EL-5216 Risiko Pengumpulan Fotokopi KTP

Pengertian Kartu Tanda Penduduk

ktp 1            ktp 2

Gambar 1. Kartu Tanda Penduduk Indonesia

Kartu Tanda Penduduk (KTP) ialah identitas resmi Penduduk sebagai bukti diri yang diterbitkan oleh Instansi Pelaksana yang berlaku di seluruh wilayah Negara Kesatuan Republik Indonesia. Kartu ini wajib dimiliki bagi Warga Negara Indonesia (WNI) dan Warga Negara Asing (WNA) yang memiliki Izin Tinggal Tetap (ITAP) yang sudah berumur 17 tahun atau sudah pernah kawin atau telah kawin. Anak dari orang tua WNA yang memiliki ITAP dan sudah berumur 17 tahun juga wajib memilki KTP. KTP bagi WNI berlaku selama lima tahun dan tanggal berakhirnya disesuaikan dengan tanggal dan bulan kelahiran yang bersangkutan. KTP bagi WNA berlaku sesuai dengan masa Izin Tinggal Tetap. Khusus warga yang telah berusia 60 tahun dan ke atas, mendapat KTP seumur hidup yang tidak perlu diperpanjang setiap lima tahun sekali.

Manfaat Kartu Tanda Penduduk

KTP berisi informasi mengenai sang pemilik kartu, termasuk:

  • N.I.K.
  • Nama Lengkap
  • Tempat & Tanggal lahir
  • Jenis Kelamin
  • Agama
  • Status
  • Golongan darah
  • Alamat lengkap pemegang KTP (RT, RW, Kelurahan, dan Kecamatan)
  • Pekerjaan
  • Pas Foto
  • Tempat dan tanggal dikeluarkannya KTP
  • Tanda tangan pemegang KTP
  • Nama dan nomor induk pegawai pejabat yang menandatanganinya

Business Process

BP itb

Gambar 2. Peta Strategi Bisnis PengembanganITB 2011-2015

Dapat dilihat pada gambar diatas, workflow dari bisnis proses yang terdapat pada ITB. Dapat dilihat pada gambar aliran data, pengembangan sumber daya, serta manajemen yang terdapat dalam strategi pengembangan ITB. Dengan dikumpulkannya fotocopy KTP kepada direktur kepegawaian di ITB, maka setiap karyawan telah berkontribusi dalam menciptakan suatu manajemen Sumber Daya yang berkualitas. Dapat dilihat bahwa aliran data yang berasal dari dalam kampus, seperti data kepegawaian, mengalir menuju manajemen sumber daya lalu kemudian kepada bagian administrasi. Administrasi kemudian terbagi menjadi tiga bagian, yaitu pengabdian terhadap masyarakat, penelitian dan pengembangan, serta pendidikan. Risiko dalam pengumpulan data kepegawaian tersebut ialah mengenai penggunaan yang tidak bertanggung jawab terhadap data-data penting tersebut.

Skenario Risiko dan Dampaknya

risk mapping

Gambar 3. Risk Mapping

Terdapat beberapa skenario resiko yang dapat dibuat dari kasus dikumpulkannya fotocopy Kartu Tanda Penduduk kepada pihak direktur kepegawaian di ITB, serta dampak yang mungkin ditumbulkan apabila informasi yang terdapat pada kartu pengenal tersebut dipergunakan dengan tidak semestinya.

1.  Pendaftaran Palsu

Dampak: Dengan dikumpulkannya data para karyawan, maka informasi tersebut dapat digunakan untuk melakukan suatu pendaftaran palsu yang hanya memerlukan data diri berupa KTP dan konfirmasi tanggal lahir. Misalnya dalam dunia perbankan, dengan melakukan pembuatan kartu debit kartu kredit dari berbagai bank yang berbeda. Tersangka dapat memanfaatkan hal ini dan melakukan transaksi kartu kredit hingga melebihi batas tanpa perlu melakukan pembayaran.

Risk Level: Tidak dapat diterima.

