MANAJEMEN RISIKO SISTEM INFORMASI PADA PERGURUAN TINGGI MENGGUNAKAN KERANGKA KERJA NIST SP 800-300
-
Upload
teknik-informatika-politeknik-tedc-bandung -
Category
Data & Analytics
-
view
647 -
download
11
Transcript of MANAJEMEN RISIKO SISTEM INFORMASI PADA PERGURUAN TINGGI MENGGUNAKAN KERANGKA KERJA NIST SP 800-300
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016
121
Ucu Nugraha
Seminar Nasional Telekomunikasi dan Informatika 2016
ISSN : 2503-2844
MANAJEMEN RISIKO SISTEM INFORMASI
PADA PERGURUAN TINGGI
MENGGUNAKAN KERANGKA KERJA NIST SP 800-300
Ucu Nugraha
Program Studi Sistem Informasi, Universitas Widyatama
Jl. Cikutra No. 204A Bandung
Email: [email protected]
Abstrak
Seringkali lembaga atau organisasi
memanfaatkan teknologi informasi untuk menunjang
keberlangsungan sistem informasi yang sedang
berjalan. Bagi Perguruan tinggi, teknologi informasi
merupakan salah satu komponen penting dalam
pengelolaan sistem informasi, dimana keberhasilan
pelayanan perguruan tinggi salah satunya bergantung
kepada sejauh mana pengelolaan teknologi informasi
yang sudah dilakukan. Akan tetapi tidak selamanya
pemanfaatan teknologi informasi dalam pengelolaan
sistem informasi sesuai dengan harapan, dalam
penggunaannya muncul berbagai risiko yang dapat
mengganggu keberlangsungan sistem informasi
sehingga dapat mengakibatkan kerugian bagi
perguruan tinggi. Risiko-risiko yang muncul tersebut
perlu diatasi, supaya masalah yang ditimbulkan tidak
mengakibatkan penggunaan teknologi informasi
dapat menghambat kinerja sistem informasi yang
akan merugikan perguruan tinggi. Kerugian dapat
menimbulkan dampak material maupun inmaterial.
Sehingga manajemen risiko sistem informasi sangat
penting untuk diterapkan di Perguruan tinggi, karena
dengan penerapan manajemen risiko diharapkan
dapat mengurangi risiko yang akan terjadi pada
sistem informasi.
NIST SP 800-300 merupakan kerangka kerja
yang digunakan dalam manajemen risiko sistem
informasi, dimana dalam proses manajemen risiko
NIST memberikan 3 tahapan yaitu penilaian risiko,
peringanan risiko, dan evaluasi risiko. Hasil dari
penilaian risiko yang dilakukan, diketahui terdapat 3
risiko yang dapat mengganggu keberlangsungan
sistem informasi Perguruan tinggi, dan masing-
masing risiko memiliki tingkat risiko, diantaranya
tinggi, dan sedang. Hasil akhir dari kegiatan ini
berupa rekomendasi untuk mengurangi risiko yang
akan terjadi pada sistem informasi.
Keywords :
Manajemen risiko, sistem informasi, NIST
Abstract
Often institution or organizations utilizing
information technology to support the sustainability
of the information systems that are running. For
universities, information technology is one of the
important components in the management of
information system, where the success of the service
of the college one of which depend on the extent to
which the management of information technology
that has been done. Bu not forever use of information
technology in the management of information systems
in line with expectations, the use of emerging risk
that could disrupt the continuity of information
systems can result in a lose for the collage. Risk that
arise need to be addressed, so that the problems
caused not result in the use of information technology
can hinder system performance information that
would be detrimental to college. Losses can be a
material impact or immaterial. So that the risk
management information system is essential to apply
in college, because of the application of risk
management is expected to reduce the risks that will
occur in the information system.
NIST SP 800-300 is a framework used in risk
management information system, which in the risk
management process NIST provides three stages,
risk assessment, risk mitigation, and risk evaluation.
The results of the risk assessment, it is known three
are three risks that could disrupt the continuity of
information systems college, and each has a risks
level of risk, including the high and medium. The end
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016
122
Ucu Nugraha
Seminar Nasional Telekomunikasi dan Informatika 2016
ISSN : 2503-2844
result of this activity in the form of recommendations
to reduce the risk that will occur in the information
system.
