risiko

Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko,

karena merupakan penerapan daripada prinsip dan kerangka kerja yang telah dibangun.

Pada Gambar 2.2 merupakan proses manajemen sesuai dengan ISO 31000.

23


Gambar 2.2 Proses Penerapan Manajemen Risiko (IS0 31000:2009)

2.8.1 Penetapan konteks (Establishing Context)

a. Penetepan konteks atau tujuan bisnis adalah penetapan strategi bisnis, baik

jangka panjang maupun jangka pendek yang dituangkan dalam rencana

kerja anggaran perusahaan (RKAP) yang mengandung risiko dalam

pencapaiannya.

b. Didalam setiap penyusunan RKAP manajemen menyampaikan potensi

risiko yang harus dikendalikan olehsetiap pemilik risiko untuk dapat

memastikan pencapaian tujuan bisnis yang disepakati manajemen dan

seluruh pemilik risiko.

24


c. Menetapkan lingkungan internal (perusahaan) dan eksternal (ekonomi,

politik, sosial, hukum, teknologi dan alam)

d. Menetapakan peran dan tanggung jawab pihak-pihak yang berkepentingan

dalam penerapan manajemen risiko.

e. Menetapkan kriteria masing-masing dampak dan kemungkinan dalam

penerapan manajemen risiko.

f. Menetapkan risk appetite dan risk tollerance.

2.8.2 Identifikasi risiko (risk identification)

Organisasi harus melakukan identifikasi sumber risiko, area dampak risiko,

pristiwa dan penyebabnya, serta potensi akibatnya. Sasaran dari tahapan ini adalah

membuat daftar risiko secara konprehensif dan luas yang dapat mempengaruhi

pencapaian sasaran, baik meningkatkan, menghalangi, memperlambat, atau bahkan

menggalkan pencapainan sasaran organisasi. Perlu juga diidetifikasi risiko-risiko yang

terjadi bila peluang yang ada tidak kita ambil. Proses identifikasi risiko ini penting

untuk dilakukan secara meluas dan mendalam serta komprehensif, karena risiko yang

tidak teridentifikasi pada tahapan ini tidak akan diikut sertakan pada proses-proses

berikutnya. Identifikasi risiko ini juga dilakukan terhadap sumber-sumber risiko, baik

yang didalam kendali maupun yang diluar kendali organisasi.

Teknik indetifikasi yang digunakan oleh organisasi hendaknya sesuai dengan

sasaran, kemampuan, dan jenis risiko yang dihadapi oleh organisasi. Informasi yang

relevan dan terkini sangat penting dalam proses identifikasi risiko. Bila memungkinkan

hendaknya juga digali latar belakang informasi tersebut. Orang-orang yang mempunyai

pengetahuan tentang risiko terkait atau proses / kegiatan terkait hendaknya dilibatkan

dalam proses idenifikasi risiko. Setelah identifikasi risiko yang mungkin terjadi, perlu

dipertimbangkan hal-hal yang dapat meyebabkan risiko itu terjadi. Bagaimanakah

skenario yang memungkinkan hal tersebut terjadi dan bagaimana besar dampaknya.

Semua hal yang secara signifikan dapat menimbulkan risiko harus dipertimbangkan

dan diperhatikan.

25


1. Komponen Risiko

Risiko dalam manajemen risiko bukan sekedar suatu kejadian, peristiwa,

atau kondisi, yang dapat berkembang/terjadi, namun mencangkup pula

berbagai informasi yang terkait dengan kejadian, perristiwa, atau kondisi

tersebut. Oleh karena itu, dalam proses identifikasi risiko, informasi yang

dikumpulkan antara lain mencangkup:

1. Sumber risiko: Stakeholders, benda, atau kondisi lingkungan yang dapat

memicu timbulnya risiko.

2. Kejadian: peristiwa yang dapat terjadi dan berdampak terhadap

pencapaian sasaran dan target.

3. Konsekuesi: dampak terhadap aset organisasi atau stakeholders.

4. Pemicu (apa dan mengapa): faktor – faktor yang menjadi pemicu

timbulnya suatu peristiwa berisiko.

5. Pengendalian: laangkah-langkah antisipasi dan pencegahan awal yang

dapat dilaksanakan.

6. Perkiraan kapan risiko terjadi dan dimana risiko itu dapat terjadi.

Elemen-elemen diatas dapat bertambah atau malah berkurang

tergantung kebutuhan pada saat menetapkan konteks maanajemen risiko.

2. Proses Identifikasi

Untuk mengembangkan daftar risko yang komprehensif, digunakan suatu

proses sistematis dan terstruktur yang sudah dilakukan sejak penetuan

konteks manajemen risiko. Proses manajemen risiko yang efektif dapat

ditunjukan bila menggunakan tahapan yang terstruktur pada proses, proyek,

dan kegiatan sesuai dengan kriteria yang telah digunakan ketika

menetapkan konteks manajemen risiko. Hal ini utuk memastikan bahwa

proses identifikasi risiko telah berlangsung komprehensif dan tidak ada lagi

prosesatau isu penting yang terlewatkan. Sebagai tuntunan, pertanyaan-

pertanyaan berikut dapat diprtimbangkan:

26


1. Apa sumber setiap risiko?

2. Apa yang mungkin terjadi yang dapat:

a. Meningkatkan atau mengurangi efektivitas pencapaian

sasaran/target?

b. Membuat pencapaian sasaran (finansial, manusia, waktu, dll.)

lebih/tidak efesien?

c. Menyebabkan steakholder bertindak yang meningkatkan atau

mengurangi pencapaian sasaran/target?

d. Menimbulkan manfaat tambahan?

3. Apakah efeknya bagi sasaran/target organisasi?

4. Kapan, di mana, mengapa, dan bagaimana risiko-risiko ini

(negatif/positif) dapat terjadi?

5. Siapa yang berkepentingan atau terkena dampak?

6. Apakah ada pengendalian yang dilakukan saat ini?

7. Apa yang menyebabkan pengendalian yang ada saat ini tidak efektif?

Setelah mengkaji setiap elemen di atas maka pertanyaan-pertanyaan berikut

dapat dipertimbangkan untuk pengkajian lebih lanjut:

1. Bagaimana dengan kendala informasinya?

2. Bagaimana kita yakin datar risiko yang teridentifikasi suah benar-benar

konprehensif?

3. Apakah ada beberapa risiko tertentu yang perlu diselidiki lebih jauh?

4. Apakah sasaran/target dan cakupan yang dikaji sudah mncukupi/

5. Apakah semua oihak-pihak yang terkait sudah dilibatkan dalam proses

identifikasi risiko?

3. Informasi yang Dikumpulkan

Informasi bermutu adalah keharusan dalam proses identifikasi risiko. Titik

awal untuk identifikasi adalah mengumpulkan informasi historis baik yang

berasal dari dalam organisasi atau, jika tidak tersedia, bisa juga dari

27


organisasi-organisai sejenis yang kemudian dimatangkan melalui diskusi

dengan pihak-pihak terkait. Isu yang didiskusikan ini dapat berupa isu-isu

historis, masa kini, dan yang terus berkembang.

Contohnya adalah sebagai berikut:

1. Pengalaman lokal atau internasional;

2. Informasi menurut pendapat ahli;

3. Informasi hasil wawancara;

4. Informasi dari Focus Group Disscussion;

5. Rencana Jangka Panjang, Rencana Kerja & Anggaran Perusahaan

lengkap dengan analisis SWOT atau analisis lingkungan bisnis lainnya;

6. Laporan-laporan manajemen ;

7. Laporan auditor dan pemeriksa lainnya;

8. Hasil-hasil survei internal maupun eksternal;

9. Hasil-hasil selft-assesssment;

10. Data-data historis, database insiden,analisis kegagalan misalnya Failure

Mode & Efeect Analysis, risk register yang sudah ada (jika perah

dibuat); serta

11. Data-data lain yang dianggap penting.

4. Metode untuk Mengidentifikasi Risiko

Metode dan pendekatan yang digunakan untuk mengidentifikasi risiko

tergantung pada proses penentuan konteks manajemen manajemen risiko.

Proses indentifikasi risiko dapat menggunakan berbagai metode, antara lain

metode yang berbasis brainstorming, check list, flowcharting, dll. Metode

yang akan digunakan untuk mengidentifikasi risiko merupakan lanjutan

dari metode yang digunakan pada tahapan menentukan konteks manajemen

risiko dan bila di perlukan diperlengkap atau diperdalam dengan metode

lain. Kesinambungan ini perlu dipertahankan sehingga tidak menjadi

kerancuan dalam keseluruhan proses manajemen risiko. Beberapa metode

28


yang telah diuraikan terdahulu merupakan metode yang akan diperdalam

untuk proses identifikasi risiko. Metode – metode tersebut adalah :

1. Pengujian dokumen (document review);

2. Analisis pemangku kepentingan (stakeholders analysis);

3. Risk Breakdown Structure (RBS);

4. Metode pemetaan proses bisnis (business process mapping)

sebagaimana di uraikan metode ini dapat digali lebih lanjut dengan

menggunakan teknik FMEA (Failure Mode and Effect Analysis)

2.8.3 Analisis Risiko

Analisis risiko adalah upaya untuk memahami risiko lebih dalam. Hasil analisis

risiko ini akan menjadi masukan bagi evaluasi risiko dan proses pengambilan

keputusan mengenai perlakuan terhadap risiko tersebut. Analisis risiko meninjau dua

aspek risiko, yaitu dampak dan kemungkinannya. Tingkat risiko akan ditentukan oleh

kombinasi dari dampang dengan kemungkinan. Skala dan metode kombinasi yang

digunakan harus konsisten dengan kriteria risiko yang ditetapkan sebelumnya.

Proses analisis seringkali dimulai dengan pendekatan kualitatif sederhana guna

memberikan pemahaman umum, ketika pemahaman lebih rinci dibutuhkan maka

diperlukan ivestigasi yang lebih terarah dan handal. Namun kurang tepat jika berasumsi

bahwa analisis kuantitatif lebih superior dari pada analisis kualitatif. Karena yang

penting adalah kesesuaian penggunaan pendekatan analisis dengan kebutuhan

berdasarkan situasi yaang berkembang saat itu. Tahapan analisis risiko pada

penelitian ini menggunakan metode OCTAVE untuk identifikasi risiko dan FMEA

untuk penilaian risiko.