2. Pemalsuan Tanda Tangan

Dampak: Dengan adanya bentuk tanda tangan pemilik kartu KTP, orang yang tidak berwenang dapat memanfaatkan hal ini untuk melakukan tanda tangan palsu. Misalnya dalam hal permohonan surat rekomendasi dari dosen, tersangka dapat berpura-pura mendatangani seolah-olah surat rekomendasi tersebut memang telah disetujui oleh dosen yang bersangkutan.

Risk Level: Tidak dapat diterima.

3. Modus Operandi Penipuan

Dampak: Dengan adanya identitas yang lengkap serta foto diri yang tertera pada KTP, seseorang dapat memanfaatkan hal tersebut untuk melakukan penipuan ataupun pemerasan. Misalnya saja berpura-pura di telpon dengan telah mengatakan bahwa tersangka kenal dengan korban dan menjelaskan bahwa korban saat ini sedang tertangkap polisi sehingga membutuhkan transfer uang ke rekening tertentu. Untuk meyakinkan korban, pelaku dapat menggunakan ciri-ciri korban yang terdapat pada KTP tersebut.

Risk Level: Tidak dapat diterima.

4. Cyber Crime

Dampak: Saat ini, komunikasi online sudah menjadi suatu hal yang biasa dilakukan oleh sebagian besar orang. Dengan mengetahui informasi data diri seseorang, maka orang yang tidak berwenang dapat saja menggunakan informasi tersebut untuk melakukan pengiriman data palsu secara online dengan mengaku sebagai orang lain. Hal ini dapat dengan mudah dilakukan misalnya saja ketika dalam proses pengiriman surat elektronik/ e-mail.

Risk Level: Tidak dapat diterima.

5. Perusakan Nama Baik

Dampak: Kelanjutan dari pemalsuan jati diri yang telah dijelaskan sebelumnya, dapat juga berkembang ke arah perusakan nama baik. Misalnya saja dalam dunia cyber atau online, tersangka dapat menunjukkan perilaku yang buruk selama melakukan komunikasi online dengan bertindak seolah-olah sebagai pemilik kartu tanda pengenal tersebut.

Risk Level: Sangat tidak dapat diterima.

6. Melakukan Teror

Dampak: Dengan mengetahui alamat dan nomor telepon korban, seseorang dapat dengan mudah melakukan suatu tindakan teror kepada keluarga korban. Misalnya dengan mengirimkan paket yang isinya cukup berbahaya ke rumah korban maupun melakukan telepon teror secara terus menerus kepada keluarga korban.

Risk Level: Sangat tidak dapat diterima.

7. Pembuatan Dokumen atau Surat Palsu

Dampak: Dengan adanya data informasi yang lengkap dari fotokopu KTP tersebut, tersangka dapat saja membuat suatu dokumen atau surat palsu yang menyertakan alamat dari korban agar seolah-olah surat yang dikirim memang berasal dari korban.

Risk Level: Tidak dapat diterima.

8. Data yang Dikumpulkan Hilang

Dampak: Dengan dilakukannya pengumpulan fotokopi KTP secara terpusat, maka secara tidak langsung terdapat pusat pengumpulan data dimana semua informasi karyawan berkumpul di sana. Apabila terjadi kebocoran ataupun kehilangan data, hal ini akan sangat berbahaya karena semua informasi dan data diri dari setiap karyawan dari semua departemen dapat diketahui dan dimanfaatkan oleh orang yang tidak bertanggung jawab.

Risk Level: Sangat tidak dapat diterima.

9. Perbuatan Iseng

Dampak: Dengan mengetahui informasi dari KTP, seseorang dapat melakukan perbuatan iseng dengan berpura-pura menjadi korban. Misalnya dengan mengirimkan SMS atau pesan singkat dengan maksud untuk bertemu di suatu tempat dengan tidak ada keinginan yang jahat.

Risk Level: Dapat diterima.

10. Pembuatan Data Statistik

Dampak: Dengan adanya setiap data yang terdapat pada KTP, pusat direktur kepegawaian ITB, dapat membuat suatu data statistik dari setiap karyawan yang bekerja di ITB. Misalnya jumlah karyawan yang bergolongan darah A ataupun jumlah karyawan yang beragama Kristen.

Risk Level: Kesempatan.

Risk Response

1.  Pendaftaran Palsu

Risk Response: Mitigasi.