Keywords:
Risk management, information systems, NIST
I. PENDAHULUAN
Pelayanan pendidikan, khususnya pelayanan
akademik merupakan salah satu sektor vital pada
perguruan tinggi karena merupakan proses bisnis
utamanya. Pelayanan akademik yang cepat dan tepat
tidak terlepas dari peranan sistem informasi yang
ditunjang oleh teknologi informasi yang baik dan
benar.
Perguruan tinggi sebuah lembaga perguruan
tinggi, dimana untuk mencapai tujuan bisnisnya,
seringkali menggunakan Teknologi Informasi dalam
mengelola informasi sebagai basis dalam penciptaan
layanan yang berkualitas ataupun dalam optimalisasi
proses bisnisnya. Meningkatnya tingkat
ketergantungan organisasi pada sistem informasi
sejalan dengan risiko yang mungkin timbul,
sedangkan pihak universitas belum pernah
melakukan penilaian risiko pada implementasi sistem
informasi yang ada dengan menggunakan metode
atau kerangka kerja tertentu.
Salah satu risiko yang timbul adalah risiko
keamanan informasi, dimana informasi menjadi suatu
hal yang penting yang harus tetap tersedia dan dapat
digunakan. Selain itu juga terjaga keberadaannya dari
pihak yang tidak berwenang, baik dari pihak luar
maupun dalam yang akan memanfaatkannya untuk
kepentingan tertentu atau bahkan akan merusak
informasi tersebut. Informasi merupakan sebuah aset
penting bagi Perguruan tinggi ang perlu dilindungi
dan diamankan, sehingga menjamin ketersediaan
informasi yang berguna dan dapat dipercaya baik
oleh lingkungan internal maupun eksternal.
II. TINJAUAN PUSTAKA
Pengertian Risiko
Definisi risiko menurut Stoneburner, seperti
dikutip oleh Yaumi, menyebutkan bahwa risiko
adalah dampak negatif yang diakibatkan dengan
adanya kerentanan (vulnerability), berdasarkan
pertimbangan dari probabilitas maupun dampak
kejadian. Dari beberapa pengertian yang telah
disebutkan, risiko dapat diartikan sebagai dampak
negatif dari suatu ancaman yang mengeksploitasi
kerentanan yang apabila terjadi, akan merugikan
(Yaumi, Surendro, dan Kridanto, 2012).
Risiko adalah suatu ketidakpastian dimasa yang
akan datang tentang kerugian yang harus dipikul oleh
organisasi. Risiko mengandung tiga unsur pembentuk
risiko, yaitu
1. Kemungkinan kejadian atau peristiwa
2. Dampak atau konsekuensi (jika terjadi, risiko
akan membawa akibat atau konsekuensi)
3. Kemungkinan kejadian (risiko masih berupa
kemungkinan atau diukur dalam bentuk
probabilitas).
Pada suatu instansi pendidikan, risiko bisa
timbul dikarenakan oleh pihak eksternal dan pihak
internal. Risiko yang berasal dari pihak eksternal
diantaranya diberlakukannya peraturan perundang-
undangan baru, perkembangan teknologi, bencana
alam dan gangguan keamanan.
Sementara itu, risiko yang bersumber dari pihak
internal diantaranya adanya keterbatasan dana
operasional, sumber daya manusia yang tidak
kompeten, peralatan yang tidak memadai, kebijakan
prosedur yang tidak jelas, suasana kerja yang tidak
kondusif, adanya unsur sabotase dari pegawai, dan
sebagainya (Istiningrum, 2011).
Pengertian Manajemen Risiko
National Institute of Standards and Technology
(NIST) merupakan organisasi pemerintahan di
Amerika Serikat yang menyusun panduan pada
bidang Teknologi Informasi. NIST telah
mempublikasikan NIST Special Publication 800-30
yang berjudul “Risk Management Guide for
Information Technology Systems“, manajemen risiko
merupakan proses yang memungkinan pemimpin
organisasi untuk dapat menyeimbangkan biaya
operasional dan ekonomi yang dikeluarkan untuk
mengurangi risiko dan mencapai keuntungan dengan
melindungi sistem teknologi informasi dan data yang
menudukung misi atau tujuan bisnis organisasi.