2.9 Manajemen Risiko Teknologi Informasi

Manajemen risiko teknologi informasi adalah suatu pengelolaan/manajemen

dari risiko-risiko terkait teknologi informasi pada sebuah organisasi atau perusahaan

29


tertentu yang memiliki tujuan untuk meminimalisasi risiko yang muncul dengan

solusi yang berhubungan dengan aspek teknologi informasi.Manajemen risiko

teknologi informasi merupakan suatu subset dari keseluruhan manajemen risiko

bisnis.Manajemen risiko Teknologi Informasi (TI) adalah kemampuan organisasi

dalam mengurangi risiko-risiko TI yang mungkin akan menghambat pencapaian

tujuan organisasi terkait dengan pemanfaatan TI itu sendiri .

2.10 OCTAVE

Operationally

Menurut Alberts, C., Dorofee, A., Stevens, J., Woody. C. (2005), merupakan

praktik keamanan yang berfokus pada hal-hal yang berkaitan dengan

teknologi, seperti bagaimana cara penggunaannya, interaksinya, dan

perlindungan terhadap teknologi pada kegiatan sehari-hari.

Critical

Menurut Kamus Besar Bahasa Indonesia (2008), kritis adalah suatu keadaan

krisis, gawat, genting atau dalam keadaan yang paling menentukan berhasil

atau gagalnya suatu usaha.

Threat


suatu indikasi atas potensi kejadian yang tidak diinginkan. Ancaman mengarah

pada situasi dimana seseorang dapat melakukan sesuatu yang tidak diinginkan

atau kejadian alam yang dapat menyebabkan sesuatu yang tidak diinginkan.

Asset

Menurut Alberts, C., Dorofee, A., Stevens, J., Woody. C. (2005), aset

merupakan sesuatu yang memiliki nilai bagi perusahaan. Aset TI merupakan

kombinasi dari aset fisik dan non fisik serta dikelompokan kedalam kelas yang

spesifik seperti informasi, sistem, sumber daya manusia, layanan dan aplikasi.

30


Evaluation

Menurut Suharsimi (2009), evaluasi adalah kegiatan untuk mengumpulkan

informasi tentang bekerjanya sesuatu, yang selanjutnya informasi tersebut

digunakan untuk menentukan alternatif yang tepat dalam mengambil

keputusan. Fungsi utama evaluasi dalam hal ini adalah menyediakan

informasi-informasi yang berguna bagi pihak decision maker untuk

menentukan kebijakan yang akan diambil berdasarkan evaluasi yang telah

dilakukan.

Critical Asset


aset yang paling penting bagi perusahaan. Perusahaan akan menderita kerugian

yang besar apabila aset kritis diakses oleh pihak yang tidak berwenang,

dimodifikasi tanpa diketahui perusahaan, mengalami kerusakan atau hilang,

serta akses terhadap aset kritis terinterupsi.

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)

adalah sebuah metode yang dikembangkan oleh Software Engineering Institute (SEI)

pada tahun 2001. Metode Octave merupakan sebuah tools, teknik, dan metode dalam

menilai dan merencanakan strategi keamanan informasi berdasar pengidentifikasi

risiko. OCTAVE merupakan suatu proses untuk mengidentifikasi pengetahuan

beberapa pihak mengenai praktek yang terjadi dari segi proses keamanan organisasi

serta melihat kondisi praktek keamanan yang telah berjalan di organisasi. OCTAVE

adalah sebuah pendekatan terhadap evaluasi risiko keamanan informasi yang

komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun

dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi risiko

keamanan informasi. Kriteria OCTAVE memerlukan eveluasi yang harus dilakukan

oleh sebuah tim interdisipliner yang terdiri dari personil teknologi informasi dan bisnis

organisasi. Anggota tim bekerjasama untuk membuat keputusan berdasarkan risiko

terhadap aset informasi kritis organisasi.

31


Secara umum metode octave menggunakan pendekatan tiga tahap yaitu

Membangun Profil Ancaman berdasarkan Aset (Build Asset-Based Threat Profile),

Mengidentifikasi Kerentanan Infrastruktur (Identify Infrastructure Vulnerabilities),

dan Mengembangan Rencana dan Strategi Keamanan (Develop Security Strategy and

Plan). Langkah langkah dalam menerapkan metode Octave dilakukan dengan

pendekatan terhadap tiga tahap diatas. Dalam setiap fase dalam metode Octave

memiliki beberapa proses yang mampu menguji isu teknologi dalam sebuah

organisasi atau perusahaan dan memberikan sebuah gambaran komperhensif

keamanan informasi yang dibutuhkan organisasi (Putri, 2017). Berikut ini

merupakan metode Octave tiga tahap dan masing masing proses didalamnya

Gambar 2.3 Fase Octave

32


2.10.1 Fase 1: Membangun Profil Ancaman berdasarkan Aset

Fase ini merupakan tahap mengidentifikasi aset yang kritikal dan ancaman pada

masing-masing aset TI. Dengan cara mengklasifikasikan aset yang penting bagi

organisasi dan pengamanan yang dibutuhkan. Penentuan klasifikasi aset dilakukan

dengan mengumpulkan informasi tentang aset, kebutuhan keamanan, ancaman dan

kekuatan serta kelemahan organisasi dari beberapa tingkatan manjamen mulai dari top

level hingga operasional. Proses dalam metode octave antara adalah identifikasi

aset kritis, identifikasi kebutuhan keamanan aset kritis, identfikasi ancaman aset

kritis, identifikasi keamanan yang sudah diterapkan, identifikasi kelemahan

organisasi (Mahersmi, 2016). Dalam fase ini luaran yang akan dihasilkan yaitu

daftar aset-aset kritis bagi organisasi beserta ancaman dari masing masing aset.

1. Proses 1: Identifikasi aset kritis

Proses ini merupakan proses dalam mengidentifikasikan aset kritis yang

dimiliki oleh organisasi dan akan menghasilkan luaran berupa aset aset

penting/kritis bagi organisasi.

2. Proses 2: identifikasi kebutuhan keamanan aset kritis

Proses ini merupakan proses dalam mengidentifikasikan kebutuhan keamanan

dari masing-masing aset kritis bagi organisasi. Luaran yang dihasilkan adalah

daftar kebutuhan keamanan aset-aset kritis bagi organisasi berdasarkan aspek

confidentiality, integrity, availability.

3. Proses 3: identifikasi ancaman aset kritis

Proses ini merupakan proses dalam mengidentifikasi sumber ancaman dari

masing-masing aset kritis dan pengaruhnya terhadap masing masing aset.

Luaran dari proses ini adalah daftar sumber ancaman dan pengaruhnya terhadap

aset.

4. Proses 4: identifikasi keamanan yang sudah diterapkan

Proses ini merupakan proses dalam mengidentifikasikan praktik praktik

kemananan terkini yang diimplementasikan dalam organisasi maupun upaya

33


yang telah dilakukan organisasi dalam melindungi aset informasi. Luaran

dalam proses ini adalah berupa daftar praktik keamanan yang dimiliki

organisasi.

5. Proses 5: identifikasi kelemahan organisasi

Proses ini merupakan proses dalam mengidentifikasi kelemahan kebijakan

organisasi yang sedang diterapkan. Luaran dalam proses ini adalah berupa

daftar kelemahan kebijakan organisasi.

2.10.2 Fase 2: Mengidentifikasi Kerentanan Infrastruktur

Fase ini merupakan tahap mengidentifikasi kelemahan pada teknologi atau

infrastruktur organisasi. Fase dua akan melakukan identifikasi komponen penting

dalam sistem yang kemudian dilakukan evaluasi terhadap komponen utamanya.

Hasilnya akan dianalisis untuk lebih memperjelas kembali profil ancaman pada

aset TI yang sudah diidentifikasi diawal. Proses dalam fase dua adalah identifikasi

komponen utama dan kelemahan teknologi yang sudah ada. Dalam fase ini luaran yang

akan dihasilkan yaitu daftar ancaman dari masing masing aset yang kritis.

1. Proses 1: identifikasi komponen utama

Proses ini adalah proses dalam mengidentifikasikan komponen utama dari

infrastruktur teknologi informasi seperti server, PC, laptop, dan perangkat

jaringan lainnya. Luaran dari proses ini adalah daftar komponen utama dalam

organisasi.

2. Proses 2: identifikasi kelemahan teknologi yang sudah ada

Proses ini adalah proses dalam mengevaluasi kelemahan informasi

infrastruktur baik dalam segi teknologi yang sudah diterapkan organisasi

maupun dalam konfigurasinya yang dapat menimbulkan akses keamanan

yang tidak terautorisasi. Luaran dalam proses ini adalah daftar kelemahan

dalam penerapan infrastruktur teknologi perusahaan

34


2.10.3 Fase 3: Mengembangan Rencana dan Strategi Keamanan

Fase ini merupakan tahap mengevaluasi risiko dan mengembangkan strategi

keamanan informasi berdasarkan best practice serta membuat rencana mitigasi

risiko. Pada tahap ini hasil dari proses analisa risiko akan dikembangkan kedalam

strategi yang tepat untuk melindungi aset yang berfokus pada perbaikan praktik

keamanan organisasi. Selain itu juga akan dibuat perencanaan mitigasi bila terjadi

accident. Proses dalam tahapan tiga adalah identifikasi risiko aset kritis, penilian risiko,

strategi perlingungan, rencana mitigasi risiko.