Setiap institusi yang membuka pendaftaran, melakukan peningkatan keamanan terhadap setiap calon pendaftar. Misalnya dengan menambahkan persyaratan seperti halnya kartu keluarga, akte kelahiran serta menyebutkan nama orang tua.

2. Pemalsuan Tanda Tangan

Risk Response: Mitigasi.

Setiap tanda tangan yang diberikan sebaiknya disertai pula cap dari lembaga maupun perseorangan yang bersangkutan. Hal ini dimaksudkan untuk mengurangi pemalsuan tanda tangan yang sering dilakukan saat ini.

3. Modus Operandi Penipuan

Risk Response: Mitigasi.

Setiap dilakukannya penipuan, korban diusahakan untuk tetap tenang dan memastikan terlebih dahulu apakah benar yang menelpon atau melakukan penipuan tersebut ialah orang yang dikenal. Selain itu, hal ini dapat pula diantisipasi misalnya dengan cara membuat suatu nomor kontak pribadi yang hanya diketahui oleh para anggota keluarga.

4. Cyber Crime

Risk Response: Mitigasi.

Cyber crime dalam hal pengiriman e-mail palsu dapat diatasi misalnya dengan cara membuat suatu akun e-mail resmi yang tidak dapat di pishing oleh orang lain. Selain itu, dapat pula ditambahkan signature terhadap setiap pesan enkripsi yang dikirim.

5. Perusakan Nama Baik

Risk Response: Transfer.

Setiap perusakan nama baik dapat menimbulkan masalah sosial yang nantinya dapat meluas ke masyarakat. Masalah ini dapat diatasi dengan memanggil pihak ketiga seperti halnya polisi ataupun pihak yang berwenang untuk mengutus tersangka pelaku perusakan nama baik tersebut.

6. Melakukan Teror

Risk Response: Transfer.

Setiap teror yang terjadi dapat segera dilaporkan kepada polisi maupun pihak yang berwenang. Hal ini dimaksudkan supaya teror yang terjadi dapat segera ditangani dan ditemukan tersangka utama penyebab teror tersebut.

7. Pembuatan Dokumen atau Surat Palsu

Risk Response: Mitigasi.

Setiap surat ataupun dokumen yang diterima, sebaiknya dicek terlebih dahulu bukti keasliannya. Hal ini dapat dilakukan dengan cara memberikan cap ataupun signature pada setiap surat yang dikirim. Selain itu, keaslian dapat dicek dari nomor surat yang telah dijanjikan oleh kedua belah pihak antara pengirim dan penerima.

8. Data yang Dikumpulkan Hilang

Risk Response: Transfer.

Dalam pembuatan database suatu perusahaan atau lembaga, diperlukan tingkat keamanan yang sangat tinggi. Apabila terjadi sesuatu terhadap data tersebut, sebaiknya langsung diselesaikan oleh pihak ketiga ataupun orang yang professional jika lembaga tersebut sudah tidak mampu menanganinya.

9. Perbuatan Iseng

Risk Response: Acceptance.

Perbuatan iseng yang dilakukan masih dapat diterima apabila tidak melanggar norma-norma yang berlaku di masyarakat. Agar tidak terkena perbuatan iseng tersebut, perlu adanya awareness dari korban agar tidak mudah percaya terhadap perbuatan iseng yang sering terjadi saat ini.

10. Pembuatan Data Statistik

Risk Response: Acceptance.

Penggunaan data yang ada untuk keperluan pembuatan data statistik masih dapat diperbolehkan. Hal ini karena tidak ada keinginan jahat dari pengumpul data melainkan hanya ingin membuat suatu statistik dari setiap karyawan yang ada.

