Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016

121

Ucu Nugraha

Seminar Nasional Telekomunikasi dan Informatika 2016

ISSN : 2503-2844

MANAJEMEN RISIKO SISTEM INFORMASI

PADA PERGURUAN TINGGI

MENGGUNAKAN KERANGKA KERJA NIST SP 800-300

Ucu Nugraha

Program Studi Sistem Informasi, Universitas Widyatama

Jl. Cikutra No. 204A Bandung

Email: ucu.nugraha@widyatama.ac.id

Abstrak

Seringkali lembaga atau organisasi

memanfaatkan teknologi informasi untuk menunjang

keberlangsungan sistem informasi yang sedang

berjalan. Bagi Perguruan tinggi, teknologi informasi

merupakan salah satu komponen penting dalam

pengelolaan sistem informasi, dimana keberhasilan

pelayanan perguruan tinggi salah satunya bergantung

kepada sejauh mana pengelolaan teknologi informasi

yang sudah dilakukan. Akan tetapi tidak selamanya

pemanfaatan teknologi informasi dalam pengelolaan

sistem informasi sesuai dengan harapan, dalam

penggunaannya muncul berbagai risiko yang dapat

mengganggu keberlangsungan sistem informasi

sehingga dapat mengakibatkan kerugian bagi

perguruan tinggi. Risiko-risiko yang muncul tersebut

perlu diatasi, supaya masalah yang ditimbulkan tidak

mengakibatkan penggunaan teknologi informasi

dapat menghambat kinerja sistem informasi yang

akan merugikan perguruan tinggi. Kerugian dapat

menimbulkan dampak material maupun inmaterial.

Sehingga manajemen risiko sistem informasi sangat

penting untuk diterapkan di Perguruan tinggi, karena

dengan penerapan manajemen risiko diharapkan

dapat mengurangi risiko yang akan terjadi pada

sistem informasi.

NIST SP 800-300 merupakan kerangka kerja

yang digunakan dalam manajemen risiko sistem

informasi, dimana dalam proses manajemen risiko

NIST memberikan 3 tahapan yaitu penilaian risiko,

peringanan risiko, dan evaluasi risiko. Hasil dari

penilaian risiko yang dilakukan, diketahui terdapat 3

risiko yang dapat mengganggu keberlangsungan

sistem informasi Perguruan tinggi, dan masing-

masing risiko memiliki tingkat risiko, diantaranya

tinggi, dan sedang. Hasil akhir dari kegiatan ini

berupa rekomendasi untuk mengurangi risiko yang

akan terjadi pada sistem informasi.

Keywords :

Manajemen risiko, sistem informasi, NIST

Abstract

Often institution or organizations utilizing

information technology to support the sustainability

of the information systems that are running. For

universities, information technology is one of the

important components in the management of

information system, where the success of the service

of the college one of which depend on the extent to

which the management of information technology

that has been done. Bu not forever use of information

technology in the management of information systems

in line with expectations, the use of emerging risk

that could disrupt the continuity of information

systems can result in a lose for the collage. Risk that

arise need to be addressed, so that the problems

caused not result in the use of information technology

can hinder system performance information that

would be detrimental to college. Losses can be a

material impact or immaterial. So that the risk

management information system is essential to apply

in college, because of the application of risk

management is expected to reduce the risks that will

occur in the information system.

NIST SP 800-300 is a framework used in risk

management information system, which in the risk

management process NIST provides three stages,

risk assessment, risk mitigation, and risk evaluation.

The results of the risk assessment, it is known three

are three risks that could disrupt the continuity of

information systems college, and each has a risks

level of risk, including the high and medium. The end

Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016

122

Ucu Nugraha

Seminar Nasional Telekomunikasi dan Informatika 2016

ISSN : 2503-2844

result of this activity in the form of recommendations

to reduce the risk that will occur in the information

system.

Keywords:

Risk management, information systems, NIST

I. PENDAHULUAN

Pelayanan pendidikan, khususnya pelayanan

akademik merupakan salah satu sektor vital pada

perguruan tinggi karena merupakan proses bisnis

utamanya. Pelayanan akademik yang cepat dan tepat

tidak terlepas dari peranan sistem informasi yang

ditunjang oleh teknologi informasi yang baik dan

benar.

