Evaluasi Prioritas Risiko Keamanan Informasi pada Universitas Negeri
Latar Belakang:
Dalam lingkungan pendidikan tinggi, keamanan informasi menjadi isu strategis yang sering diabaikan. Berbagai jenis ancaman seperti pencurian data, serangan siber, dan kebocoran informasi sensitif dapat berdampak serius pada reputasi dan operasional universitas. Oleh karena itu, penting untuk mengidentifikasi dan memprioritaskan risiko keamanan informasi secara sistematis menggunakan pendekatan kuantitatif.
Pendekatan AHP:
Penelitian ini menggunakan metode Analytic Hierarchy Process (AHP) untuk mengevaluasi risiko utama yang dihadapi institusi pendidikan tinggi. Struktur hierarki yang disusun terdiri dari tiga level: tujuan utama (menentukan prioritas risiko keamanan), kriteria (frekuensi, dampak, dan kemampuan mitigasi), dan alternatif risiko (phishing, ransomware, insider threat, DDoS, dan data loss). Para ahli keamanan informasi diminta memberikan penilaian perbandingan berpasangan antar kriteria dan antar risiko untuk setiap kriteria.
Matriks perbandingan kriteria menghasilkan bobot: Dampak (0.5), Frekuensi (0.3), Mitigasi (0.2). Kemudian, untuk masing-masing alternatif, perhitungan dilakukan per kriteria, seperti contoh berikut untuk kriteria Dampak:
| Alternatif | Phishing | Insider Threat | Ransomware | DDoS | Data Loss |
|---|---|---|---|---|---|
| Bobot Dampak | 0.2 | 0.4 | 0.3 | 0.05 | 0.05 |
Langkah selanjutnya adalah menghitung skor akhir tiap risiko dengan menjumlahkan perkalian bobot tiap kriteria dengan bobot alternatif:
- Insider Threat = (0.4 × 0.5) + (0.3 × 0.3) + (0.2 × 0.2) = 0.20 + 0.09 + 0.04 = 0.33
- Phishing = (0.2 × 0.5) + (0.3 × 0.4) + (0.2 × 0.1) = 0.10 + 0.12 + 0.02 = 0.24
- Ransomware = (0.3 × 0.5) + (0.2 × 0.3) + (0.2 × 0.2) = 0.15 + 0.06 + 0.04 = 0.25
CR (Consistency Ratio) dihitung dan berada di angka 0.06, yang berarti konsistensi penilaian masih dapat diterima (CR < 0.1).
Temuan AHP:
Risiko utama yang diidentifikasi adalah Insider Threat dengan bobot tertinggi (0.33), diikuti oleh Ransomware (0.25), dan Phishing (0.24). Risiko DDoS dan data loss dianggap minor. Hal ini menunjukkan bahwa ancaman dari dalam organisasi menjadi perhatian utama bagi universitas, terutama karena sulitnya mengontrol perilaku internal tanpa sistem monitoring yang memadai.
Implikasi Strategis:
Hasil ini memberikan arah strategis bagi universitas untuk memperkuat sistem audit log, menerapkan prinsip least privilege, serta memberikan pelatihan kesadaran keamanan kepada seluruh sivitas akademika. Alokasi sumber daya keamanan TI dapat difokuskan terlebih dahulu pada area dengan potensi risiko tertinggi sesuai hasil AHP.
Kesimpulan:
Metode AHP telah memberikan kerangka yang terstruktur, konsisten, dan objektif dalam menilai serta memprioritaskan risiko keamanan informasi di institusi pendidikan tinggi. Temuan ini penting untuk mendukung kebijakan mitigasi risiko berbasis bukti dan mendalam.
Referensi:
Nugroho, Y. A., & Sari, R. M. (2021). Evaluasi Risiko Keamanan Informasi pada Institusi Pendidikan Menggunakan Metode AHP. Jurnal Teknik Informatika dan Sistem Informasi, 7(2), 89-96.