Prioritasisasi Risk Response

risk prioritasisasi

Gambar 4. Risk Prioritisation Mapping

Berikutnya ialah menentukan prioritasisasi dari risk response yang sudah dimiliki sebelumnya. Hal ini dilakukan dengan membandingkan level risiko dengan perbandingan benefit/cost. Perbandingan benefit/cost merupakan perbandingan antara keuntungan yang didapatkan jika kendali risiko ini dilakukan, dengan biaya yang harus dikeluarkan untuk melakukan kendali terhadap risiko tersebut. Harapannya adalah benefitnya besar dan costnya kecil.

risk proses prioritasisasi

Gambar 5. Proses Prioritasisasi Risk Response

Kesimpulan

Setiap pengumpulan data yang dilakukan oleh direktur kepegawaian ITB, dalam hal ini pengumpulan fotokopi KTP pegawai, perlu dilakukan terlebih dahulu analisis risikonya. Analisis ini dilakukan untuk mengetahui risiko apa saja yang mungkin terjadi serta menentukan level dari masing-masing risiko. Setelah itu ditentukan pula respon apa saja yang tepat dalam mengatasi risiko-risiko tersebut. Terakhir, perlu dilakukan prioritasisasi dari setiap respon untuk menentukan tingkat kepentingan dari setiap respon.

EL-5216 Risiko Penggunaan Cloud Computing

Pengertian Cloud Computing

Bila diartikan secara langsung, cloud computing memiliki arti yaitu komputer awan. Namun apabila diartikan berdasarkan wikipedia, maka cloud computing itu adalah gabungan dari pemanfaatan teknologi (komputasi) dan pengembangan berbasis internet (awan). Cloud computing merupakan sebuah metode komputasi dimana kemampuan TI disediakan sebagai layanan berbasis internet.

Maksud cloud computing

Gambar 1. Cloud Computing

Gambaran sederhana dari proses cloud computing ialah sebagai berikut. Misalkan cloud computing itu merupakan sebuah jaringan listrik. Jika kita sebagai konsumen membutuhkan listrik, maka kita tidak perlu menghasilkan listrik ataupun mempunyai alat pembangkit listrik. Kita hanya perlu memnghubungi penyedia jasa layanan listrik seperti halnya PLN agar dapat menikmati listrik. Kemudian konsumen hanya perlu membayar listrik sesuai dengan kebutuhan yang digunakan.

Seperti halnya ilustrasi diatas, tidak hanya listrik yang dapat dianalogikan dengan cloud computing, layanan komputasipun dapat dianalogikan. Contohnya, jika terdapat sebuah perusahaan yang membutuhkan aplikasi CRM (Costumer Relationship Management).  Perusahaan tersebut tidak harus membeli aplikasi itu, membeli hardware untuk membuat server ataupun menyewa tenaga ahli TI khusus untuk menjaga server dan aplikasi, namun perusahaan hanya perlu memanfaatkan ketersediaan yang disediakan oleh sistem cloud computing.

Misalnya saja apabila dilihat dari contoh di atas, perusahaan Microsoft telah menyediakan aplikasi CRM yang dapat langsung digunakan oleh perusahaan yang membutuhkan aplikasi tersebut. Perusahaan yang membutuhkan itu tinggal menghubungi perusahaan Microsoft dengan menggunakan jaringan internet, lalu berikutnya dapat langsung menggunakan aplikasi CRM yang dibutuhkan. Pembayaran dapat dilakukan secara perbulan, persemester, maupun pertahun tergantung dari kesepakatan yang dilakukan oleh kedua belah pihak. Jadi perusahaan  tidak perlu melakukan investasi awal untuk pembelian hardware server maupun tenaga ahli TI. Itulah salah satu manfaat dari cloud computing yaitu dapat menghemat anggaran suatu perusahaan.cloud computing

Gambar 2. Layanan Cloud Computing

Layanan yang diberikan oleh cloud computing terbagi menjadi tiga bagian, yaitu:

  1. Infrastructure as service: Pada layanan ini difokuskan pada pelayanan infrastruktur meliputi grid untuk virtualized server, storage & network sehingga customer dapat mendesain sendiri kebutuhan komputer yang diperlukan. Contohnya seperti Amazon Elastic Compute Cloud dan Simple Storage Service.
  2. Platform as a service: Pada layanan ini difokuskan pada penyediaan suatu platform aplikasi dimana dalam hal ini seorang developer tidak perlu memikirkan hardware dan tetap fokus pada pembuatan aplikasi tanpa harus mengkhawatirkan sistem operasi, infrastructure scaling, load balancing dan lain-lain. Contohnya yang sudah mengimplementasikan ini adalah Force.com dan Microsoft Azure investment.
  3. Software as a service: Pada layanan ini, difokuskan pada penyediaan aplikasi dengan Web-based interface yang diakses melalui Web Service dan Web 2.0. Contohnya adalah Google Apps, SalesForce.com dan aplikasi jejaring sosial seperti Facebook.