Perguruan tinggi sebuah lembaga perguruan

tinggi, dimana untuk mencapai tujuan bisnisnya,

seringkali menggunakan Teknologi Informasi dalam

mengelola informasi sebagai basis dalam penciptaan

layanan yang berkualitas ataupun dalam optimalisasi

proses bisnisnya. Meningkatnya tingkat

ketergantungan organisasi pada sistem informasi

sejalan dengan risiko yang mungkin timbul,

sedangkan pihak universitas belum pernah

melakukan penilaian risiko pada implementasi sistem

informasi yang ada dengan menggunakan metode

atau kerangka kerja tertentu.

Salah satu risiko yang timbul adalah risiko

keamanan informasi, dimana informasi menjadi suatu

hal yang penting yang harus tetap tersedia dan dapat

digunakan. Selain itu juga terjaga keberadaannya dari

pihak yang tidak berwenang, baik dari pihak luar

maupun dalam yang akan memanfaatkannya untuk

kepentingan tertentu atau bahkan akan merusak

informasi tersebut. Informasi merupakan sebuah aset

penting bagi Perguruan tinggi ang perlu dilindungi

dan diamankan, sehingga menjamin ketersediaan

informasi yang berguna dan dapat dipercaya baik

oleh lingkungan internal maupun eksternal.

II. TINJAUAN PUSTAKA

Pengertian Risiko

Definisi risiko menurut Stoneburner, seperti

dikutip oleh Yaumi, menyebutkan bahwa risiko

adalah dampak negatif yang diakibatkan dengan

adanya kerentanan (vulnerability), berdasarkan

pertimbangan dari probabilitas maupun dampak

kejadian. Dari beberapa pengertian yang telah

disebutkan, risiko dapat diartikan sebagai dampak

negatif dari suatu ancaman yang mengeksploitasi

kerentanan yang apabila terjadi, akan merugikan

(Yaumi, Surendro, dan Kridanto, 2012).

Risiko adalah suatu ketidakpastian dimasa yang

akan datang tentang kerugian yang harus dipikul oleh

organisasi. Risiko mengandung tiga unsur pembentuk

risiko, yaitu

1. Kemungkinan kejadian atau peristiwa

2. Dampak atau konsekuensi (jika terjadi, risiko

akan membawa akibat atau konsekuensi)

3. Kemungkinan kejadian (risiko masih berupa

kemungkinan atau diukur dalam bentuk

probabilitas).

Pada suatu instansi pendidikan, risiko bisa

timbul dikarenakan oleh pihak eksternal dan pihak

internal. Risiko yang berasal dari pihak eksternal

diantaranya diberlakukannya peraturan perundang-

undangan baru, perkembangan teknologi, bencana

alam dan gangguan keamanan.

Sementara itu, risiko yang bersumber dari pihak

internal diantaranya adanya keterbatasan dana

operasional, sumber daya manusia yang tidak

kompeten, peralatan yang tidak memadai, kebijakan

prosedur yang tidak jelas, suasana kerja yang tidak

kondusif, adanya unsur sabotase dari pegawai, dan

sebagainya (Istiningrum, 2011).

Pengertian Manajemen Risiko

National Institute of Standards and Technology

(NIST) merupakan organisasi pemerintahan di

Amerika Serikat yang menyusun panduan pada

bidang Teknologi Informasi. NIST telah

mempublikasikan NIST Special Publication 800-30

yang berjudul “Risk Management Guide for

Information Technology Systems“, manajemen risiko

merupakan proses yang memungkinan pemimpin

organisasi untuk dapat menyeimbangkan biaya

operasional dan ekonomi yang dikeluarkan untuk

mengurangi risiko dan mencapai keuntungan dengan

melindungi sistem teknologi informasi dan data yang

menudukung misi atau tujuan bisnis organisasi.

Manajemen risiko merupakan suatu proses yang

berkelanjutan dalam menilai, memitigasi, dan

mengevaluasi risiko. Semua ini dilakukan untuk

meningkatkan efektivitas biaya yang dikeluarkan

oleh organisasi guna memastikan keamanan dari

Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016

123

Ucu Nugraha

Seminar Nasional Telekomunikasi dan Informatika 2016

ISSN : 2503-2844

sistem teknologi informasi yang digunakan. Sehingga

dapat dipastikan aset teknologi informasi yang

dimiliki oleh organisasi seluruhnya aman dari

berbagai gangguan maupun ancaman yang dapat

merusaknya, baik gangguan dan ancaman dari pihak

internal maupun eksternal.