Manajemen risiko merupakan suatu proses yang
berkelanjutan dalam menilai, memitigasi, dan
mengevaluasi risiko. Semua ini dilakukan untuk
meningkatkan efektivitas biaya yang dikeluarkan
oleh organisasi guna memastikan keamanan dari
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016
123
Ucu Nugraha
Seminar Nasional Telekomunikasi dan Informatika 2016
ISSN : 2503-2844
sistem teknologi informasi yang digunakan. Sehingga
dapat dipastikan aset teknologi informasi yang
dimiliki oleh organisasi seluruhnya aman dari
berbagai gangguan maupun ancaman yang dapat
merusaknya, baik gangguan dan ancaman dari pihak
internal maupun eksternal.
Kerangka Kerja Manajemen Risiko
Kerangka kerja yang merupakan kumpulan
prosedur standar atau langkah-langkah dan dapat
memberikan pemahaman dalam proses manajemen
risiko, salah satunya adalah NIST, NIST
mengeluarkan rekomendasi melalui publikasi khusus
framework NIST SP 800-30 tentang Risk
Management Guide For Information Technology
System.
Proses manajemen risiko terdapat 3 tahapan
yaitu penilaian risiko (risk assessment), peringanan
risiko (risk mitigation), dan evaluasi risiko (risk
evaluation).
Sumber Ancaman
Sumber ancaman yang memungkinkan dapat
mengganggu kinerja sistem informasi, yaitu ancaman
dari alam, ancaman dari lingkungan, ancaman dari
manusia, dan ancaman dari proses dan teknologi.
Penelitian Manajemen Risiko
Penelitian sebelumnya yang terkait dengan
manajemen risiko dibidang pendidikan yaitu
mengenai manajemen risiko sistem informasi
akademik pada perguruan tinggi mengunakan metode
octave allegro. Tujuan dari penelitian tersebut untuk
mengidentifikasi, menganalisis, mengelola risiko
sistem informasi akademik. Mengembangkan
strategi keamanan sistem informasi untuk
meningkatkan keamanan sistem informasi, dan
membuat kebijakan manajemen risiko yang
mendukung misi dan prioritas organisasi untuk
mengurangi dampak kerugian akibat kerusakan
sistem informasi.
Perbedaan dengan penelitian yang sebelumnya
terletak pada risiko yang dikelola hanya seputar
sistem informasi akademik saja, sedangkan pada
penelitian sekarang ini risiko yang dikelola
mencakup seluruh sistem informasi yang ada pada
perguruan tinggi tersebut, diantaranya sistem
informasi akademik, keuangan, kepegawaian, alumni,
perpustakaan, dosen online dan nilai online.
III. METODE PENELITIAN
Metode penelitian yang digunakan yaitu metode
kualitatif dengan pendekatan studi kasus. Proses
pengumpulan data pada penelitian ini dilakukan
dengan cara wawancara dan observasi. Pengkajin
utama dalam manajemen risiko sistem informasi ini
menggunakan kerangka kerja NIST SP 300-80
sebagai panduan prosedur manajemen risiko. Tahap
pertama adalah melakukan penilaian risiko, dalam
penilaian risiko (risk assessment) ini terdapat 9
tahapan (karakteristik sistem, identifikasi ancaman,
identifikasi kerentanan, analisa kontrol, kemungkinan
yang menentukan, analisa dampak, risiko yang
menentukan, rekomendasi kontrol, dokumentasi
hasil). Tahap kedua dan ketiga adalah peringanan
risiko (risk mitigation) dan evaluasi risiko (risk
evaluation).
Teknik Pengumpulan Data
Teknik dalam pengumpulan data dilakukan
dengan cara melakukan penggalian informasi dari
pihak-pihak yang terlibat dalam sistem informasi
tersebut, penggalian informasi dilakukan dengan
wawancara yang mendalam dan observasi.
Teknik Analisis Data
Setelah semua data terkumpul terkumpul
dengan lengkap, selanjutnya data diolah dan
dianalisis secara kualitatif dengan memperhatikan
fakta-fakta yang terjadi dilapangan berdasarkan
variabel yang sudah ditentukan, kemudian
dimasukkan kedalam tahapan analisis.
