PRAKTEK 1: Identifikasi Aset & Ancaman
PRAKTEK 1: Identifikasi Aset & Ancaman
Tujuan Pembelajaran
Setelah mengikuti modul ini, mahasiswa mampu:
- Mengidentifikasi aset informasi dan aset sistem pada sebuah sistem nyata
- Mengidentifikasi ancaman keamanan terhadap aset tersebut
- Menganalisis dampak keamanan berdasarkan CIA Triad
- Menyajikan hasil analisis dalam bentuk diagram dan tabel yang terstruktur
Fokus utama modul ini adalah membangun cara berpikir keamanan, bukan konfigurasi teknis.
Konsep Inti yang Digunakan
- CIA Triad
- Confidentiality (Kerahasiaan)
- Integrity (Keutuhan)
- Availability (Ketersediaan)
- Asset – Threat – Impact
- Asset: apa yang bernilai dan harus dilindungi
- Threat: apa yang dapat merusak aset
- Impact: apa akibatnya jika ancaman terjadi
Tools yang Digunakan
Mahasiswa tidak membutuhkan tools teknis khusus. Gunakan:
- Kertas / Whiteboard (diskusi manual)
- draw.io / Excalidraw → membuat diagram aset & ancaman
- Spreadsheet (Excel / Google Sheets / LibreOffice) → tabel analisis CIA
Langkah Praktikum (Step-by-Step)
Langkah 1 — Memilih Sistem Nyata
Mahasiswa memilih satu sistem yang familiar. Contoh:
- Sistem Akademik Kampus
- Aplikasi E-Commerce
- Sistem Absensi Online
- Website UMKM
Catatan: Sistem tidak harus kompleks—yang penting nyata dan digunakan sehari-hari. Contoh pilihan sistem (digunakan di modul ini):
Sistem Akademik Kampus (SIAKAD)
Langkah 2 — Identifikasi Aset
Mahasiswa mengidentifikasi semua aset yang bernilai, dibagi menjadi tiga kategori:
A. Aset Data
Contoh pada SIAKAD:
- Data mahasiswa (NIM, nama, alamat)
- Nilai akademik
- KRS & KHS
- Data dosen
- Password pengguna
- Log aktivitas sistem
B. Aset Sistem
- Server aplikasi
- Database server
- Website / portal akademik
- Jaringan kampus
- Backup data
C. Aset Pengguna
- Mahasiswa
- Dosen
- Admin akademik
- Operator IT
Prinsip penting:
Jika aset hilang, rusak, atau bocor → ada dampak.
Langkah 3 — Identifikasi Ancaman
Untuk setiap aset, mahasiswa mengidentifikasi ancaman yang mungkin terjadi, baik sengaja maupun tidak sengaja.
Contoh ancaman umum:
- Human error
- Password lemah
- Akun tidak dicabut
- Salah konfigurasi server
- Serangan phishing
- Ransomware
- Server down
Langkah 4 — Pemetaan Ancaman ke CIA Triad
Setiap ancaman dipetakan ke aspek CIA yang terdampak.
| Aset | Ancaman | Confidentiality | Integrity | Availability | Dampak |
|---|---|---|---|---|---|
| Data nilai mahasiswa | Akun admin bocor | ❌ | ❌ | ✔️ | Nilai dapat diubah |
| Database akademik | Server down | ✔️ | ✔️ | ❌ | KRS tidak bisa diakses |
| Password pengguna | Phishing | ❌ | ❌ | ❌ | Akses ilegal |
| Sistem akademik | Ransomware | ❌ | ❌ | ❌ | Sistem lumpuh |
✔️ = aman ❌ = terganggu
Catatan penting:
Satu ancaman bisa merusak lebih dari satu aspek CIA sekaligus.
Langkah 5 — Analisis Dampak
Mahasiswa mendiskusikan:
- Siapa yang terdampak?
- Seberapa serius dampaknya?
- Apakah dampaknya teknis, akademik, finansial, atau reputasi?
Contoh dampak:
- Mahasiswa tidak bisa KRS
- Nilai salah → kelulusan tertunda
- Hilangnya kepercayaan terhadap sistem
- Potensi pelanggaran regulasi data pribadi
Output yang Harus Dikumpulkan
1. Diagram Aset & Ancaman
Menggunakan draw.io / Excalidraw:
- Aset data
- Aset sistem
- Ancaman utama
- Hubungan antar komponen
Contoh isi diagram:
Mahasiswa → Login → SIAKAD → Database Nilai
↑
Phishing / Ransomware
2. Tabel Analisis CIA Impact
Minimal berisi:
- Aset
- Ancaman
- Dampak ke Confidentiality
- Dampak ke Integrity
- Dampak ke Availability
Evaluasi Penilaian
Penilaian bukan berdasarkan benar-salah teknis, tetapi pada kualitas berpikir keamanan:
| Aspek | Bobot |
|---|---|
| Ketepatan identifikasi aset | 30% |
| Kelengkapan ancaman | 30% |
| Ketepatan pemetaan CIA | 30% |
| Kejelasan presentasi | 10% |
Refleksi Penutup Modul
Mahasiswa diharapkan menyadari bahwa:
- Keamanan dimulai dari memahami apa yang bernilai
- Ancaman tidak selalu canggih—seringkali sederhana
- Kesalahan kecil dapat berdampak besar
- Keamanan bukan alat, tetapi cara berpikir