Kerangka Kerja Manajemen Risiko

Kerangka kerja yang merupakan kumpulan

prosedur standar atau langkah-langkah dan dapat

memberikan pemahaman dalam proses manajemen

risiko, salah satunya adalah NIST, NIST

mengeluarkan rekomendasi melalui publikasi khusus

framework NIST SP 800-30 tentang Risk

Management Guide For Information Technology

System.

Proses manajemen risiko terdapat 3 tahapan

yaitu penilaian risiko (risk assessment), peringanan

risiko (risk mitigation), dan evaluasi risiko (risk

evaluation).

Sumber Ancaman

Sumber ancaman yang memungkinkan dapat

mengganggu kinerja sistem informasi, yaitu ancaman

dari alam, ancaman dari lingkungan, ancaman dari

manusia, dan ancaman dari proses dan teknologi.

Penelitian Manajemen Risiko

Penelitian sebelumnya yang terkait dengan

manajemen risiko dibidang pendidikan yaitu

mengenai manajemen risiko sistem informasi

akademik pada perguruan tinggi mengunakan metode

octave allegro. Tujuan dari penelitian tersebut untuk

mengidentifikasi, menganalisis, mengelola risiko

sistem informasi akademik. Mengembangkan

strategi keamanan sistem informasi untuk

meningkatkan keamanan sistem informasi, dan

membuat kebijakan manajemen risiko yang

mendukung misi dan prioritas organisasi untuk

mengurangi dampak kerugian akibat kerusakan

sistem informasi.

Perbedaan dengan penelitian yang sebelumnya

terletak pada risiko yang dikelola hanya seputar

sistem informasi akademik saja, sedangkan pada

penelitian sekarang ini risiko yang dikelola

mencakup seluruh sistem informasi yang ada pada

perguruan tinggi tersebut, diantaranya sistem

informasi akademik, keuangan, kepegawaian, alumni,

perpustakaan, dosen online dan nilai online.

III. METODE PENELITIAN

Metode penelitian yang digunakan yaitu metode

kualitatif dengan pendekatan studi kasus. Proses

pengumpulan data pada penelitian ini dilakukan

dengan cara wawancara dan observasi. Pengkajin

utama dalam manajemen risiko sistem informasi ini

menggunakan kerangka kerja NIST SP 300-80

sebagai panduan prosedur manajemen risiko. Tahap

pertama adalah melakukan penilaian risiko, dalam

penilaian risiko (risk assessment) ini terdapat 9

tahapan (karakteristik sistem, identifikasi ancaman,

identifikasi kerentanan, analisa kontrol, kemungkinan

yang menentukan, analisa dampak, risiko yang

menentukan, rekomendasi kontrol, dokumentasi

hasil). Tahap kedua dan ketiga adalah peringanan

risiko (risk mitigation) dan evaluasi risiko (risk

evaluation).

Teknik Pengumpulan Data

Teknik dalam pengumpulan data dilakukan

dengan cara melakukan penggalian informasi dari

pihak-pihak yang terlibat dalam sistem informasi

tersebut, penggalian informasi dilakukan dengan

wawancara yang mendalam dan observasi.

Teknik Analisis Data

Setelah semua data terkumpul terkumpul

dengan lengkap, selanjutnya data diolah dan

dianalisis secara kualitatif dengan memperhatikan

fakta-fakta yang terjadi dilapangan berdasarkan

variabel yang sudah ditentukan, kemudian

dimasukkan kedalam tahapan analisis.

