MANAJEMEN RISIKO KEAMANAN INFORMASI DALAM MEMINIMALISASI ANCAMAN SIBER PADA PUSAT DATA DAN TEKNOLOGI INFORMASI KOMUNIKASI BADAN SIBER DAN SANDI NEGARA GUNA MENINGKATKAN PERTAHANAN DAN KEAMANAN SIBER
Abstract
- Ancaman siber sekarang sudah sangat meresahkan semua pihak. Ancaman siber perlu diantisipasi agar tidak menimbulkan dampak buruk bagi kelangsungan proses bisnis suatu organisasi. Pusat Data dan Teknologi Informasi Komunikasi (Pusdatik) Badan Siber dan Sandi Negara (BSSN) mempunyai tugas perencanaan, pelaksanaan, evaluasi, dan pelaporan di bidang data dan teknologi informasi komunikasi. Kondisi saat ini penerapan manajemen risiko Pusdatik BSSN masih belum optimal dikarenakan aturan maupun pedoman yang ada saat ini masih minim, adanya insiden yang pernah terjadi seperti salah prosedur maintenance UPS, serta adanya insiden yang terjadi pada website JDIH disebabkan serangan siber. Oleh karena itu, diperlukan manajemen risiko yang baik terhadap aset dan layanan Pusdatik BSSN untuk meminimalisasi ancaman siber. Tujuan penelitian ini adalah untuk mengidentifikasi risiko, menganalisis risiko, serta merencanakan penanganan dan penerimaan risiko dalam meminimalisasi ancaman siber pada Pusdatik BSSN. Penelitian ini menggunakan metode analitis kualitatif dengan pendekatan ISO/IEC 27005 dan NIST 800-30 Revisi 1. Berdasarkan hasil penelitian, didapatkan bahwa 14 aset teridentifikasi sebanyak 13 potensi ancaman, serta terdapat 27 skenario risiko, dimana 14 skenario risiko dapat diterima dan 13 skenario risiko harus dimitigasi. Pada tahap penanganan risiko dan penerimaan risiko, 13 skenario risiko yang dimitigasi diberikan strategi penanganan risiko modifikasi dan 36 rekomendasi kontrol, serta terdapat tiga pihak yang terlibat dan bertangung jawab dalam pengelolaan risiko yaitu Bidang Manajemen Risiko dan Kelangsungan TIK, Bidang Infrastruktur, dan Vendor. Hasil dari penelitian ini adalah dokumen manajemen risiko keamanan informasi yang disertakan dengan rekomendasi kontrol keamanan informasi.References
Asosiasi Penyelenggara Jasa Internet Indonesia. (2020). Laporan Survey Internet Asosiasi Penyelenggara Jasa Internet Indonesia 2019-2020 (Q2). Jakarta: Indonesia Survey Data Center.
Badan Siber dan Sandi Negara. (2021). Laporan Tahunan: Monitoring Keamanan Siber 2020. Jakarta: Badan Siber dan Sandi Negara.
Clinten, B. (2022). Kasus Data Bocor di Indonesia Sepanjang 2022, dari PLN, Pertamina, hingga Aksi Bjorka. Indonesia.
Czosseck, C., Ottis, R., & Talihärm, A. M. (2013). Estonia after the 2007 cyber attacks: Legal, strategic and organisational changes in cyber security. In Case Studies in Information Warfare and Security: For Researchers, Teachers and Students (pp. 72).
ISO/IEC 27005. (2018). “ISO/IEC 27002:2013 Information Technology–Security Techniques – Code of Practice for Information Security Controls”.
International Telecommunication Union. (2021). Global Cybersecurity Index (GCI) 2020.
Marshall, J., & Saulawa, M. (2015). Cyberattack: the legal response. International Journal of International Law, 1(2).
Neuman, W. L. (2015). Metodologi Penelitian Sosial: Pendekatan Kualitatif Dan Kuantitatif. Jakarta: PT Indeks.
Nuriah, S., Rois, B., & Risnaeni, U. S. (2021). Efektivitas manajemen risiko dan hasil. Indonesia.
Peraturan Kepala Badan Siber dan Sandi Negara No. 6 Tahun 2021 tentang Organisasi dan Tata Kerja Badan Siber dan Sandi Negara.
Peraturan Menteri Komunikasi dan Informatika Nomor 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi.
Peraturan Presiden Republik Indonesia Nomor 28 Tahun 2021 tentang Badan Siber dan Sandi Negara.
Peraturan Presiden Republik Indonesia Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik.
Prasetyo, S. (2014). Perencanaan Manajemen Risiko Keamanan Informasi: Studi Kasus Aplikasi Modul Kekayaan Negara Direktorat Jenderal Kekayaan Negara Kementerian Keuangan. Universitas Indonesia.
Sarno, R., & Iffano, I. (2009). Sistem Keamanan Informasi Berbasis ISO 27001. Surabaya: ITSPress.
Tim Direktorat Keamanan Informasi. (2011). Panduan Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik (2nd ed.). Indonesia.
Wilson, C. (2008). Botnets, cybercrime, and cyberterrorism: vulnerabilities and policy issues for Congress. Congressional Research Service. [Electronic version].