EVALUATION
AND
ASSESSMENT
RISK ASSESSMENT RISK MITIGATION
KESIMPULAN
WAWANCARA OBSERVASI
Gambar 1. Metode penelitian
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016
124
Ucu Nugraha
Seminar Nasional Telekomunikasi dan Informatika 2016
ISSN : 2503-2844
IV. HASIL DAN PEMBAHASAN
Penilaian Risiko
Proses penilaian risiko (risk assessment)
dilakukan dengan beberapa tahapan, sesuai dengan
Proses penilaian risiko (risk assessment) dilakukan
dengan beberapa tahapan, sesuai dengan kerangka
kerja NIST SP800-30. Tahapan-tahapan tersebut
sebagai berikut:
1. Karakteristik sistem
Karakteristik sistem yang meliputi sistem
informasi, diantaranya perangkat keras, perangkat
lunak, data dan informasi, dan sumber daya manusia
yang mendukung sistem informasi. Sumber daya
perangkat keras meliputi PC yang digunakan untuk
client dengan perangkat lunak program aplikasi,
Windows XP profesional SP sebagai sistem
operasinya. Sedangkan perangkat lunak pada server
menggunakan SQL Server. Data dan informasi
meliputi data masukan data mahasiswa, data dosen,
data nilai, data transaksi keuangan, data karyawan,
dan data alumni. Sumber daya manusia disini yaitu
operator, operator terbagi menjadi dua, operator
dimasing-masing bagian dan administrator sistem.
2. Identifikasi ancaman
Berikut beberapa sumber ancaman yang
teridentifikasi dapat mengganggu sistem informasi
pada Perguruan tinggi, diantaranya password,
keamanan sistem, backup server hang.
3. Identifikasi kerentanan
Beberapa kerentanan yang teridentifikasi
diantaranya yaitu keamanan sistem, penggunaan
password yang jarang diganti, dan account yang
sudah tidak aktif tidak langsung dihapus, ini rentan
sekali terhadap pencurian data yang dilakukan oleh
orang dalam maupun luar untuk disalah gunakan.
4. Analisa kontrol
Analisa kontrol dalam penilaian risiko belum
terdokumentasi sepenuhnya, pengenalan risiko hanya
sebatas pada pengetahuan dan kesadaran beberapa
operator pengguna sistem. Analisa kontrol
dimungkinkan dapat digunakan dalam penilaian
risiko, diantaranya meliputi: 1. Peran keamanan
teknologi informasi dan tanggung jawab, 2.
Klasifikasi data sensitif, 3. Perencanaan
kelangsungan operasional, 4. Perencanaan
pemuliahan bencana teknologi informasi, 5. Backup
data dan pemulihan sistem, 6. Pengerasan sistem, 7.
Perlindungan dari kode berbahaya, 8. Manajemen
account, 9. Manajemen password, 10. Keamanan
gedung, 11. Deteksi ancaman, 12. Memonitor
keamanan dan logging, 13. Manajemen lisensi
perangkat lunak. Hasil dari analisa kontrol, maka
dapat diketahui potensi ancaman yang akan
mengakibatkan sumber risiko diantaranya: 1.
Password, 2. keamanan sistem, 3. backup server
hang.
5. Kemungkinan yang menentukan
Hasil dari analisis kontrol dijadikan sebagai
bahan acuan dalam penentuan kemungkinan risiko.
Penetuan kemungkinan ini untuk menentukan
besaran tingkat kemungkinan yang akan terjadi
terhadap risiko yang telah teridentifikasi. Tingkat
kemungkinan terbagi menjadi 3 kategori yaitu 1.
Tinggi, sumber ancaman yang memiliki motivasi
tinggi yang dapat merugikan organisasi, hal ini
terjadi karena pengendalian untuk mencegah
kerentanan dilakukan tidak efektif. 2. Sedang,
sumber ancaman memiliki motivasi yang mampu
merugikan organisasi, tetapi organisasi masih dapat
melakukan kontrol yang mana mampu menghambat
keberhasilan dari kerentanan yang ada. 3. Rendah,
sumber ancaman yang memiliki motivasi kurang atau
rendah, kontrol digunakan untuk mencegah atau
mengurangi suatu kerentanan yang akan terjadi pada
organisasi.
Kemungkinan risiko yang menentukan dapat
diidentifikasi sebagai berikut 1. Password memiliki
tingkat kemungkinan risiko sedang, 2. Keamanan
sistem memiliki tingkat kemungkinan risiko tinggi, 3.