Keuntungan Cloud Computing

benefits cloud computing

Gambar 3. Cloud Computing Benefits

Pada gambar diatas, dapat dilihat keuntungan dari penggunaan cloud computing dari posisi yang tertinggi hingga terendah. Berikut beberapa keuntungan yang dapat diperoleh.

  1. Menghemat biaya investasi awal untuk pembelian sumber daya (Cost efficiency).
  2. Dapat menghemat waktu pengadaan barang sehingga perusahaan bisa langsung fokus ke profit dan berkembang dengan cepat (Business focus).
  3. Membuat operasional dan manajemen lebih mudah karena sistem pribadi/perusahaan yang tersambung dalam satu cloud dapat dimonitor dan diatur dengan mudah. (Performance).
  4. Menjadikan kolaborasi yang terpercaya dan lebih ramping serta dapat terhubung secara lebih luas (Scalability).
  5. Menghemat biaya operasional pada saat realibilitas ingin ditingkatkan, aplikasi dikembangkan, dan kritikal sistem informasi yang dibangun (Rapid developments).

Kelemahan Cloud Computing

Akses jaringan pada cloud dapat menjadi lambat jika internet mengalami permasalahan ataupun kelebihan beban. Kemudian perusahaan juga tidak memiliki hak akses langsung ke sumber daya yang disediakan oleh pihak cloud. Jadi, semua bergantung dari kondisi vendor/penyedia layanan cloud computing, jika server vendor rusak atau punya layanan backup yang buruk, maka perusahaan akan mengalami kerugian besar. Selain itu, hal terpenting lainnya dari kekurangan sistem cloud ialah keamanannya dimana dalam setiap pertukaran data yang terjadi antara pengguna dan server dapat terjadi suatu penyadapan/pencurian data.

Workflow dan Proses Bisnis Cloud Computing

Proses Bisnis

Gambar 4. Proses Bisnis Cloud Computing

Dapat dilihat pada gambar diatas, workflow dari proses bisnis cloud computing. Pada aliran diatas, diawali dengan penentuan jenis layanan yang akan diberikan oleh penyedia layanan. Penyedia layanan harus dapat mendesain jenis layanan yang akan diberikan kepada pengguna, serta sistem layanan yang mendukung kenyamanan seperti halnya keamanan dan ketersediaan data. Dengan desain layanan yang baik, proses bisnis layanan cloud computing ini dapat terhindar dari risiko permasalahan ketersediaan data dan layanan serta permasalahan pengamanan data dengan menggunakan enkripsi data. 

Kemudian, layanan yang didesain haruslah memenuhi kebutuhan jenis pemakaian layanan dan memiliki keamanan yang telah diatur dalam standar. Dalam pemenuhannya, penyedia layanan harus melakukan uji sistemnya demi memenuhi standar yang berlaku. Hal ini dilakukan agar dapat menghindarkan bisnis dari resiko permasalahan dalam pemenuhan aspek hukum dan standar. Setelah diuji dan memeuhi standar layanan yang terkait, penyedia layanan dapat meluncurkan layananannya agar para pengguna atau calon konsumen dapat mengetahui dan mengakses layanan tersebut.

Setelah layanan diluncurkan, pengguna dapat memilih layanan apa yang akan digunakan untuk melanjutkan proses bisnis layanan. Sebelum pengguna menggunakan layanan, pengguna harus menyetujui syarat dan ketentuan yang berlaku dalam pemakaian layanan. Hal ini untuk menghindarkan bisnis cloud computing dari risiko permasalahan kendali data. Pengguna layanan juga dapat mengatur layanan yang ingin digunakannya dalam perusahaan. Jika pengguna menggunakan layanan untuk perusahaan, maka pengguna harus memilih peran yang dijalankan dalam perusahaan tersebut. Hal ini dapat menghindarkan pengguna dari akses layanan yang tidak terotorisasi baik dari dalam perusahaan maupun di luar perusahaan.