Tabel 2.1 Metode OCTAVE dan Output

Tahapan Output

Fase 1 Aset Kritis

Kebutuhan keamanan untuk aset kritis

Ancaman pada aset kritis

Praktek keamanan saat ini

Kerentanan organisasi saat ini

Fase II Komponen utama

Kerentanan teknologi saat ini

Fase III Risiko aset kritis

Pengukuran risiko

Strategi perlindungan

Perancanaan mitigasi risiko

35


2.11 Failure Mode and Effect Analysis (FMEA)

2.11.1 Sejarah FMEA

Prosedur untuk melakukan FMEA digambarkan di United State (US) angakatan

bersenjata dengan prosedur militer dokumen MIL-P-1629 pada tahun 1949; direvisi

pada tahun 1980 sebgai MIL-STD-1629A. pada awal 1960, kontraktor untuk US

National Aeronaitics and space administration (NASA) yang menggunakn varian

FMEA. Program NASA menggunakan varian FMEA termasuk Apollo, Viking,

Volyager, Magellan, Galileo, dan Skylab. Industri penerbangan sipil adalah adpter

awwal FMEA, dengan Society for Auomotive Enginers (SAE) penerbitan ARP4761,

yang sekarang secara luas digunakam dalam penerbangan sipil. Industri otomotif mulai

menggunakan FMEA pada pertengahan 1970. The Ford Motor Company

memperkenalkan FMEA untuk industri otomotif untuk keselamatan dan pertimbangan

peraturan. Ford menerapkan pendekatan yang sama untuk proses FMEA untuk

mempertimbangkan proses potensial yang disebabkan kegagalan sebelm meluncurkan

produksi. The SAE J1739 pertama kali diterbitkan standar terkait pada tahun 1994.

Standar ini juga sekarang dalam edisi keempat. Meskipun awalnya dikembangkan oleh

militer, metodelog FMEA sekarang banyak digunakan dalam berbagai idustri termasuk

pengolahan semikonduktor, pelayanan makanan, plastik, perangkat lunak, dan lain-lain

(Desy, 2014).

2.11.2 Pengertian FMEA

Keberadaan TI dalam perkembangan zaman saat ini menjadi objek utama

yang sangat dibutuhkan Failure Mode and Effect Analysis (FMEA) merupakan

suatu pendekatan yang sistematik menerapkan suatu metode pentabelan untuk

membantu proses pemikiran yang digunakan oleh engineers untuk mengidentifikasi

mode kegagalan potensial dan efeknya. FMEA adalah suatu prosedur terstruktur

untuk mengidentifikasi dan mencegah sebanyyak mungkin mode kegagalan. FMEA

digunkan untuk mengidentifikasi sumber-sumber dan akar peyebab dari suatu masalah,

36


terdapat dua penggunan yaitu dalam bidang desain (FMEA Desain) dan dalam proses

(FMEA Proses) (Gunardi, 2015).

Failure Mode and Effect Analysis (FMEA) merupakan analisa teknik yang bila

dilakukan dengan tepat dan waktu yang tepat akan memberikan nilai yang besar

dalam membantu proses pembuatan keputusan dari engineeri selama perancangan dan

pengembangan. FMEA merupakan metode sistematis yang digunakan untuk

melakukan identfikasi akibat atau konsekuensi dari potensi kegagalam sistem atau

proses, serta mengurangi peluang terjadinya kegagalan (Setyadi, 2015). FMEA

adalah salah satu alat yang dapat diandalkan untuk mengurangi kerugian yang terjadi

akibat kegagalan tersebut. Langkah langkah dari FMEA adalah sebagai berikut:

1. Mengidentifikasi komponen komponen dan fungsi yang terkait

2. Mengidentifikasi mode kegagalan (failure modes)

3. Mengidentifikasi dampak dari mode kegagalan (failure mode)

4. Menentukan nilai keparahan (severity) dari kegagalan

5. Mengidentifikasi penyebab dari kegagalan

6. Menentukan nilai frekuensi sering terjadinya (occurence) kegagalan

7. Mengidentifikasi kontrol yang diperlukan

8. Menentukan nilai keefektifan kontrol yang sedang berjalan

(detection)

9. Melakukan kalkulasi nilai RPN (risk priority number)

10. Menentukan tindakan untuk mengurangi kegagalan

Tujuan dari FMEA adalah:

1. Mengetahui kegagalan yang berpotensi

2. Memprediksi dan mengevaluasi pengaruh dari kegagalan pada

sistem yang ada

3. Menunjukkan prioritas terhadap perbaikan suatu proses

37


4. Mengidentifikasi dan membangun tindakan untuk mencegah atau

mengurangi kesempatan terjadinya kegagalan

5. Dokumentasi proses secara keseluruhan

Risiko-risiko yang sudah diidentifikasi pada tahap sebelumnya akan dinilai

berdasarkan metode FMEA (Failure Mode Effect Analysis) dengan mengukur

tingkat severity number, occurence number, dan detection number yang

nantinya akan menghasilkan Risk Probability Number (RPN).

2.11.3 Penentuan Nilai Dampak (Severity: S)

Severity number merupakan penilaian terhadap pengaruh buruk yang dirasakan

akibat kegagalan potensial. Severity number mengukur tingkat keparahan dari risiko

yang terjadi. Pengukuran Severity atau nilai dampak dilihat dari seberapa besar

intensitas suatu kejadian atau gangguan dapat mempengaruhi aspek-aspek penting

dalam organisasi. Pada tabel 2.2 dibawah, terdapat penjelasan nilai deteksi dan

kemampuan metode deteksi terhadap risiko.

Tabel 2.2 Nilai Dampak (Sumber:FMEA)

Dampak Dampak Yang Terjadi Ranking

Akibat

Berbahaya

Melukai Pelanggan atau Karyawan 10

Akibat Serius Aktivitas yang ilegal 9

Akibat Ekstrim Merubah produk atau jasa menjadi tidak

layak digunakan

8

Akibat major Menyebabkan ketidakpuasan pelanggan

secara ekstrim

7

Akibat

Signifikan

Menghasilkan kerusakan parsial

secara moderat

6

38


Akibat Moderat Menyebabkan penurunan kinerja dan

mengakibatkan keluhan

5

Akibat Minor Menyebabkan sedikit kerugian 4

Akibat Ringan Menyebabkan gangguan kecil yang dapat

diatas tanpa kehilangan sesuatu

3

Akibat Sangat

Ringan

Tanpa disadari: terjadi gangguan kecil pad

kinerja

2

Tidak Ada

Akibat

Tanpa disadari dan tidak mempengaruhi

kinerja

1

2.11.4 Penentuan Nilai Kemungkinan (Occurrence: O)

Occurence merupakaan pengukuran terhadap tingkat kemungkinan frekuensi

atau keseringan terjadinya masalah atau gangguan yang dapat menghasilkan

kegagalan. Occurence membantu dalam pengukuran probabilitas penyebab

kemungkinan terjadinya risiko akan menghasilkan kegagalan yang akan berdampak

sesuatu. Pada tabel 2.3 dibawah, terdapat penjelasan nilai kemungkinan dan

kemungkinan terjadinya risiko

Tabel 2.3 Nilai Kemungkinan (Sumber: FMEA)

Kemungkinan Kegagalan Kemungkinan Terjadi Ranking

Very High: Kegagalan

hampir/tidak dapat dihindari

Lebih dari satu kali setiap

harinya

10

Very High: Kegagalan sering

terjadi

Satu kali setiap 3-4 hari 9

39


High: kegagalan terjadi berulang

kali

Satu kali dalam seminggu 8

High: Kegagalan sering terjadi Satu kali dalam sebulan 7

Moderately High: Kegagalan

terjadi saat waktu tertentu

Satu kali setiap 3 bulan 6

Moderate : kegagalan terjadi

sesekali waktu

Satu kali setiap 6 bulan 5

Moderaate Low: kegagalan jarang

terjadi

Satu kali dalam setahun 4

Low: kegagalan terjadi relative

kecil

Satu kali dalam 1-3 tahun 3

Very Low : kegagalan terjadi

relative kecil dan sangat jarang


Remote : kegagalan tidak pernah

terjadi


2.11.5 Penentuan Nilai Deteksi (Detection: D)

Nilai deteksi atau detection merupakan suatu nilai pengukuran terhadap

kemampuan mengendalikan atau mengontrol kegagalan yang dapat terjadi. Pada tabel

2.3 dibawah, terdapat penjelasan nilai deteksi dan kemampuan metode deteksi terhadap

risiko.

40


Tabel 2.4 Nillai Deteksi (Sumber:FMEA)

Deteksi Kriteri Deteksi Ranking

Hampir tidak

mungkin

Tidak ada metode penanganan 10

Sangat kecil Metode deteksi yang ada tidak mampu

memberikan cukup waktu untuk

melaksanakan rencana kontingensi

9

Kecil Metode deteksi tidak terbukti untuk

mendeteksi tepat waktu

8

Sangat rendah Metode deteksi tidak andal dalam

mendeteksi tepat waktu

7

Rendah Metode deteksi memiliki tingkat

efektifitas yang rendah

6

Sedang Metode deteksi memiliki tingkat

efektifitas yang ratarata

5

Cukup tinggi Metode deteksi memiliki kemungkinan

cukup tinggi untuk dapat mendeteksi

kegagalan

4

Tinggi Metode deteksi memiliki kemungkinan

tinggi untuk dapat mendeteksi

kegagalan

3

Sangat tinggi Metode deteksi sangat efektif untuk

dapat mendeteksi dengan waktu yang

cukup

2

41


untuk melaksanakan rencana

kontingensi

Hampir pasti Metode deteksi hampir pasti dapat

mendeteksi dengan waktu yang cukup

untuk melaksanakan rencana

kontingensi

1

2.11.6 Penentuan Level Risiko (Risk Priority Number)

Risk Priority Number (RPN) merupakan produk matematis dari keseriusan

effects (Severity), kemungkinan terjadinya cause akan menimbulkan kegagalan

yang berhubungan dengan effects (occurrence), dan kemampuan untuk mendeteksi

kegagalan sebelum terjadi pada pelanggan (detection). RPN dapat ditunjukkan

dengan persamaan sebagai berikut:

RPN = Severity x Occurrence x Detection

Dari hasil RPN, maka dapat diketahui tingkat risiko tersebut. Tingkat risiko

berdasarkan FMEA adalah sebagai berikut:

Tabel 2.5 Level Risiko (Sumber:FMEA)

42


Skala RPN dari setiap risiko akan digunakan sebagai penentu level risiko, yang berguna

untuk menilai risiko manakah yang bernilai paling tinggi. Perusahaan perlu melakukan

antisipasi, mitigasi dan strategi terhadap risiko yang memiliki tingkatan paling

tinggi, untuk menjaga keberlangsungan operasional bisnis saat gangguan tersebut

terjadi.

