Review Jurnal: MANAJEMEN RISIKO SISTEM INFORMASI PADA PERGURUAN TINGGI MENGGUNAKAN KERANGKA KERJA NIST SP 800-300 MANAJEMEN RISIKO SISTEM INFORMASI PADA PERGURUAN TINGGI MENGGUNAKAN KERANGKA KERJA NIST SP 800-300

Nama: Alfalah afta

Judul:

 MANAJEMEN RISIKO SISTEM INFORMASI

PADA PERGURUAN TINGGI

MENGGUNAKAN KERANGKA KERJA NIST SP 800-300

 MANAJEMEN RISIKO SISTEM INFORMASI

PADA PERGURUAN TINGGI

MENGGUNAKAN KERANGKA KERJA NIST SP 800-300

Pendahuluan

Meningkatnya tingkat ketergantungan organisasi pada sistem informasi sejalan dengan risiko yang mungkin timbul, sedangkan pihak universitas belum pernah melakukan penilaian risiko pada implementasi sistem informasi yang ada dengan menggunakan metode atau kerangka kerja tertentu.

Salah satu risiko yang timbul adalah risiko keamanan informasi, dimana informasi menjadi suatu hal yang penting yang harus tetap tersedia dan dapat digunakan. Selain itu juga terjaga keberadaannya dari pihak yang tidak berwenang, baik dari pihak luar maupun dalam yang akan memanfaatkannya untuk kepentingan tertentu atau bahkan akan merusak informasi tersebut.

Tinjauan Pusataka

Pengertian Risiko adalah dampak negatif yang diakibatkan dengan adanya kerentanan (vulnerability), berdasarkan pertimbangan dari probabilitas maupun dampak kejadian.

Risiko mengandung tiga unsur pembentuk risiko, yaitu

1. Kemungkinan kejadian atau peristiwa

2. Dampak atau konsekuensi (jika terjadi, risiko akan membawa akibat atau konsekuensi)

3. Kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk probabilitas).

Pengertian Manajemen Risiko merupakan suatu proses yang berkelanjutan dalam menilai, memitigasi, dan mengevaluasi risiko. Semua ini dilakukan untuk meningkatkan efektivitas biaya yang dikeluarkan oleh organisasi guna memastikan keamanan darisistem teknologi informasi yang digunakan. Sehingga dapat dipastikan aset teknologi informasi yang dimiliki oleh organisasi seluruhnya aman dari berbagai gangguan. Proses manajemen risiko terdapat 3 tahapan yaitu penilaian risiko (risk assessment), peringanan risiko (risk mitigation), dan evaluasi risiko (risk evaluation).

Tujuan

NIST SP 800-300 merupakan kerangka kerja yang digunakan dalam manajemen risiko sistem informasi, dimana dalam proses manajemen risiko NIST memberikan 3 tahapan yaitu penilaian risiko, peringanan risiko, dan evaluasi risiko.

Metode Penelitian

Metode penelitian yang digunakan yaitu metode kualitatif dengan pendekatan studi kasus. Proses pengumpulan data pada penelitian ini dilakukan dengan cara wawancara dan observasi. Pengkajin utama dalam manajemen risiko sistem informasi ini menggunakan kerangka kerja NIST SP 300-80 sebagai panduan prosedur manajemen risiko.

Pembahasan

Proses penilaian risiko (risk assessment) dilakukan dengan beberapa tahapan, sesuai dengan Proses penilaian risiko (risk assessment) dilakukan dengan beberapa tahapan, sesuai dengan kerangka kerja NIST SP800-30. Tahapan-tahapan tersebut sebagai berikut:

1. Karakteristik sistem

2. Identifikasi ancaman

3. Identifikasi kerentanan

4. Analisa kontrol

5. Kemungkinan yang menentukan

6. Analisa dampak

7. Risiko yang menentukan

8. Rekomendasi kontrol

9. Dokumentasi hasil

Peringanan Risiko (Risk Mitigation) Tahapan ini merupakan tindakan peringanan terhadap risiko yang sudah terdokumentasi. Hasil dari penilaian risiko ini berupa profil risiko dengan berbagai rekomendasi yang sekiranya dapat menjadi solusi dalam proses meringankan risiko yang sesuai dengan kebutuhan sistem informasi.

Evaluasi Risiko (Risk Evaluation) Tahap terakhir dalam manajemen risiko sistem informasi Perguruan tinggi dengan kerangka kerja NIST SP 800-30 adalah evaluasi risiko. Perguruan tinggi harus melaksanakan evaluasi risiko ini secara periodik, sehingga sistem informasi pada perguruantinggi tersebut akan berjalan dengan baik sesuai harapan.

Kelebihan

- Abstrak jelas, sehingga dengan membaca abstraknya saja pembaca dapat mengetahui hasil dari -penelitian tersebut
- kesimpulan yang dibuat sudah terperinci dan dipaparkan secara jelas

Kekurangan

- Terlalu banyak kata-kata yang seharusnya bisa lebih di persingkat lagi

Kesimpulan

Berdasarkan hasil dan pembahasan maka dapat diperoleh kesimpulan sebagai berikut:

1. Hasil dari penilaian risiko didapat beberapa sumber ancaman yang dapat menimbulkan risiko pada sistem informasi, diantaranya keamanan sistem yang memiliki tingkat risiko tinggi, backup server hang yang memiliki tingkat risiko tinggi, dan password yang memiliki tingkat risiko sedang.

2. Proses peringanan risiko yang dilakukan di Perguruan tinggi, dengan menambah server sebagai cadangan, untuk mengantisipasi kerusakan server dan dapat melindungi data-data sensitif.

3. Evaluasi kegiatan manajemen risiko sistem informasi Perguruan tinggi belum dilaksanakan sesuai prosedur yang sudah ditetapkan. Untuk menghindari ancaman yang dapat menimbulkan risiko terhadap sistem informasi baru dilaksanakan secara rutin proses backup data saja.

4. Manajemen risiko dengan menggunakan kerangka kerja NIST SP 300-80, dapat mendeskripsikan profil risiko yang dapat mengancam keberlangsungan sistem informasi