Perpustakaan Digital ITB

Teknologi memegang peranan penting dalam kehidupan, namun keamanan informasi yang menjadi bagian dari pengelolaan teknologi belum berkembang secara merata. Peningkatan keamanan informasi dapat dilakukan apabila perusahaan mengenali sistem dan risiko yang dimiliki sistem tersebut. Hal ini dapat dicapai dengan melakukan manajemen risiko. Berdasarkan permasalahan tersebut, penelitan ini akan membahas mengenai penerapan kerangka kerja manajemen risiko dimulai dari identifikasi risiko, asesmen risiko, pengukuran besaran, menentukan risiko, hingga pemberian rekomendasi terhadap risiko pada sistem elektronik. Penelitian ini akan mengimplementasikan kerangka kerja NIST SP 800-30 dengan beberapa penyesuaian. Ancaman diidentifikasi yaitu bersumber dari sumber internal dan eksternal dengan berbagai motivasi. Selanjutnya kerentanan diperoleh dengan menganalisis hasil audit, rekomendasi vendor, ataupun dengan melakukan asesmen daftar OWASP Top 10 dan CWE Top 25 terhadap sistem elektronik. Kerentanan dinilai kemungkinan dan dampaknya, lalu dikalikan. Hasilnya manajemen risiko dapat dilakukan untuk meningkatkan keamanan informasi. Hal ini terbukti melalui studi kasus pada PT XYZ. Dari asesmen yang dilakukan penulis dari September 2020 hingga Agustus 2021, PT XYZ memiliki sepuluh risiko yang diidentifikasi yaitu dua risiko tinggi, tiga risiko menengah, dan lima risiko rendah. Setiap risiko diberikan rekomendasi berdasarkan tingkatan risikonya.