2.12 Profil Risiko

Profil risiko adalah suatu bentuk atau model yang dapat mengilustrasikan atau

memberikan gambaran tentang risiko - risiko suatu unit. Profil risiko perusahaan/unit

biasanya hanya memuat risiko-risiko significant yang dihadapi perusahaan. Profil risko

unit berisikan risiko significant dengan kategori Strategik, Operasional, Finansial dan

Compliance (Nyoman, 2014).

Gambar 2.4 Peta/Profil Risiko

43


Studi Literatur Sejenis

No Judul penelitian Standarisasi Metode

ISO 31000 COSO OCTAVE FMEA

1 Aplikasi Assessment

Manajemen Risiko Berbasis

ISO 31000:2009 Untuk

Membangun Awarness Pemilik

Risiko Pada PT. Angkasa Pura

II (Persero)

(Soleh:2016)

- - -

2 Manajemen Risiko Sistem

Informasi Akademik Di

Universitas Jenderal Achmad

Yani Menggunakan Committee

Of Sponsoring Organizations

Of The Treadway

Commission’s (COSO)

(Fitri : 2017)

- - -

3 Analisis Risiko Teknologi

Informasi Berbasis Risk

Management Menggunakan

ISO 31000 (Studi Kasus : i-

Gracias Telkom University)

(Andi:2015)

- - -

4 Analisis Risiko Teknologi

Informasi Pada Lembaga

Penerbangan dan Antariksa

Nasional (LAPAN) Pada

Website SWIFTS

Menggunakan ISO 31000

(Francisca:2016)

- - -

5 Penilaian Risiko Keamanan Informasi Menggunakan

Metode Failure Mode And Effects Analysis Di Divisi TI

- - -

44


Pt. Bank Xyz Surabaya

(Inneke : 2014)

6 Mitigasi Risiko Aset Dan Komponen Teknologi Informasi Berdasarkan

Kerangka Kerja OCTAVE Dan FMEA Pada Universitas Dian

Nuswantoro (Gunawan:2016)

- -

7 Analisis Risiko Keamanan Informasi Dengan

Menggunakan Metode Octave Dan Kontrol IS0 27001 Pada

Dishubkominfo Kabupaten Tulungagung (Balqis:2016)

- -

8 Penelitian yang dilakukan penulis

-


BAB III

METODOLOGI PENELITIAN

Dalam penyusunan skripsi ini, penulis melakukan tahapan yang dibutuhkan untuk

mendapatkan hasil yang baik seperti dalam hal pengumpulan data dan informasi serta

pengembangan sistem. Untuk itulah diperlukan adanya data-data dan informasi yang

lengkap guna mendukung proses pembuatan aplikasi ini.

3.1 Metode Pengumpulan Data

3.1.1 Studi Pustaka

Studi pustaka adalah serangkaian kegiatan yang berkenan dengan

metode pengumpulan data pustaka, membaca dan mencatat serta mengolah

bahan penelitian. Data dan informasi peneliti kumpulkan berupa 7 buku

referensi, 2 e-book, 10 jurnal, dan 8 pustaka lain mengenai perancangan

software aplikasi yang dijadikan acuan.

3.1.1 Wawancara

Wawancara awal yang dilakukan penulis adalah berdiskusi dengan

Kepala Pustipanda Bapak Nashrul Hakiem. Wawancara ini menjelaskan

maksud dan tujuan penulis ingin melakukan pengujian aplikasi menggunakan

data ase kritis Pustipanda.

3.2 Metode Pengembangan Sistem

Dalam pengembangan aplikasi manajemen risiko ini, metode yang digunakan

yaitu metode waterfall. Model SDLC air terjun (waterfall) sering juga disebut

model sekuensial linier (sequential linear) atau alur hidup klasik (classic life cycle).

Model air terjun (waterfall) menyediakan pendekatan alur hidup perangkat lunak

secara sekuensial atau terurut dimulai analisis, desain, pengodean, pengujian,

dan tahap pendukung (support).

46


Gambar 3.1 Waterfall

a. Analisis : pada tahap ini penulis mencari referensi dan tools yang berkaitan

dengan aplikasi untuk menghitung risiko dan profil risiko.

1) Penulis membuat aplikasi manajemen risiko berdasarkan pada ISO

3100:2009 yaitu :

1. Penetapan konteks (Establishing the context)

Konteks proses manajemen risiko adalah konteks dimana proses

manajemen risiko diterapkan. Hal ini meliputi sasaran organisasi,

strategi, lingkup, parameter kgiatan organisasi, atau bagian lain dimana

manajemen risiko diterapkan.

2. Identifikasi risiko (Risk Identification)

Pada tahap Risk Identification penulis menggunakan metode OCTAVE

untuk mengidentifikasi aset perusahaan. OCTAVE adalah sebuah

pendekatan terhadap evaluasi risiko keamanan informasi yang

komprehensif, sistematik, terarah, dan dilakukan sendiri.

Pendekatannya disusun dalam satu set kriteria yang mendefinisikan

elemen esensial dari evaluasi risiko keamanan informasi. Pendekatan

OCTAVE menggunakan tiga tahapan, yaitu membangun proses profil

ancaman berdasarkan aset yang ada (Build Asset-Based Threat

Profiles), melakukan identifikasi erentanan dari infrasruktur

(Develop Security Strategy and Plans), dan mengembangkan rencana

dan strategi keamanan (Develop Security Strategy and Plans).

47


3. Analisis risiko (Risk analysis)

Selanjutnya risiko-risiko yang sudah di identifikasi pada tahap

sebelumnya akan dinilai berdasarkan metode FMEA (Failure Mode

Effect Analysis) dengan mengukur tingkat severity number, occurence

number, dan detection number yang nantinya akan menghasilkan Risk

Probability Number (RPN). Langkah langkah dari FMEA adalah

sebagai berikut :

1. Mengidentifikasi komponen komponen dan fungsi yang terkait

2. Mengidentifikasi mode kegagalan (failure modes)

3. Mengidentifikasi dampak dari mode kegagalan (failure mode)

4. Menentukan nilai keparahan (severity) dari kegagalan

5. Mengidentifikasi penyebab dari kegagalan

6. Menentukan nilai frekuensi sering terjadinya (occurence) kegagalan

7. Mengidentifikasi kontrol yang diperlukan

8. Menentukan nilai keefektifan kontrol yang sedang berjalan

(detection)

9. Melakukan kalkulasi nilai RPN (risk priority number)

10. Menentukan tindakan untuk mengurangi kegagalan

4. Evaluasi risiko (Risk evaluation)

Tujuannya membantu proses pengambilan keputusan berdasarkan hasil

analisis risiko. Proses evaluasi risiko akan menentukan risiko-risiko

mana yang memerlukan perlakuan dan bagaimana implementasi

perlakuan risiko-risiko tersebut. Keluaran dari proses evaluasi risiko ini

akan menjadi masukan untuk diolah lebih lanjut pada tahapan

berikutnya.

5. Perlakuan risiko (Risk treatmen)

48


Perlakuan risiko meliputi upaya untuk menyeleksi pilihan-pilihan yang

dapat mengurangi atau meniadakan dampak serta kemungkinan

terjadinya risiko, kemudian menerapkan pilihan tersebut.

b. Desain : Desain perangkat lunak adalah proses multi langkah yang fokus pada

desain pembuatan program perangkat lunak termasuk struktur data, arsitektur

perangkat lunak, representasi antar muka, dan prosedur pengodean. Maka

penulis membuat perancangan basis data dengan Entity Relation Diagram

(ERD), merancang Use case yang merupakan pemodelan untuk kelakuan

(behavior) sistem informasi yang akan dibuat, merancang flow map untuk

menggambarkan proses bisnis berjalan dan usulan, dan merancang tampilan

aplikasi dengan menggunakan balsamiq mockups.

c. Pengodean : Pada tahap ini penulis menerjemahkan desain system yang

telah dibuat kedalam bahasa pemrograman PHP dan database server berupa

MySQL yang nantinya akan menjadi sebuah aplikasi yang dapat diakses

oleh responden perguruan tinggi.

d. Pengujian : Pada tahap ini akan dilakukan pengujian sistem menggunakan

metode black box untuk memastikan bahwa aplikasi yang dibangun telah

memenuhi dari responden Perguruan Tinggi.

49


3.3 Kerangka Berpikir

Mulai

Identifikasi masalah

Merumuskan masalah

Metode pengumpulan data : 1. studi pustaka2. wawancara

Penentuan konteks

Identifikasi risiko

Analisis risiko

Risk Assessment

Octave

FMEA

DesignPerancangan

aplikasi

Perancangan proses

Perancangan database

Perancangan interface

Usecase diagram

Activity diagram

Pengkodean

Pengujian

Apakah sesuai dengan requirement?

Profil risiko, Kesimpulan dan saran

Selesai

Ya

tidak

Sequence diagram

Gambar 3.2 Kerangka Berfikiri


BAB IV

ANALISIS DAN PERANCANGAN SISITEM

4.1 Requirement analysis

Pada tahap ini peneliti melakukan kegiatan identifikasi masalah pada aset

kritis perusahaan.

4.1.1 Identifikasi masalah

Seperti yang telah disampaikan sebelumnya, dalam bab I pada sub latar belakang

permasalahan, bahwa pada saat ini penerapan manajemen risiko pada perusahaan

masih sedikit yang menggunakan sebuah sistem aplikasi dan kebanyakan masih

menggunakan metode manual/semi komputerisasi, dimana pemilik risiko menulis

dikertas atau mengetik di excel dalam memberikan data potensi risiko sehingga

membutuhkan waktu yang cukup lama dalam mengklasifisikan risiko-risiko yang ada.