EVALUATION

AND

ASSESSMENT

RISK ASSESSMENT RISK MITIGATION

KESIMPULAN

WAWANCARA OBSERVASI

Gambar 1. Metode penelitian

Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016

124

Ucu Nugraha

Seminar Nasional Telekomunikasi dan Informatika 2016

ISSN : 2503-2844

IV. HASIL DAN PEMBAHASAN

Penilaian Risiko

Proses penilaian risiko (risk assessment)

dilakukan dengan beberapa tahapan, sesuai dengan

Proses penilaian risiko (risk assessment) dilakukan

dengan beberapa tahapan, sesuai dengan kerangka

kerja NIST SP800-30. Tahapan-tahapan tersebut

sebagai berikut:

1. Karakteristik sistem

Karakteristik sistem yang meliputi sistem

informasi, diantaranya perangkat keras, perangkat

lunak, data dan informasi, dan sumber daya manusia

yang mendukung sistem informasi. Sumber daya

perangkat keras meliputi PC yang digunakan untuk

client dengan perangkat lunak program aplikasi,

Windows XP profesional SP sebagai sistem

operasinya. Sedangkan perangkat lunak pada server

menggunakan SQL Server. Data dan informasi

meliputi data masukan data mahasiswa, data dosen,

data nilai, data transaksi keuangan, data karyawan,

dan data alumni. Sumber daya manusia disini yaitu

operator, operator terbagi menjadi dua, operator

dimasing-masing bagian dan administrator sistem.

2. Identifikasi ancaman

Berikut beberapa sumber ancaman yang

teridentifikasi dapat mengganggu sistem informasi

pada Perguruan tinggi, diantaranya password,

keamanan sistem, backup server hang.

3. Identifikasi kerentanan

Beberapa kerentanan yang teridentifikasi

diantaranya yaitu keamanan sistem, penggunaan

password yang jarang diganti, dan account yang

sudah tidak aktif tidak langsung dihapus, ini rentan

sekali terhadap pencurian data yang dilakukan oleh

orang dalam maupun luar untuk disalah gunakan.

4. Analisa kontrol

Analisa kontrol dalam penilaian risiko belum

terdokumentasi sepenuhnya, pengenalan risiko hanya

sebatas pada pengetahuan dan kesadaran beberapa

operator pengguna sistem. Analisa kontrol

dimungkinkan dapat digunakan dalam penilaian

risiko, diantaranya meliputi: 1. Peran keamanan

teknologi informasi dan tanggung jawab, 2.

Klasifikasi data sensitif, 3. Perencanaan

kelangsungan operasional, 4. Perencanaan

pemuliahan bencana teknologi informasi, 5. Backup

data dan pemulihan sistem, 6. Pengerasan sistem, 7.

Perlindungan dari kode berbahaya, 8. Manajemen

account, 9. Manajemen password, 10. Keamanan

gedung, 11. Deteksi ancaman, 12. Memonitor

keamanan dan logging, 13. Manajemen lisensi

perangkat lunak. Hasil dari analisa kontrol, maka

dapat diketahui potensi ancaman yang akan

mengakibatkan sumber risiko diantaranya: 1.

Password, 2. keamanan sistem, 3. backup server

hang.

5. Kemungkinan yang menentukan

Hasil dari analisis kontrol dijadikan sebagai

bahan acuan dalam penentuan kemungkinan risiko.

Penetuan kemungkinan ini untuk menentukan

besaran tingkat kemungkinan yang akan terjadi

terhadap risiko yang telah teridentifikasi. Tingkat

kemungkinan terbagi menjadi 3 kategori yaitu 1.

Tinggi, sumber ancaman yang memiliki motivasi

tinggi yang dapat merugikan organisasi, hal ini

terjadi karena pengendalian untuk mencegah

kerentanan dilakukan tidak efektif. 2. Sedang,

sumber ancaman memiliki motivasi yang mampu

merugikan organisasi, tetapi organisasi masih dapat

melakukan kontrol yang mana mampu menghambat

keberhasilan dari kerentanan yang ada. 3. Rendah,

sumber ancaman yang memiliki motivasi kurang atau

rendah, kontrol digunakan untuk mencegah atau

mengurangi suatu kerentanan yang akan terjadi pada

organisasi.

Kemungkinan risiko yang menentukan dapat

diidentifikasi sebagai berikut 1. Password memiliki

tingkat kemungkinan risiko sedang, 2. Keamanan

sistem memiliki tingkat kemungkinan risiko tinggi, 3.

Backup server hang memiliki tingkat kemungkinan

risiko tinggi.