Backup server hang memiliki tingkat kemungkinan
risiko tinggi.
6. Analisa dampak
Berdasarkan kemungkinan risiko yang dapat
mengancam keberlangsungan sistem informasi, maka
dampak risikonya dapat dilihat pada tabel berikut ini:
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016
125
Ucu Nugraha
Seminar Nasional Telekomunikasi dan Informatika 2016
ISSN : 2503-2844
Tabel 1. Dampak Risiko
Jenis Risiko Dampak Tingkat
Dampak
Password a. Sulit dalam mengantisipasi
berbagai sumber ancaman b. Memperbanyak history log
yang dapat memperlambat kinerja sistem
Sedang
Keamanan
sistem
a. Masuknya virus dan
menggangu data-data sensitif
b. Kemampuan perlindungan
data menjadi terganggu
Tinggi
Backup server
hang
a. Hilangnya data dan
informasi bereputasi
b. Aset informasi terganggu
Tinggi
7. Risiko yang menentukan
Penentuan risiko ini bertujuan untuk menilai
tingkat risiko terhadap sistem, untuk menilai tingkat
risiko ini mengacu kepada kemungkinan risiko dan
dampak risiko yang sudah ditentukan. Risiko yang
menentukan dapat dilihat pada tabel berikut ini:
Tabel 2. Penentuan Risiko
Jenis
Risiko
Nilai Kemung-
kinan
Nilai
Dam-pak
Ni-
lai
Risi-
ko
Ting-
kat
Risiko
Password 0.5 (sedang) 50
(sedang) 25 Seda-ng
Keamanan
sistem 1.0 (tinggi)
100
(tinggi) 100 Tinggi
Backup
server
hang
1.0 (tinggi) 100 (tinggi)
100 Tinggi
8. Rekomendasi kontrol
Rekomendasi kontrol dapat dilihat pada tabel
berikut ini:
Tabel 3. Rekomendasi Kontrol
Jenis Risiko Tingkat
Risiko
Rekomendasi
Keamanan sistem Tinggi a. Memasang anti virus
dan sejenisnya, firewall, dan memberi
deepfreeze
b. Meng-update anti virus secara berkala
c. Memodifikasi security
system Backup server
hang
Tinggi a. Menyediakan server
cadangan
b. Data selalu di-backup secara periodik
c. Penyimpanan data secara cloud
computing
Password Sedang a. Perubahan password secara berkala
b. Pengaturan dalam
pembuatan password c. Penghapusan
password terhadap
account yang sudah tidak aktif bekerja
9. Dokumentasi hasil
Hasil dari penilaian risiko didokumentasikan
berupa profil risiko yang dapat mengancam
keberlangsungan sistem informasi, dan solusi
pencegahan melalui rekomendasi kontrol sebagai
tindak lanjut proses berikutnya melalui kegiatan
mitigasi risiko.
Peringanan Risiko (Risk Mitigation)
Tahapan ini merupakan tindakan peringanan
terhadap risiko yang sudah terdokumentasi. Hasil dari
penilaian risiko ini berupa profil risiko dengan
berbagai rekomendasi yang sekiranya dapat menjadi
solusi dalam proses meringankan risiko yang sesuai
dengan kebutuhan sistem informasi.
Kegiatan mitigasi risiko ini meliputi prioritas
aksi ini dilakukan dengan mengacu kehasil akhir
penilaian risiko, seperti yang tertera pada tabel 3.
Dimana risiko yang memiliki tingkat tertinggi yang
harus dijadikan sebagai prioritas utama dalam proses
peringanan risiko. Selain itu proses peringanan risiko
ini juga harus menyesuaikan dengan biaya dan
keuntungan yang akan timbul dalam upaya
meminimalisir risiko yang sudah teridentifikasi dan
hasil rekomendasi yang akan dilaksanakan.
Peringanan risiko ini diharapkan dapat
mengatasi permasalahan yang mengganggu terhadap
keberlangsungan sistem informasi pada perguruan
tinggi tersebut, diantaranya rusaknya file-file penting
yang diakibatkan oleh virus, pencurian data dan
informasi oleh pihak-pihak yang tidak berwenang,
serta kehilangan data dan informasi yang diakibatkan
adanya gangguan pada server.