Adapun aplikasi manajemen risiko saat ini tetapi metode yang digunakannya hanya

satu dan menjadi tidak akurat hasilnya. Untuk mengatasi masalah tersebut maka

dibutuhkan sebuah sistem atau aplikasi dengan mengunakan konsep yang bagus dan

akurat yang mampu membantu setiap individu atau organisasi untuk mengukur nilai

risiko dan profil risiko perusahaan. Maka dari itu penulis tertarik untuk membuat

Aplikasi Manajemen Risiko Menggunakan Metode OCTAVE dan FMEA Berbasis

ISO 31000:2009 Untuk Membantu Membuat Profil Risiko Perusahaan

4.1.2 Sistem Yang Diusulkan

1. Setelah menentukan permasalahan maka selanjutnya menentukan apa yang

harus diselesaikan dengan menggunakan sistem yang akan dibuat (usulan).

Sistem yang akan dibuat pada sistem manajemen risiko untuk membantu

membuat profil perusahaan adalah dengan menentukan 4 aktor dalam

penyusunan profil risiko yaitu Risk Owner, Risk Unit (Koordinator Bidang),

Administrator dan President Director.

51


4.2 Design System

Perancangan aplikasi ini peneliti melakukan perancangan dengan menggunakan

UML yang terdiri dari Usecase diagram, Usecase Scenario, Activity diagram,

sequence diagram, dan ERD.

4.2.1 Use Case Diagram

Use case diagram sistem ini mempersentasikan aktifitas utama dalam aplikasi

manajemen risiko, disamping fitur tambahan lain yang menguntungkan bagi user

dalam sistem ini, setiap use case menyimpan detail aktivitas yang akan dijabarkan

selanjutnya. Menggunakan UML diagaram Use Case untuk menangkap kebutuhan user

atau perusahaan.

52


Gambar 4.1 Use Case Diagram Aplikasi Manajemen Risiko

53


Gambar 4.1 menjelaskan mengenai usecase pada aplikasi manajemen risiko, dimana

rektor, kepala pustipanda dan koordiator masing-masing bidang sebagai aktor. Berikut

adalah skenario narasi usecase diagram.

4.2.2 Usecase Scenario

Usecase Scenario mendefinisikan apa yang dilakukan oleh sistem ketika aktor

mengaktifkan Usecase. Struktur dari Usecase Scenario ini terdiri dari:

1. Nama Usecase.

2. Aktor yang terlibat.

3. Pre-condition yang penting bagi Usecase untuk memulai.

4. Main Flow dari kejadian yang bisa dirinci lagi menjadi sub file dari

kejadian (sub file bisa dibagi lagi lebih jauh menjadi sub file yang lebih

kecil agar document lebih mudah dibaca dan dimengerti).

5. Alternative file untuk mendefinisikan situasi perkecualian.

6. Post-condition yang menjelaskan state dari sistem setelah Usecase

berakhir

Tabel 4.1 Usecase Scenario Login

Usecase Name Login

Actor Admin, rektor, kepala pustipanda, koordinator bidang

Description Usecase ini mendeskripsikan event dari aktor melakukan

login dengan memasukkan username dan password untuk

mengakses website system.

Pre Condation Aktor harus memiliki username dan password yang telah

terdaftar pada sistem

Main Flow 1. Membuka sistem

54


2. Sistem membuka halaman login

3. Memasukan Username dan password, lalu klik tombol

‘masuk’.

4. Sistem mengecek kesesuaian Username dan password.

5. Sistem menampilkan halaman utama sesuai

otentifikasi aktor

Alternate Courses Jika username dan password yang dimasukkan belum

terdapat pada sistem maka sistem akan menampilkan pesan

kesalahan dan kembali menampilkan halaman login

Post Condition Aktor berhasil masuk ke dalam sistem

Tabel 4.2 Usecase scenario Managemen Login

Usecase Name Management Login

Actor Admin

Description Usecase ini menggambarkan aktor dapat menampilkan atau

mengelola data informasi dengan

menambah/mengupdate/menghapus user pada sistem

Pre Condation Tabel dan Form data User telah ada dalam aplikasi.

Main Flow 1. Pilih menu “user”

2. Sistem menampilkan tabel dan informasi User

3. Klik button‘tambah’ untuk memasukan data User baru

4. Klik button‘update’ untuk mengrubah data User

5. Klik button‘delete’ untuk menghapus data User

55


6. Sistem menampilkan Form tambah/update/delete

User

7. Memasukan data pada Form tambah/update/delete

User, lalu klik ‘simpan’

8. Sistem Menghubungkan dengan database

9. Sistem Menampilkan data yang sudah di input kan.

Alternate Courses Jika terjadi kesalahan saat menambahkan data maka sistem

akan menampilkan pesan kesalahan.

Post Condition Data berhasil tersimpan kedalam sistem

Tabel 4.3 Usecase scenario Management Jabatan

Usecase Name Management Jabatan

Actor Admin

Description Usecase ini menggambarkan aktor dapat menambah,

mengupdate, dan menghapus jabatan pada sistem manajemen

risiko

Pre Condation Tabel dan Form jabatan telah ada dalam aplikasi.

Main Flow 1. Pilih menu “Jabatan”

2. Sistem menampilkan tabel dan informasi Jabatan.

3. Memasukan data pada Form Jabatan, lalu klik

‘simpan’.

4. Sistem menghubungkan dengan database

5. Sistem menampilkan data yang sudah di edit

56


Alternate Courses Jika terjadi kesalahan saat menambahkan/mengupdate data

maka sistem akan menampilkan pesan kesalahan.


Tabel 4.4 Usecase Management Aset Kritis

Usecase Name Management Aset Kritis

Actor Kepala Koordinator (Risk Unit)

Description Usecase ini menggambarkan aktor dapat tambah, update, dan

hapus aset kritis pada sistem manajemen risiko

Pre Condation Tabel dan Form aset kritis telah ada dalam aplikasi.

Main Flow 1. Pilih menu “aset kritis”

2. Sistem menampilkan form aset kritis.

3. Pilih Tambah/ update/ hapus aset kritis pada form aset

kritis, lalu klik ‘simpan’.


5. Sistem menampilkan data yang sudah di tambah/

update/di hapus.

Alternate Courses Jika terjadi kesalahan saat menambahkan atau mengupdate

data maka sistem akan menampilkan pesan kesalahan.


Tabel 4.5 Usecase Management Kebutuhan Keamanan

57


Usecase Name Management Kebutuhan Keamanan


Description Usecase ini menggambarkan aktor dapat menambah,

mengupdate, dan menghapus kebutuhan keamanan

Pre Condation Tabel dan Form kebutuhan keamanan telah ada dalam aplikasi.

Main Flow 1. Pilih menu “kebutuhan keamanan”

2. Sistem menampilkan form tambah, update, dan hapus

kebutuhan keamanan

3. Masukan data/ update data / hapus data pada Form

kebutuhan keamanan, lalu klik ‘simpan’.


5. Sistem menampilkan data yang sudah di

input/update/dihapus pada kebutuhan keamanan.

Alternate Courses Jika terjadi kesalahan saat menambahkan/ mengupdate data

maka sistem akan menampilkan pesan kesalahan.


Tabel 4.5 Usecase Manejemen identifikasi ancaman

Usecase Name Manajemen indentifikasi ancaaman

Actor Kepala Koordinator (risk unit)

Description Usecase ini menggambarkan aktor dapat menambahkan,

mengupdate dan menghapus data indentifikasi ancaman pada

sistem aplikasi manajemen risiko.

58


Pre Condation Tabel dan Form indentifikasi ancaman telah ada dalam

aplikasi.

Main Flow 1. Pilih menu identifikasi rancaman

2. Sistem menampilkan form identifikasi ancaman

3. Tekan tombol “tambah”/ “updtae” / “hapus”

4. Sistem menampilkan form tambah/ edit/ hapus data

identifikasi ancaman

5. Memasukan data pada Form identifikasi ancaman, lalu

klik ‘simpan’.


7. Sistem menampilkan data yang sudah di tambah/

update/ hapus.

Alternate Courses Jika terjadi kesalahan saat menambahkan/mengupdate/

menghapus data maka sistem akan menampilkan pesan

kesalahan.


Tabel 4.6 Usecase Management Praktik Keamanan

Usecase Name Management Praktik Keamanan

Actor Kepala koordinator (Risk Unit)

Description Pada Usecase ini aktor dapat menambahkan,mengupdate, dan

menghapus data praktik keamanan yang ada dalam sistem

manajemen risiko.

59


Pre Condation Telah terdapat tabel dan form praktik keamanan

Main Flow 1. Pilih menu praktek keamanan

2. Sistem menampilkan form praktik keamanan



praktik keamanan

5. Memasukan data pada Form praktik keamanan, lalu

klik ‘simpan’.


Sistem menampilkan data yang sudah di tambah/

update/ hapus.



kesalahan.

Post Condition Data berhasil tersimpan kedalam sistem.

Tabel 4.7 Usecase Management Kelemahan Organisasi

Usecase Name Management Kelemahan Organisasi



menghapus data kelemahan organisasi yang ada dalam sistem

manajemen risiko.

Pre Condation Telah terdapat form kelemahan organisasi pada sistem

manajemen risiko

60


Main Flow 1. Pilih menu kelemahan organisasi

2. Sistem menampilkan form kelemahan organisasi



kelemahan organisasi

5. Memasukan data pada Form kelemahan organisasi,

lalu klik ‘simpan’.



update/ hapus.



kesalahan.


Tabel 4.8 Usecase Manajemen Komponen Aset

Usecase Name Management Komponen Aset



menghapus data komponen aset yang ada dalam sistem

manajemen risiko.

Pre Condation Telah terdapat form komponen aset pada sistem manajemen

risiko

Main Flow 1. Pilih menu komponen aset

2. Sistem menampilkan form komponen aset

61




komponen aset

5. Memasukan data pada Form komponen aset, lalu klik

‘simpan’.



update/ hapus.



kesalahan.


Tabel 4.9 Usecase Management Kemungkinan Ancaman

Usecase Name Management Kemungkinaan Ancaman



menghapus data kemungkinan ancaman yang ada dalam

sistem manajemen risiko.

Pre Condation Telah terdapat form kemungkinaan ancaman pada sistem

manajemen risiko

Main Flow 1. Pilih menu kemungkinan ancaman

2. Sistem menampilkan form kemungkinan ancaman


62



kemungkinan ancaman

5. Memasukan data pada Form kemungkinan ancaman ,




update/ hapus.



kesalahan.


