Threat Modeling Menggunakan Pendekatan STRIDE dan DREAD untuk Mengetahui Risiko dan Mitigasi Keamanan pada Sistem Informasi Akademik

Abstract

Penerapan sistem informasi akademik ternyata membuka peluang risiko baru berupa ancaman-ancaman yang dapat mengganggu keberlangsungan sistem. Risiko ini bahkan lebih buruk dapat mengakibatkan kerugian pada organisasi. Sistem informasi akademik memiliki peran penting dalam proses bisnis Universitas XYZ, sehingga keberlangsungan sistem ini perlu dijaga dari kemungkinan ancaman dan risiko yang merugikan perguruan tinggi. Threat modeling (pemodelan ancaman) merupakan salah satu upaya untuk menganalisis ancaman pada sistem informasi. Threat modeling diterapkan dengan tahapan dekomposisi aplikasi, klasifikasi ancaman, penilaian risiko ancaman, dan penyusunan langkah mitigasi. Setiap ancaman diidentifikasi berdasarkan jenis ancaman yang telah dikategorikan pada metodologi STRIDE . Hasil klasifikasi ancaman selanjutnya dinilai tingkat risikonya menggunakan metodologi DREAD . Tahapan ini akan menghasilkan ranking risiko setiap ancaman sehingga dapat disusun kontrol mitigasi setiap ancaman untuk meminimalkan risiko. Melalui tahapan threat modeling , diketahui bahwa ancaman yang memiliki risiko tinggi pada Sistem Informasi Akademik Universitas XYZ adalah ancaman kategori Spoofing , Tampering , dan Repudiation . Fokus penyusunan kontrol mitigasi dilakukan pada ketiga kategori ancaman ini karena memiliki peringkat risiko tinggi.