Penerapan sistem informasi akademik ternyata membuka peluang risiko baru berupa ancaman-ancaman yang dapat mengganggu keberlangsungan sistem. Risiko ini bahkan lebih buruk dapat mengakibatkan kerugian pada organisasi. Sistem informasi akademik memiliki peran penting dalam proses bisnis Universitas XYZ, sehingga keberlangsungan sistem ini perlu dijaga dari kemungkinan ancaman dan risiko yang merugikan perguruan tinggi. Threat modeling (pemodelan ancaman) merupakan salah satu upaya untuk menganalisis ancaman pada sistem informasi. Threat modeling diterapkan dengan tahapan dekomposisi aplikasi, klasifikasi ancaman, penilaian risiko ancaman, dan penyusunan langkah mitigasi. Setiap ancaman diidentifikasi berdasarkan jenis ancaman yang telah dikategorikan pada metodologi STRIDE. Hasil klasifikasi ancaman selanjutnya dinilai tingkat risikonya menggunakan metodologi DREAD. Tahapan ini akan menghasilkan ranking risiko setiap ancaman sehingga dapat disusun kontrol mitigasi setiap ancaman untuk meminimalkan risiko. Melalui tahapan threat modeling, diketahui bahwa ancaman yang memiliki risiko tinggi pada Sistem Informasi Akademik Universitas XYZ adalah ancaman kategori Spoofing, Tampering, dan Repudiation. Fokus penyusunan kontrol mitigasi dilakukan pada ketiga kategori ancaman ini karena memiliki peringkat risiko tinggi.

sistem informasi; akademik; pemodelan ancaman; threat modeling; STRIDE; DREAD

Alhassan, J. K. et al. (2016) “Threat modeling of electronic health systems and mitigating countermeasures,” CEUR Workshop Proceedings, 1830(Icta), hal. 82–89.

Chazar, C. dan Ramdani, A. (2016) “Model perencanaan keamanan sistem informasi menggunakan pendekatan metode octave dan iso 27001:2005,” in Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016), hal. 80–85.

EC-Council (2020) What is Stride Methodology in Threat Modeling? Tersedia pada: https://blog.eccouncil.org/what-is-stride-methodology-in-threat-modeling/.

Fruhlinger, J. (2020) Threat modeling explained: A process for anticipating cyber attacks. Tersedia pada: https://www.csoonline.com/article/3537370/threat-modeling-explained-a-process-for-anticipating-cyber-attacks.html.

Jouini, M., Rabai, L. B. A. dan Aissa, A. Ben (2014) “Classification of security threats in information systems,” Procedia Computer Science. Elsevier Masson SAS, 32, hal. 489–496. doi: 10.1016/j.procs.2014.05.452.

Logixconsulting (2019) What Is the DREAD Cybersecurity Model? Tersedia pada: https://www.logixconsulting.com/2019/12/18/what-is-the-dread-cybersecurity-model/.

Nugraha, U. (2016) “Manajemen Risiko Sistem Informasi pada Perguruan Tinggi Menggunakan Kerangka Kerja NIST SP 800-300,” in Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016), hal. 121–126.

Owasp.org (2020) CRV2 App Threat Modeling. Tersedia pada: https://owasp.org/www-community/CRV2_AppThreatModeling.

Owasp (2016) OWASP Cheat Sheet Series - OWASP. Tersedia pada: https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series.

Prasetyowati, D. D. et al. (2019) “Evaluasi Manajemen Keamanan Informasi Menggunakan Indeks Keamanan Informasi (KAMI) Berdasarkan ISO/IEC 27001:2013 pada Politeknik Ilmu Pelayaran Semarang,” JOINS (Journal of Information System), 4(1), hal. 65–75. doi: 10.33633/joins.v4i1.2429.

Sutabri, T. (2012) Konsep Sistem Informasi. Yogyakarta: Andi.

Syafitri, W. (2016) “Penilaian Risiko Keamanan Informasi Menggunakan Metode NIST 800-30 (Studi Kasus: Sistem Informasi Akademik Universitas XYZ),” Jurnal CoreIT: Jurnal Hasil Penelitian Ilmu Komputer dan Teknologi Informasi, 2(2), hal. 8. doi: 10.24014/coreit.v2i2.2356.