Tabel 4.10 Management Potensial Cause

Usecase Name Management Potensial Cause

Actor Kepala pustipanda (Risk owner)

Description Pada Usecase ini aktor dapat mengisi dan menghapus data

potensial cause yang ada dalam sistem manajemen risiko.

Pre Condation Telah terdapat form potensial pada sistem manajemen risiko

Main Flow 1. Pilih menu potensial cause

2. Sistem menampilkan form potensial cause

3. Tekan tombol “tambah”/ “hapus”

4. Sistem menampilkan form tambah/ hapus data

potensial cause

5. Memasukan data pada Form potensial cause, lalu klik

‘simpan’.

63




update/ hapus.



kesalahan.


Tabel 4.11 Identifikasi Risiko

Usecase Name Identifikasi Risiko

Actor Kepala Pustipanda (Risk Owner)

Description Pada Usecase ini aktor dapat mengisi identifikasi risiko yang

ada dalam sistem manajemen risiko.

Pre Condation Telah terdapat form identifikasi risiko pada sistem manajemen

risiko

Main Flow 1. Pilih menu identifikasi risiko

2. Sistem menampilkan form identifikasi risiko

3. Tekan tombol “action” untuk megisi identifikasi risiko



Sistem menampilkan data yang sudah di isi nilai

Alternate Courses Jika terjadi kesalahan saat mengisi data maka sistem akan

menampilkan pesan kesalahan.


64


Tabel 4.12 Usecase Analisis Risiko

Usecase Name Analisis Risiko

Actor Kepala Pustipanda (Risk Owner)

Description Pada Usecase ini aktor dapat mengisi nilai sseverity,

Occurrence, dan detection yang ada dalam sistem manajemen

risiko.

Pre Condation Telah terdapat form analisis risiko pada sistem manajemen

risiko

Main Flow 5. Pilih menu analisis risiko

6. Sistem menampilkan form analisis risiko

7. Tekan tombol “opsi” untuk megisi nilai severity,

occurrence, dan detection lalu klik ‘simpan’.


Sistem menampilkan data yang sudah di isi nilai

Alternate Courses Jika terjadi kesalahan saat mengisi data maka sistem akan

menampilkan pesan kesalahan.


65


Tabel 4.13 Usecase Profil risiko

Usecase Name Profil Risiko

Actor Rektor

Description Pada Usecase ini aktor dapat profil risiko yang ada dalam

sistem manajemen risiko.

Pre Condation Telah terdapat daftar profil risiko pada sistem manajemen

risiko

Main Flow 1. Pilih menu profil risiko

2. Sistem menampilkan daftar profil risiko

Alternate Courses -

Post Condition Daftar profil risiko berhasil ditampilkan

66


4.2.3 Activity Diagram

Activity diagram menggambarkan Activity-Activity yang terjadi dalam

sistem. Berikut ini akan digambarkan tentang Activity diagram pada sistem

manajemen risiko.

a. Activity Diagram Login

Activity Diagram Log in

systemadministrator/user

masukan username dan password

validasi username dan password

menampilkan pesan berhasil log in

masuk ke menu utama

Y

T

Gambar 4.2 Activity Diagram Login

67


b. Activity Diagram Data User

Activity Diagram Data User

Systemadministrator

Y

Phas

e

memilih menu management login

menampilkan menu management log in

tambah update

hapus

menampilkan form tambah/update/

hapus

masukan data

validasi data

T

memproses data

Y

Gambar 4.3 Activity Diagram Data Use

68


c. Activity Diagram Manejemen Jabatan

Activity Diagram Manajemen Jabatan

Admin system

Ph

ase

memilih menu management Jabatan

menampilkan menu management Jabatan

tambah jabatan

update jabatan

hapus jabatan


hapus jabatan

masukan data

validasi

memproses data

<<Y>>

<<T>>

Gambar 4.4 Activity Diagram Manajemen Jabatan

69


d. Activity Diagram Kategori Ancaman

Activity Diagram Kategori Ancaman

Admin system

memilih menu management kategori

ancaman

menampilkan menu management kategori

ancaman

tambah kategori ancaman

update kategori ancaman

hapus kategori ancaman

menampilkan form tambah/update/hapus kategori

acaman

masukan data

validasi

memproses data

<<Y>>

<<T>>

Gambar 4.5 Activity Diagram Kategori Ancaman

70


e. Activity Diagram Kategori Risiko

Activity Diagram Manajemen Kategori Risiko

Admin system

memilih menu management Kategori

risiko

menampilkan menu management kategori

risiko

tambah kategori

risiko

update kategori

risiko

hapus kategori

risiko

menampilkan form tambah/update/hapus kategori

risiko

masukan data

validasi

memproses data

<<Y>>

<<T>>

Gambar 4.6 Activity Diagram Kategori Risiko

71


f. Activity Diagram Identifikasi Risiko

Activity Diagram Identifikasi Risiko

Systemkoordinator bidang

memilih menu manajemen

identifikasi risiko

menampilkan menu manajemen

identifikasi risiko

tambah hapusupdate


hapus

masukan data

validasi data

<<Y>>

data tersimpan ke database

<<T>>

Login

Gambar 4.7 Activity Diagram Identifikasi Risiko

72


g. Activity Diagram Risk Register

Activity Diagram Risk Register

SystemKepala Pustipanda

memilih menu Risk Register

menampilkan menu manajemen Risk

Register

tambah hapusupdate


hapus

masukan data

validasi data

<<Y>>

data tersimpan ke database

<<T>>

Login

Gambar 4.8 Activity Diagram Risk Register

73


h. Activity Diagram Analisis Risiko

Activity Diagram Analisis Risiko

SystemKepala Pustipanda

Ph

ase

memilih menu analisis risiko

menampilkan menu analisis risiko

severity occurrence detection

menampilkan form severity,

occurrence,detection

masukan data

validasi data

<<T>>

memproses data

<<Y>>

Log in

Gambar 4.9 Activity Diagram Analisis Risiko

74


i. Activity Diagram Lihat Profil Risiko

Activity Diagram Lihat Profil Risiko

SystemRektor

memilih menu lihat profil risiko

menampilkan visualisasi profil risiko

Log in

Gambar 4.10 Activity Diagram Lihat Profil Risiko

75


4.2.4 ERD (Entity Relationship Diagram)

Gambar 4.11 Entity Relationship Diagram (ERD)


4.2.5 Sequence Diagram

Sequence diagram menjelaskan secara detail urutan proses yang dilakukan dalam

sistem untuk mencapai tujuan dari Usecase. Berikut ini akan digambarkan tentang

Sequence diagram pada Sistem Manajemen Risiko:

a. Squence Diagram Login

Gambar 4.12 Sequence Diagram Login


b. Sequence Diagram Manajemen Login

Gambar 4.13 Squence Diagram Manajemen Login


c. Sequence Diagram Manajemen Jabatan

Gambar 4.14 Sequence Diagram Manajemen Jabatan


d. Sequence Diagram Manajemen Kategori Risiko

Gambar 4.15 Sequence Diagram Manajemen Kategori Risiko


e. Sequence Diagram Kategori Ancaman

Gambar 4 16 Squence Diagram Kategori Ancaman


f. Sequence Diagram Identifikasi Risiko

Gambar 4.17 Sequence Diagram Identifikasi Risiko


g. Sequence Diagram Analisis Risiko

Gambar 4.18 Sequence Diagram Analisis Risiko


h. Sequence Diagram Lihat Hasil Identifikasi Risiko

Sd Squence Risk Register

kepala pustipanda

System risk register

memilih menu Risk Register

Alt Input Data menekan tombol tambah

menampilkan tambah risk register

memasukan data pada form

menampilkan pesan

validasi

menyimpan data

menampil menu risk register

alt update datamenampilkan tombol update

menampilkan form update risk register

masukan data pada formvalidasi

menyimpan data

menampilkan pesan

alt hapus data

menampilkan tombol hapus

menampilkan form hapus risk register

hapus data pada formvalidaasi

menghapus data

menampilkan peasan

Gambar 4.19 Sequence Diagram Lihat Identifikasi Risiko


i. Sequence Diagram Lihat Profil risiko

Gambar 4.20 Sequence Diagram Lihat Profil Risiko


4.3 Perancangan Interface

Perancangan Interface (tampilan) adalah salah satu hal yang penting dalam

merancang aplikasi. Perancangan tampilan ini diperlukan untuk memberikan

gambaran sepertiapa aplikasi yang nantinya akan dibangun.

a. Rancangan Tampilan Login

Gambar 4 21 Rancangan tampilan login


b. Rancangan Tampilan Managemen User

Gambar 4.22 Rancangan Tampilan Manajemen Login User


c. Rancangan Tampilan Manajemen Jabatan User

Gambar 4.23 Rancangan Tampilan Manajemen Jabatan User


d. Rancangan Tampilan Kategori Aset

Gambar 4 24 Rancangan Tampilan Kategori Aset


e. Rancaangan Tampilan Aset Kritis

Gambar 4.25 Rancangan Tampilan Aset Kritis


f. Rancangan Tampilan Kebutuhan Keamanan

Gambar 4.26 Rancangan Tampilan Kebutuhan Keamanan


g. Rancangan Tampilan Kategori Ancaman

Gambar 4.27 Rancangan Tampilan Kategori Ancaman


h. Rancangan Tampilan Identifikasi Ancaman

Gambar 4.28 Rancangan Tampilan Identifikasi Ancaman


i. Rancangan Tampilan Praktek Keamanan

Gambar 4.29 Rancangan Tampilan Praktek Keamanan


j. Rancangan Tampilan From Kelemahan Organisasi

Gambar 4.30 Rancangan Tampilan Form Kelemahan Organisasi


k. Rancangan Tampilan Form Komponen Aset

Gambar 4.31 Rancangan Tampilah Form Komponen Aset


l. Rancangan Tampilan Form Kemungkinan Ancaman

Gambar 4.32 Rancangan Tampilan Form Kemungkinan Ancaman


m. Rancangan Tampilan form Potential Cause

Gambar 4.33 Rancangan Tampilan Form Potential Cause


n. Rancangan Tampilan Form Analisis risiko

Gambar 4.34 Rancaangan Tampilan Form Analisis Risiko


o. Rancangan Tampilan Profil Risiko

Gambar 4.35 Rancangan Tampilan Profil Risiko


4.4 Pengkodean

Untuk tahap pengkodean (coding), bahasa yang digunakan adalah HTML,CSS dan

PHP menggunakan code editor sublime text 3. Berikut screenshoot dari pengkodean

menggunakan code editor sublime text 3.