6. Analisa dampak

Berdasarkan kemungkinan risiko yang dapat

mengancam keberlangsungan sistem informasi, maka

dampak risikonya dapat dilihat pada tabel berikut ini:

Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016

125

Ucu Nugraha

Seminar Nasional Telekomunikasi dan Informatika 2016

ISSN : 2503-2844

Tabel 1. Dampak Risiko

Jenis Risiko Dampak Tingkat

Dampak

Password a. Sulit dalam mengantisipasi

berbagai sumber ancaman b. Memperbanyak history log

yang dapat memperlambat kinerja sistem

Sedang

Keamanan

sistem

a. Masuknya virus dan

menggangu data-data sensitif

b. Kemampuan perlindungan

data menjadi terganggu

Tinggi

Backup server

hang

a. Hilangnya data dan

informasi bereputasi

b. Aset informasi terganggu

Tinggi

7. Risiko yang menentukan

Penentuan risiko ini bertujuan untuk menilai

tingkat risiko terhadap sistem, untuk menilai tingkat

risiko ini mengacu kepada kemungkinan risiko dan

dampak risiko yang sudah ditentukan. Risiko yang

menentukan dapat dilihat pada tabel berikut ini:

Tabel 2. Penentuan Risiko

Jenis

Risiko

Nilai Kemung-

kinan

Nilai

Dam-pak

Ni-

lai

Risi-

ko

Ting-

kat

Risiko

Password 0.5 (sedang) 50

(sedang) 25 Seda-ng

Keamanan

sistem 1.0 (tinggi)

100

(tinggi) 100 Tinggi

Backup

server

hang

1.0 (tinggi) 100 (tinggi)

100 Tinggi

8. Rekomendasi kontrol

Rekomendasi kontrol dapat dilihat pada tabel

berikut ini:

Tabel 3. Rekomendasi Kontrol

Jenis Risiko Tingkat

Risiko

Rekomendasi

Keamanan sistem Tinggi a. Memasang anti virus

dan sejenisnya, firewall, dan memberi

deepfreeze

b. Meng-update anti virus secara berkala

c. Memodifikasi security

system Backup server

hang

Tinggi a. Menyediakan server

cadangan

b. Data selalu di-backup secara periodik

c. Penyimpanan data secara cloud

computing

Password Sedang a. Perubahan password secara berkala

b. Pengaturan dalam

pembuatan password c. Penghapusan

password terhadap

account yang sudah tidak aktif bekerja

9. Dokumentasi hasil

Hasil dari penilaian risiko didokumentasikan

berupa profil risiko yang dapat mengancam

keberlangsungan sistem informasi, dan solusi

pencegahan melalui rekomendasi kontrol sebagai

tindak lanjut proses berikutnya melalui kegiatan

mitigasi risiko.

Peringanan Risiko (Risk Mitigation)

Tahapan ini merupakan tindakan peringanan

terhadap risiko yang sudah terdokumentasi. Hasil dari

penilaian risiko ini berupa profil risiko dengan

berbagai rekomendasi yang sekiranya dapat menjadi

solusi dalam proses meringankan risiko yang sesuai

dengan kebutuhan sistem informasi.

Kegiatan mitigasi risiko ini meliputi prioritas

aksi ini dilakukan dengan mengacu kehasil akhir

penilaian risiko, seperti yang tertera pada tabel 3.

Dimana risiko yang memiliki tingkat tertinggi yang

harus dijadikan sebagai prioritas utama dalam proses

peringanan risiko. Selain itu proses peringanan risiko

ini juga harus menyesuaikan dengan biaya dan

keuntungan yang akan timbul dalam upaya

meminimalisir risiko yang sudah teridentifikasi dan

hasil rekomendasi yang akan dilaksanakan.

Peringanan risiko ini diharapkan dapat

mengatasi permasalahan yang mengganggu terhadap

keberlangsungan sistem informasi pada perguruan

tinggi tersebut, diantaranya rusaknya file-file penting

yang diakibatkan oleh virus, pencurian data dan

informasi oleh pihak-pihak yang tidak berwenang,

serta kehilangan data dan informasi yang diakibatkan

adanya gangguan pada server.