Evaluasi Risiko (Risk Evaluation)
Tahap terakhir dalam manajemen risiko sistem
informasi Perguruan tinggi dengan kerangka kerja
NIST SP 800-30 adalah evaluasi risiko. Perguruan
tinggi harus melaksanakan evaluasi risiko ini secara
periodik, sehingga sistem informasi pada perguruan
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016
126
Ucu Nugraha
Seminar Nasional Telekomunikasi dan Informatika 2016
ISSN : 2503-2844
tinggi tersebut akan berjalan dengan baik sesuai
harapan.
Kegiatan rutin yang dilaksanakan secara
periodik adalah proses backup data, selain itu adanya
penambahan dan penyesuaian fitur-fitur baru yang
diharapkan mampu meningkatkan kehandalan sistem
informasi menjadi bagian dari evaluasi dalam
kegiatan manajemen risiko sistem informasi.
V. KESIMPULAN DAN SARAN
Berdasarkan hasil dan pembahasan maka dapat
diperoleh kesimpulan sebagai berikut:
1. Hasil dari penilaian risiko didapat beberapa
sumber ancaman yang dapat menimbulkan
risiko pada sistem informasi, diantaranya
keamanan sistem yang memiliki tingkat risiko
tinggi, backup server hang yang memiliki
tingkat risiko tinggi, dan password yang
memiliki tingkat risiko sedang.
2. Proses peringanan risiko yang dilakukan di
Perguruan tinggi, dengan menambah server
sebagai cadangan, untuk mengantisipasi
kerusakan server dan dapat melindungi data-
data sensitif.
3. Evaluasi kegiatan manajemen risiko sistem
informasi Perguruan tinggi belum dilaksanakan
sesuai prosedur yang sudah ditetapkan. Untuk
menghindari ancaman yang dapat menimbulkan
risiko terhadap sistem informasi baru
dilaksanakan secara rutin proses backup data
saja.
4. Manajemen risiko dengan menggunakan
kerangka kerja NIST SP 300-80, dapat
mendeskripsikan profil risiko yang dapat
mengancam keberlangsungan sistem informasi.
Atas dasar kesimpulan diatas, maka saran yang
dapat disampaikan sebagai berikut:
1. Untuk menghindari ancaman yang berdampak
negatif terhadap sistem informasi ini maka
diperlukan suatu dokumentasi mengenai hasil
penilaian risiko, peringanan risiko, dan evaluasi
risiko.
2. Penelitian manajemen risiko berikutnya
diharapkan lebih spesifik terhadap manajemen
risiko dibidang keamanan sistem yang berkaitan
dengan sistem informasi berbasis online atau
berkenaan dengan sistem cloud computing.
REFERENSI
Alter, Steven. (1992). Information System: A
Management Perspective. The
Benjamin/Cummings Publishing Company, Inc.
Haag, Stephen., Cummings, Maeve., Dawkins,
James. (2000). Management Information
Systems for the Information Age. 2nd Edition,
Irwin/MacGraw-Hill.
Harris, Tarigan, dan Mawlan. (2012). Analisis
Manajemen Risiko pada Implementasi Sistem
Informasi Keamanan di PT. Pupuk Sriwidjaja
dengan Framework COBIT 4.1. STMIK GI
MDP.
Istiningrum. (2011). Implementasi Penilaian Risiko
dalam Menunjang Pencapaian Tujuan Instansi
Pendidikan. UNY.
Jakaria, Dirgahayu, dan Hendrik. (2013). Manajemen
Risiko Sistem Informasi Akademik pada
Perguruan tinggi Menggunakan Metode Octave
Allegro. SNATI Yogyakarta.
Maulana, dan Supangkat. (2006). Pemodelan
Framework Manajemen Risiko Teknologi
Informasi untuk perusahaan di Negara
berkembang. ITB.
Stoneburner, A. Goguen and A. Feringa. (2002)
“Risk Management Guide for Information
Technology System”, Recommedation of
National Institute of Standards and Technology
Special Publication 800-30.
Ward, J., and Peppard, J. (2003). Strategic Planning
for Information Systems. 3 Edition. John
Wiley & Sons, Ltd., USA.
Yaumi, dan Surendro. (2012). Model Manajemen
Risiko pada Penerapan Cloud Computing untuk
Sistem Informasi di Perguruan tinggi
Menggunakan Framework COSO ERM dan
FMEA (studi kasus: ITB). ITB.