Gambar 4.36 ScreenShoot Pengkodean


BAB V

HASIL DAN PEMBAHASAN

5.1 Implementasi

5.1.1 Tampilan Interface Login

Gambar 5.1 Tampilan Interface Login

Pada gambar 5.1 merupakan tampilan login. Pada form tersebut aktor dapat

memasukkan username dan password yang telah terdaftar untuk masuk Key

halaman utama aplikasi.

102


5.1.2 Tampilan Management User

Gambar 5 2 Tampilan Form Management User

Gambar 5.2 menjelaskan menu form management user untuk admin yang merupakan

halaman yang berisi menu tambah user, edit user, hapus user dan logout.

103


5.1.3 Tampilan Manajemen Jabatan

Gambar 5.3 Tampilan Form Manajemen Jabatan

Gambar 5.3 merupakan tampilan form manajemen jabatan untuk admin yang

halamannya berisi tambah jabatan, update jabatan, dan hapus jabatan.

104


5.1.4 Tampilan Daftar Kategori Aset Kritis

Gambar 5.4 Tampilan Form Kategori Aset Kritis

Gambar 5.3 ini merupakan form kategori aset kritis yaitu fase pertama dari OCTAVE

ini akan dilakukan identifikasi aset dan ancaman berbasis aset dengan menggunakan

informasi yang didapat dari koordinator bidang dengan melakukan wawancara.

105


5.1.5 Tampilan Daftar Aset Kritis

Gambar 5.5 Tampilan Form Daftar Aset Kritis

Gambar 5.5 ini merupakan lanjutan dari form kategori aset. Tujuan dari fase ini

adalah untuk mendapatkan profil ancaman berbasis aset. Diharapkan analisis ini

dapat mengidentifikasi aset mana yang dianggap kritis serta menentukan langkah

perlindungan dari aset tersebut. Selain itu organisasi nantinya juga dapat melihat

apakah masing masing aset kritis telah memiliki tingkat keamanan sesuai dengn

kebutuhanya.

106


5.1.6 Tampilah Daftar Kebutuhan Keamanan Aset

Gambar 5.6 Tampilan Form Daftar Kebutuhan Keamanan Aset

Gambar 5.6 adalah Daftar Kebutuhan Keamanan aset. Setelah melakukan identifikasi

dari aset kritis TI, akan dilakukan identifikasi kebutuhan keamanan dari masing-

masing aset. Hal ini dilakukan nantinya untuk dapat mengetahui apa saja yang

dibutuhkan organisasi.

107


5.1.7 Tampilan Kategori Ancaman

Gambar 5.7 Tampilan Form Kategori Ancaman

5.1.8 Tampilan Identifikasi Ancaman

Gambar 5.8 Tampilan Form Identifikasi Ancaman

Gambar 5.8 merupakan daftar ancaman TI yang kemungkinan bisa terjadi pada

organisasi. Setelah melakukan identifikasi kebutuhan keamanan akan dilakukan

identifikasi ancaman yang dikategorikan berdasarkan linkungan, manusia dan

infrastruktur.

108


5.1.9 Tampilan Daftar Praktek Keamanan

Gambar 5.9 Tampilan Form Daftar Praktek Keamanan

Setelah mengetahui ancaman-ancaman apa saja yang dapat terjadi pada aset TI

maka langkah selanjutnya adalah dengan mengidentifikasi praktik keamanan apa saja

yang telah dilakukan oleh organisasi untuk mempersiapkan diri dari ancaman. Hal

ini juga dapat membantu untuk penentuan nilai deteksi pada penilaian risiko. Gambar

5.9 diatas adalah daftar praktik keamanan yang telah diterapkan oleh organisasi.

109


5.1.10 Tampilan Daftar Kelemahan Organisasi

Gambar 5.10 Gambar Tampilan Form Kelemahan Organisasi

Selain praktik keamanan organisasi, terdapat pula beberapa kelemahan organisasi

terkait keamanan teknologi informasi yang didapatkan saat wawancara. Kelemahan

akan menjadi masukan untuk dapat menganalisa risiko maupun penyebab risiko

yang dapat terjadi. Gambar 5.10 diatas merupakan daftar kelemahan organisasi.

110


5.1.11 Tampilan Komponen Utama Aset

Gambar 5.11 Tampilan Form Komponen Utama Aset

Setelah mendapatkan profil bisnis berbasis aset di fase sebelumnya, selanjutnya pada

fase 2 akan dilakukan identifiksai kelemahan infrastruktur yang didapatkan dengan

menggunakan informasi yang didapat dari koordinator bidang di PUSTIPANDA. Pada

fase ini akan dilakukan evaluasi terhadap komponen utama atau beberapa komponen

yang berperan penting untuk berjalannya suatu aset, dari proses identifikasi komponen

utama maka akan ditinjau kelemahannya. Gambar 5.11 merupakan output yang

dihasilkan dari fase ini nantinya adalah daftar komponen utama dan daftar kerentanan

teknologi.

111


5.1.12 Tampilan Kemungkinan Ancaman Aset

Gambar 5. 12 Tampilan Form Kemungkinan Ancaman Aset

Gambar 5.12 merupakan daftar kerentanan teknologi dari masing-masing komponen

utama aset kritis TI organisasi. Setelah mengetahui komponen utama yang terdapat

pada aset kritis, selanjutnya akan dilakukan identifikasi ancaman untuk masing-masing

komponen utama aset kritis. Identifikasi ancaman komponen utama bertujuan untuk

dapat melihat kerentanan dari teknologi yang ada. Dikarenakan komponen utama tadi

merupakan bagian dari aset, tentunya ancaman yang terdapat pada komponen utama

juga akan mengancam aset kritis, maka dari itu hal ini dapat membantu dalam

melihat ancaman secara keseluruhan dan mendetail yang dapat mengganggu aset

kritis.

112


5.1.13 Tampilan Risk Register

Gambar 5.13 Tampilan Form Risk Register

Gambar 5.13 adalah tampilan risk register. Fase 3 ini dikerjakan dengan menggunakan

output dari fase1 dan fase 2.

113


5.1.14 Tampilan Analisis Risiko

Gambar 5.14 Tampilan Form Analisis Risiko

Setelah selesai melakukan proses identifikasi risiko, tahapan selanjutnya adalah

dengan melakukan penilaian risiko berdasarkan FMEA. Penilaian dilakukan dengan

memberikan skor dampak, kemungkinan, dan deteksi untuk masing-masin risiko.

Untuk setiap risiko akan dilakukan perhitungan nilai nilai RPN (risk priority number),

RPN digunakan untuk menilai tingkat prioritas dari setiap risiko yang muncul. Skala

RPN dapat dilihat pada Bab 2.

114


5.1.14 Tampilan Profil Risiko

Gambar 5.15 Tampilan Profil Risiko

Setelah melakukan proses majemen risiko dengan mengidentifikasi dan mengalisis

maka organisasi mendapatkan output profil risiko. Yang berguna untuk mengetahui

level risiko.

115


5.2 Pengujian Sistem

Sistem ini dikembangkan sesuai kebutuhan user. Tujuannya untuk menilai

kemampuan teknis suatu program, pennggunaan sistem dan pelaksanaan

operasionalnya sehingga dapat mengetahui seberapa baik sistem ini berjalan.

Adapun pengujian terhadap sistem yang dilakukan adalah bertujuan untuk

menemukan kesalahan yang masih ada pada sisem.

Pengujian dilakukan di Pustipanda menggunakan data aset kritis Pustipanda

menggunakan pendekatan black-box testing. Dengan menggunakan black-box

testing kita dapat mengetahui apakah sistem dapat memberi keluaran sesuai

harapan. Tabel berikut merupakan hasil pengujian black-box testing yang berisi

persyaratan fungsional sistem yang diuji bersama pengguna.

Tabel 5.1 Pengujian Black-box

No Item Uji Kegiatan Hasil yang

diharapkan

HasilAkurat

1 Halaman Log in Masukan username dan

pasword

Menampilkan

halaman login

SESUAI

2 Halaman

Management

Login

Menginput data user,

mengupdate data user dan

menghapus data user

Menampilkan form

management Login

SESUAI

3 Halaman

Management

Jabatan

Menginput Jabatan,

mengupdate jabatan,

menghapus jabatan

Menampilkan daftar

user dan jabatan

4 Halaman

Management aset

kritis

Menginput, mengupdate, dan

menghapus data aset kritis

Menampilkan daftar

aset kritis organisasi

SESUAI

5 Halaman

Management

kebutuhan

keamanan


menghapus data kebutuhan

keamanan aset

Menampilkan daftar

kebutuhan

keamanan aset

SESUAI

116


6 Halaman

Management

Identifikasi

acaman


menghapus data identifikasi

ancaman

Menampilkan daftar

indentifikasi

ancaman

SESUAI

7 Halaman

Management

praktik

keamanan


menghapus data praktik

keamanan organisasi

Menampilkan daftar

praktik keamanan

organisasi

SESUAI

8 Halaman

Management

kelemahan

organisasi


menghapus data kelemahan

organisasi

Menampilkan daftar

kelemahan

organisasi

SESUAI

9 Halaman

Mangement

Komponen

utama aset


menghapus data komponen

utama aset

Menampilkan

daaftar komponen

utama aset

SESUAI

10 Halaman

Management

kemungkinan

Ancaman


menghapus data

kemungkinan ancaman

Menampilkan

daaftar

kemungkinan

ancaman

SESUAI

11 Halaman

Management

Potential cause


menghapus data potential

cause

Menampilkan datar

potential cause

SESUAI

12 Halaman

Analisis risiko

Menginput nilai

severity,occurrence,detection

Menampilkan hasil

perhitungan RPN

SESUAI

13 Halaman Profil

risiko

Pilih menu profil risiko Menampilkan daftar

risiko beserta level

risiko

SESUAI

Berdasarkan hasil pengujian black-box yang dijabarkan pada tabel 5.1 diatas, maka

dapat diambil kesimpulan bahwa setiap fungsi pada aplikasi yang telah dibuat dapat

berfungsi dengan baik sesuai dengan sistem yang dirancang sebelumnya.