Kemudian setelah disetujui, pengguna dapat mengakses layanan yang diberikan penyedia. Namun pada pelaksanaan akses layanan, pengguna akan mulai menemui risiko permasalahan mengenai privasi data dan keaslian data yang mungkin dapat diserang oleh “man in the middle” (pengambilan data oleh pihak yang tidak berwenang), untuk menghindari risiko tersebut digunakan enkripsi dan hash data yang sesuai. Dalam akses layanan ini, terdapat pula risiko mekanisme otentikasi yang lemah sehingga berisiko dapat diambil alih oleh pihak yang tidak berwenang, risiko dalam pemakaian perangkat bergerak (mobile), risiko peretasan secara global dengan internet, risiko peretasan jaringan layanan, dan risiko permasalahan pengelompokan lingkungan jaringan. Untuk menangani risiko ini dilakukan pemasangan mekanisme otorisasi akses yang kuat sebagai bentuk pencegahan serta pemantauan dan peninjauan layanan oleh penyedia untuk menyiapkan langkah mitigasinya apabila resiko terjadi.

Dalam setiap perlakuan terhadap aliran bisnis yang terjadi, terdapat kemungkinan risiko yang dapat terjadi seperti dijelaskan sebelumnya. Oleh karena itu, diperlukan suatu bentuk mitigasi maupun pencegahan yang dapat dilakukan oleh penyedia layanan dan didukung oleh para pengguna agar dapat menciptakan suatu sistem yang aman dan nyaman.

Skenario Risiko dan Analisis Risiko Cloud Computing

Gambar mapping

Gambar 5. Risk Mapping

A.   Keamanan Data, Administrasi, dan Kendali

cloud 1

Gambar 6. Aspek Keamanan Data, Administrasi, dan Kendali

1.    Privasi Data
Risk level: Tidak dapat diterima
Data yang dikirim dengan menggunakan sistem cloud computing dapat diambil oleh pihak    yang tidak berwenang.

Jenis respon: Menghindar
Respon:
•      Memilah jenis informasi yang dikirim ke server cloud computing. Informasi pada cloud server haruslah teridentifikasi dan terklarifikasi dengan tepat.
•      Menggunakan sistem kerahasiaan yang aman untuk setiap data yang dirasa sangat penting bagi pengguna.

2.    Kendali Data
Risk level: Dapat diterima
Setiap pengguna yang melakukan pengiriman data ke cloud server tidak mempunyai kendali atas data yang dikirimkannya.

Jenis respon: Transfer
Respon:
•      Melaksanakan audit dari pihak ketiga secara teratur untuk memantau penyedia layanan jasa cloud computing.

3.    Ketersediaan Data dan Layanan
Risk level: Tidak dapat diterima
Data dan layanan dari cloud computing dapat mengalami kerusakan sewaktu-waktu dan tidak dapat diakses.

Jenis respon: Menghindar
Respon:
•      Menyediakan back-up data dan mekanisme penyediaan data cadangan.

4.    Keaslian Data
Risk level: Sangat tidak dapat diterima
Data yang dikirim kepada pengguna dapat diragukan keasliannya.

Jenis respon: Mitigasi
Respon:
•      Mengelola setiap perubahan yang terjadi dalam lingkungan cloud untuk meminimalkan terjadinya gangguan dan perubahan yang tidak terotorisasi.

5.    Enkripsi Data
Risk level: Kesempatan
Setiap data yang tersimpan dalam cloud server dapat dilihat dengan mudah oleh pihak yang tidak berwenang.

Jenis respon: Mitigasi
Respon:
•      Melakukan kendali dan kelola terhadap metode cryptography yang digunakan.

B.   Akses Logikal

cloud 2

Gambar 7. Aspek Akses Logikal

1.    Otorisasi Akses
Risk level: Sangat tidak dapat diterima
Dalam pengaksesan data kepada server, akses data dapat dilakukan oleh pihak yang tidak berwenang.

       Jenis respon: Mitigasi
Respon:
•      Melakukan peninjauan secara teratur dan pemantauan terhadap kewenangan akses.
•      Membuat mekanisme otentikasi yang jelas bagi setiap jenis otorisasi yang berwenang.

