Badan Pelaksana Pusat (Balakpus) TNI X merupakan salah satu Badan Pelaksana
Pusat yang bertanggung jawab atas pengumpulan, analisis, dan distribusi informasi
untuk mendukung pengambilan keputusan Tentara Nasional Indonesia. Dalam
Balakpus TNI X terdapat Satuan Kerja InfoData (Satker InfoData) yang
bertanggung jawab atas pengembangan sistem aplikasi informasi, dukungan teknis,
pembangunan dan pengamanan jaringan, pengolahan data informasi, dan
memberikan pelatihan keterampilan. Penggunaan teknologi dalam pengumpulan
dan analisis informasi menimbulkan permasalahan keamanan informasi yang
berasal dari eksternal, yaitu serangan malicious software (malware), dan berasal
dari internal, yaitu komunikasi risiko keamanan informasi yang tidak efektif
sehingga terdapat hidden vulnerabilities. Untuk mendapatkan gambaran risiko
keamanan secara holistik, diperlukan rancangan manajemen risiko keamanan
informasi (MRKI) untuk menilai dan menangani risiko.
Perancangan MRKI mengacu pada standar ISO/IEC 27005:2018 yang berfokus
pada aset. Pada penelitian ini terdapat empat tahapan utama, yaitu identifikasi
risiko, analisis risiko, evaluasi risiko, dan penanganan risiko. Identifikasi risiko
meliput identifikasi aset, jenis aset, kontrol yang telah diterapkan pada aset,
vulnerability, threat, dan threat actors. Analisis risiko memberikan nilai likelihood
dan nilai dampak pada tiap threat di tiap aset dengan menggunakan matriks risiko,
sehingga menghasilkan nilai risiko. Evaluasi risiko memprioritaskan nilai risiko
dengan mengurutkan nilai risiko dari yang tertinggi ke nilai terendah. Penanganan
risiko memberikan usulan kontrol yang mengacu pada ISO/IEC 27002:2013 untuk
mengurangi, mempertahankan, menghindari atau mentransfer risiko.
Hasil penelitian menunjukkan dari 29 aset Satker InfoData, 1 threat-vulnerability
pairs yang tergolong sangat tinggi, 14 threat-vulnerability pairs yang tergolong
tinggi, 35 threat-vulnerability pairs yang tergolong sedang, dan 46 threat-
vulnerability pairs yang tergolong rendah. Terdapat 66 threat-vulnerability pairs
dengan usulan penanganan risk acceptance, 30 threat-vulnerability pairs dengan
usulan penanganan risk reduction, dan 0 threat-vulnerability pairs dengan usulan
penanganan risk transfer dan risk avoidance.