BAB VI

PENUTUP

6.1 Kesimpulan

Berdasarkan hasil penelitian dan penulisan maka dapat ditarik kesimpulan

bahwa penelitian ini telah menjawab rumusan masalah penelitian dan tujuan

penelitian yaitu:

2. Penerapan manajemen risiko yang bersifat manual atau semikomputerisasi

tidak berjalan efektif dalam segi waktu. Dimana harus menulis secara

manual atau mengetik menggunakan Microsoft Excel, sehingga masih

kurang efisien dalam segi waktu.

3. Aplikasi manajemen risiko ini memudahkaan Risk Unit (Koordinator

Bidang) menginput data hasil identifikasi risiko dengan metode OCTAVE

untuk diberikan kepada Risk Owner dan dianalisis menggunakan metode

FMEA melalui beberapa tahapan yaitu menentukan tingkat severity,

menentukan tingkat occurrence, menentukan tingkat detection, menghitung

RPN (Risk Priority Number ). Dari hasil RPN, maka dapat diketahui tingkat

risiko tersebut. Tingkat risiko berdasarkan FMEA adalah Very high (>200),

High (<200), Medium (<120), Low (<80), Very Low (<20).

4. Yang diauthorisasi ke dalam pengoperasian aplikasi management risiko

adalah Administrator, Risk Owner, Risk Unit (Koordinator Bidang), dan

President Director.

5. Dengan adanya aplikasi manajemen risiko online ini dapat mempermudah

organisasi atau perusahaan dalam membuat profil risiko perusahaan.

118


6.2 Saran

Penulis menyadari dalam melakukan penelitian masih memiliki

kekurangan. Oleh karena itu, penulis menyarakan:

1. Perlunya pengembangan sistem berbasis mobile, agar pengguna

tidak perlu repot-repot membuka browser ketika sedang

menggunakan di smartphone masing-masing.

2. Perlu ditambahkannya proses pengambilan keputusan untuk bisa

menyarankan tidakan apa yang harus dilakukan ketika level risiko

berada dalam kategori very high.

119


DAFTAR PUSTAKA

Badan Sertifikasi Manejemen Risiko. (2005). Work Book Level I Global Association

of Risk Professionals.

Budiyanto. (2013). Cara Mudah Membangun Aplikasi WEB PHP. Yogyakarta:

Mediakom.

Desy, I. (2014). Penilaian Risiko Keamanan Informasi Menggunakan Metode Failure

Mode And Effects Analysis Di Divisi TI PT. Bank Xyz Surabaya. Seminar

Nasional Sistem Informasi Indonesia.

Gunardi, A. D. (2015). Penerapan Failure Mode And Effect Analysis (Fmea) Untuk

Mendeteksi Prescription Error Pada Resep Poli Jantung Di Instalasi Rawat

Jalan RDUP Fatmawati.

Mahersmi, B. L. (2016). Analisis Risiko Keamanan Informasi Dengan Menggunakan

Metode Octave Dan Kontrol ISO 27001 Pada Dishubkominfo Kabupaten

Tulungagung. Seminar Nasional Sistem Informasi Indonesia.

Mulyanto. (2015). Sistem Informasi Konsep & Aplikasi. Yogyakarta: Pustaka Pelajar.

Pressman, R. S. (2002). Rekayasa Perangkat Lunak : Pendekatan Praktisi (Buku 1).

Yogyakarta: Andi.

Putri, A. H. (2017). Strategi Mitigasi Risiko Aset Kritis Teknologi Informasi

Menggunakan Metode Octave Dan FMEA. Techno.COM.

Raharjo. (2016). Modul Pemrograman Web (HTML, PHP, & MYSQL). Bandung:

Modula.

120


Setyadi, G. (2015). Mitigasi Risiko Aset Dan Komponen Teknologi Informasi

Berdasarkan Kerangka Kerja OCTAVE Dan FMEA Pada Universitas Dian

Nuswantoro. Journal of Information System.

Soleh, G., & Venny. (2016). Aplikasi Assessment Manajemen Risiko Berbasis Iso

31000:2009 Untuk Membangun Awarness Pemilik Risiko Pada Pt.Angkasa

Pura II (Persero). Seminar Nasional Teknologi Informasi dan Komunikasi.

Susilo, L. J., & Kaho, V. R. (2015). Manajemen Risiko Berbasis ISO 31000:2009

Untuk Industri Nonperbankan. PPM.

The Internal Auditors. (2004). The Role of Internal Auditing in Enterprise-Wide Risk

Management.

121


LAMPIRAN

122


123


Lampiran 1 : Wawancara

Hari/Tanggal : Rabu, 26 September 2018

Narasumber : Bapak Tri Singgih Pramono, MTI

Jabatan : Koordinator Bidang Project Manager

1. Apa sajakah aset kritis yang ada di PUSTIPANDA?

Jawab :

Hardware

- Server

- PC

Software

- AIS

- LKP

- SIM Kepegawaian

Data

- Data Mahasiswa

- Data Transaksi

- Data Keuangan

- Data pegawai dan dosen

Network

- Firewall

- Core switch

- BGP

- Distribusi Switch

- Akses Point

124


People

- Pegawai TI

- Pegawai Non-TI

2. Apa saja kebutuhan keamanan aset tersebut?

Jawab :

- Server membutuh firewall, jaringan internet

- AC harus menyala

- Adanya sumber listrik cadangan

- Listrik harus tetap menyala

3. Bencana alam apa saja yang mungkin dapat terjadi dan mengancam aset kritis

Pustipanda?

Jawab :

Semua kejadian dan musibah bisa saja terjadi.

4. Bagaimana usaha yang telah dilakukan organisasi dalam menghadapi

ancaman yang ada?

Jawab :

- praktik ring backup antar distributionswitch untuk jaringan

- Menghindari ancaman keamanan data dan rule/pengaturan data (virus)

menggunakan firewall

- Spam filter pada email

- Hak akses berbeda

5. Adakah penerapan manajemen risiko pada Pustipanda?

Jawab :

Belum ada.

125


LAMPIRAN 2

Log in

<?php

defined('BASEPATH') OR exit('No direct script access allowed');

class Login extends MY_Controller {

public function index()

{

$this->load->view('login/login_page');

}

public function auth(){

$username = $this->input->post("username", TRUE);

$password = $this->input->post("password", TRUE);

$result = $this->user->check_auth($username,$password);

if($result['auth_status'] != "FAILED"){

if($result['data'][0]->permission == "ADMIN"){

$pages = "admin";

}elseif ($result['data'][0]->permission == "RISK_UNIT") {

$pages = "riskunit";

}elseif ($result['data'][0]->permission == "RISK_OWNER") {

$pages = "riskowner";

}

redirect($pages,'refresh');

126


}else{

$this->session->set_flashdata('flash', 'ENABLED');

redirect('login');

}

}

public function logout(){

session_destroy();

redirect('login');

}

}

Risk Owner

<?php

defined('BASEPATH') OR exit('No direct script access allowed');

class RiskOwner extends MY_Controller {

public function index()

{

redirect('riskowner/risk_identification','refresh');

}

public function risk_identification()

{

$page_data['title'] = 'Identifikasi Resiko';

127


$page_data['url' ] = "risk_identification";

$risk_data = $this->riskIdentification->get_all();

$page_data['data'] = $risk_data;

$this->load-

>view('static/risk_owner/dashboard_header',$page_data);

$this->load-

>view('content/risk_owner/risk_identification_management_page',$page_data

);

$this->load-

>view('static/risk_owner/dashboard_footer',$page_data);

}

public function potential_cause()

{

$page_data['title'] = 'Identifikasi Potential Cause';

$page_data['url' ] = "potential_cause";

$potential_cause = $this->potentialCause->get_all();

$threat_list_dropdown = $this->threatList->get_all();

$page_data['data'] = $potential_cause;

$page_data['threat_list_dropdown'] = $threat_list_dropdown;

128


$this->load-


$this->load-

>view('content/risk_owner/potential_cause_management_page',$page_data);

$this->load-


}

public function risk_scoring()

{

$page_data['title'] = 'Analisis Risiko';

$page_data['url' ] = "risk_scoring";

$risk_data = $this->riskScore->get_all();

$page_data['data'] = $risk_data;

$this->load-


$this->load-

>view('content/risk_owner/risk_score_management_page',$page_data);

$this->load-


}

}

Profil risiko

<div class="material-datatables table-responsive">

129


<table id="datatables" class="table" cellspacing="0"

width="100%" style="width:100%">

<thead class="text-primary">

<th>No</th>

<th>Kategori</th>

<th>Aset Terkait</th>

<th>Resiko</th>

<th>Potential Cause</th>

<th>RPN</th>

<th>Level</th>

</thead>

<tbody>

<?php $counter=1; foreach($data as $item){ ?>

<?php if($item->level == 'UNLABELED'){?>

<tr class="very- low">

<?php }else if($item->level == 'LOW'){?>

<tr class="low">

<?php }else if($item->level == 'MEDIUM'){?>

<tr class="moderate">

<?php }else if($item->level == 'HIGH'){?>

<tr class="high">

<?php }else if($item->level == 'VERY_HIGH'){?>

<tr class="very-high">

<?php } ?>

<td><?=$counter;?></td>

<td><?=$item->category?></td>

130


<td><?=$item->critical_asset?></td>

<td><?=$item->risk_desc?></td>

<td><?=$item->potential_cause_desc?></td>

<td><?=$item->rpn?></td>

<?php if($item->level == 'UNLABELED'){?>

<td>BELUM DIHITUNG</td>

<?php }else{?>

<td><?=$item->level?></td>

<?php }?>

</tr>

<?php $counter++; } ?>

aplikasi manajemen risiko menggunakan...

Documents