2.    Mekanisme Otentikasi
Risk level: Tidak dapat diterima
Mekanisme yang diperlukan untuk mengotentikasi pengguna lemah.

Jenis respon: Menghindar
Respon:
•      Memberikan pembatasan akses profil berdasarkan definisi peran dan klasifikasi informasi.
•      Membuat sistem otentikasi berlapis kepada setiap user yang ingin melakukan akses data.

C.   Keamanan Jaringan

Firewall

Gambar 8. Aspek Keamanan Jaringan

1   1.     Peretasan Jaringan
Risk level: Sangat tidak dapat diterima
Jaringan data pada cloud computing dapat diretas oleh pihak yang tidak bertanggung jawab.

      Jenis respon: Mitigasi
Respon:
•      Melakukan kendali level jaringan untuk mengamankan jaringan sistem.
•      Melakukan peningkatan terhadap keamanan jaringan sistem.

2.    Lingkungan Jaringan
Risk level: Dapat diterima
Lingkungan jaringan yang menyatu tanpa adanya zona atau pembagian lingkup jaringan, dapat diserang dan merusak keseluruhan sistem.

Jenis respon: Menghindar
Respon:
•    Mendirikan pembagian zona yang terpecaya, misalnya melalui mesin virtual.
•    Zona yang dibuat dimaksudkan agar tidak langsung mempengaruhi zona lainnya dalam keseluruhan sistem.

3.    Keamanan Perangkat Bergerak
Risk level: Tidak dapat diterima
Dalam melakukan pengaksesan ataupun otentikasi, saat ini dapat dilakukan secara mobile melalui perangkat bergerak. Namun, semakin berkembangnya teknologi, perangkat bergerak dapat diretas, baik secara teknis maupun sosial.

Jenis respon: Mitigasi
Respon:
•     Melakukan kendali keamanan antara perangkat bergerak dan layanan cloud computing.
•     Meningkatkan level keamanan jaringan wireless sistem.

D.   Keamanan Fisik

cloud 4

Gambar 9. Aspek Keamanan Fisik

1.    Keamanan Lokasi Global
Risk level: Dapat diterima
Dengan digunakan serta diterapkannya cloud computing dalam proses bisnis, maka lebih membuka peluang untuk diretas secara online.

      Jenis respon: Mitigasi
Respon:
•     Melakukan kendali terhadap data enkripsi dan level keamanan jaringan.

E.   Pemenuhan

Clipboard with Checklist and Red Pen

Gambar 10. Aspek Pemenuhan

1.     Pemenuhan Aspek Hukum dan Standar
Risk level: Tidak dapat diterima
Aspek hukum dan standar harus dipenuhi agar keamanan cloud computing terjamin.

       Jenis respon: Transfer
Respon:
•      Memastikan bahwa penyedia layanan bersedia untuk diaudit dan melakukan sertifikasi.
•      Layanan yang disediakan oleh penyedia jasa harus dapat memenuhi standar yang telah ditetapkan.

Prioritasisasi Risk Response

risk prioritisation

Gambar 11. Risk Prioritisation Mapping

Berikutnya ialah menentukan prioritasisasi dari risk response yang sudah dimiliki sebelumnya. Hal ini dilakukan dengan membandingkan level risiko dengan perbandingan benefit/cost. Perbandingan benefit/cost merupakan perbandingan antara keuntungan yang didapatkan jika kendali risiko ini dilakukan, dengan biaya yang harus dikeluarkan untuk melakukan kendali terhadap risiko tersebut. Harapannya adalah benefitnya besar dan costnya kecil.

benefit cost ratio

Gambar 12. Proses Prioritasisasi Risk Response

Referensi

[1] M. Carroll, P. Kotze, Secure Cloud Computing: Benefits, Risks, and Controls. USA: IEEE 2011.

[2] B. Bhargava, A. Kim, Y.S Cho, Research in Cloud Security and Privacy. USA: Purdue University 2011.

[3] S.A. Babb, E. Anton, J. Bleicher, D. Oliver, G. Rouissi, A. Tuteja, COBIT 5 for Risk. USA: ISACA 2013.

[4] http://ilhamsk.com/apa-itu-cloud-computing/