Evaluasi Risiko (Risk Evaluation)

Tahap terakhir dalam manajemen risiko sistem

informasi Perguruan tinggi dengan kerangka kerja

NIST SP 800-30 adalah evaluasi risiko. Perguruan

tinggi harus melaksanakan evaluasi risiko ini secara

periodik, sehingga sistem informasi pada perguruan

Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016

126

Ucu Nugraha

Seminar Nasional Telekomunikasi dan Informatika 2016

ISSN : 2503-2844

tinggi tersebut akan berjalan dengan baik sesuai

harapan.

Kegiatan rutin yang dilaksanakan secara

periodik adalah proses backup data, selain itu adanya

penambahan dan penyesuaian fitur-fitur baru yang

diharapkan mampu meningkatkan kehandalan sistem

informasi menjadi bagian dari evaluasi dalam

kegiatan manajemen risiko sistem informasi.

V. KESIMPULAN DAN SARAN

Berdasarkan hasil dan pembahasan maka dapat

diperoleh kesimpulan sebagai berikut:

1. Hasil dari penilaian risiko didapat beberapa

sumber ancaman yang dapat menimbulkan

risiko pada sistem informasi, diantaranya

keamanan sistem yang memiliki tingkat risiko

tinggi, backup server hang yang memiliki

tingkat risiko tinggi, dan password yang

memiliki tingkat risiko sedang.

2. Proses peringanan risiko yang dilakukan di

Perguruan tinggi, dengan menambah server

sebagai cadangan, untuk mengantisipasi

kerusakan server dan dapat melindungi data-

data sensitif.

3. Evaluasi kegiatan manajemen risiko sistem

informasi Perguruan tinggi belum dilaksanakan

sesuai prosedur yang sudah ditetapkan. Untuk

menghindari ancaman yang dapat menimbulkan

risiko terhadap sistem informasi baru

dilaksanakan secara rutin proses backup data

saja.

4. Manajemen risiko dengan menggunakan

kerangka kerja NIST SP 300-80, dapat

mendeskripsikan profil risiko yang dapat

mengancam keberlangsungan sistem informasi.

Atas dasar kesimpulan diatas, maka saran yang

dapat disampaikan sebagai berikut:

1. Untuk menghindari ancaman yang berdampak

negatif terhadap sistem informasi ini maka

diperlukan suatu dokumentasi mengenai hasil

penilaian risiko, peringanan risiko, dan evaluasi

risiko.

2. Penelitian manajemen risiko berikutnya

diharapkan lebih spesifik terhadap manajemen

risiko dibidang keamanan sistem yang berkaitan

dengan sistem informasi berbasis online atau

berkenaan dengan sistem cloud computing.

REFERENSI

Alter, Steven. (1992). Information System: A

Management Perspective. The

Benjamin/Cummings Publishing Company, Inc.

Haag, Stephen., Cummings, Maeve., Dawkins,

James. (2000). Management Information

Systems for the Information Age. 2nd Edition,

Irwin/MacGraw-Hill.

Harris, Tarigan, dan Mawlan. (2012). Analisis

Manajemen Risiko pada Implementasi Sistem

Informasi Keamanan di PT. Pupuk Sriwidjaja

dengan Framework COBIT 4.1. STMIK GI

MDP.

Istiningrum. (2011). Implementasi Penilaian Risiko

dalam Menunjang Pencapaian Tujuan Instansi

Pendidikan. UNY.

Jakaria, Dirgahayu, dan Hendrik. (2013). Manajemen

Risiko Sistem Informasi Akademik pada

Perguruan tinggi Menggunakan Metode Octave

Allegro. SNATI Yogyakarta.

Maulana, dan Supangkat. (2006). Pemodelan

Framework Manajemen Risiko Teknologi

Informasi untuk perusahaan di Negara

berkembang. ITB.

Stoneburner, A. Goguen and A. Feringa. (2002)

“Risk Management Guide for Information

Technology System”, Recommedation of

National Institute of Standards and Technology

Special Publication 800-30.

Ward, J., and Peppard, J. (2003). Strategic Planning

for Information Systems. 3 Edition. John

Wiley & Sons, Ltd., USA.

Yaumi, dan Surendro. (2012). Model Manajemen

Risiko pada Penerapan Cloud Computing untuk

Sistem Informasi di Perguruan tinggi

Menggunakan Framework COSO ERM dan

FMEA (studi kasus: ITB). ITB.