Business process redesign (BPR) atau desain ulang proses bisnis adalah suatu perubahan proses bisnis yang dilakukan oleh organisasi dalam penyelesaian pekerjaan dan nilai bisnis yang diberikan. BPR dapat berupa penambahan, penyederhanaan, perubahan, atau otomatisasi dari rangkaian model proses awal menjadi model proses yang baru.
Perubahan yang terjadi sebagai hasil dari BPR, selalu diikuti dengan perubahan pada perangkat lunak atau aplikasi pendukungnya, termasuk layanan TI yang terkait. Hal tersebut dapat memicu munculnya kerentanan keamanan informasi baru pada modul aplikasi yang mengalami perubahan. Kerentanan tersebut muncul karena adanya bug pemrograman perangkat lunak dan kelemahan desain.
BPR dapat memicu kerentanan keamanan informasi pada aplikasi maupun proses bisnisnya. Kerentanan pada aplikasi dapat menyebar ke aplikasi lain maupun ke sumber daya teknologi informasi (TI) yang lain.
Kerentanan keamanan informasi setelah melakukan BPR seharusnya dapat diprediksi sedini mungkin, untuk meminimalkan ancaman yang mungkin timbul. Metode Node Strength–based Vulnerability Modeling (NSVM) atau Pemodelan Kerentanan berbasis Kekuatan Node adalah suatu solusi untuk menggambarkan penyebaran kerentanan keamanan pada proses bisnis dan layanan TI dengan berbasis graf.
Metode NSVM diharapkan dapat mengurangi ketergantungan pada pakar keamanan informasi untuk memprediksi kerentanan pada model proses bisnis. Metode tersebut dikembangkan dari hasil penelitian yang dilakukan pada platform e–commerce. Penelitian tersebut juga menggunakan referensi data kerentanan dari kamus Common Weakness Enumerations (CWEs).
Pemilihan e-commerce sebagai studi kasus karena sistem tersebut menyediakan panduan pengguna secara lengkap untuk setiap versi yang dirilis, sehingga perubahan model prosesnya dapat dilacak. Model proses bisnis e-commerce yang diambil sebagai studi kasus adalah proses yang mengalami BPR yaitu pada modul akun dan dasbor pengguna, saluran komunikasi, dan manajemen pembayaran, manajemen inventaris, dan manajemen pengiriman.
Secara umum, metode NSVM memiliki tahapan sebagai berikut. Model kerentanan awal dikembangkan terlebih dahulu untuk meninjau kerentanan pada model proses bisnis sebelum BPR. Setiap node dapat merepresentasikan modul penyusun proses bisnis maupun modul penyusun aplikasi. Pada model tersebut, setiap node memiliki atribut terkait kerentanannya.
Selanjutnya, dikembangkan mekanisme adaptif untuk menghasilkan model kerentanan yang baru, mengikuti perubahan proses yang terjadi akibat BPR. Skor kerentanan yang diprediksi untuk setiap node terkait modul aplikasi pada model kerentanan, selanjutnya dibandingkan dengan skor kerentanan aktual e-commerce yang diperoleh dari National Vulnerability Database (NVD).
Hasil perbandingan tersebut menunjukkan nilai galat dalam mean absolute error (MAE), root mean squared error (RMSE), dan mean squared error (MSE) masing-masing sebesar 0,60; 1,44; dan 1,16. Pengujian pada jenis aplikasi selain e-commerce kemungkinan dapat menghasilkan prediksi yang berbeda dikarenakan perbedaan model proses bisnis terkait aplikasi tersebut. Hasil dari metode NSVM sangat dipengaruhi oleh struktur dari model proses bisnis.
Metode NSVM dapat digunakan untuk mengembangkan model penyebaran kerentanan keamanan informasi. Model ini diperlukan sebagai dasar untuk analisis kerentanan dari proses bisnis hingga layanan TI. Metode menyediakan mekanisme adaptif yang dapat mengelola penambahan proses baru setelah BPR. Dengan demikian kerentanan keamanan pada aplikasi dapat diprediksi sedini mungkin, sebelum aplikasi tersebut dikembangkan.
Untuk dapat membangun model penyebaran kerentanan keamanan dengan menggunakan NSVM, organisasi harus memiliki model arsitektur TI awal dan data tentang kerentanan keamanan informasinya. Pada model kerentanan keamanan informasi, skor kerentanan terprediksi akan muncul secara otomatis untuk setiap sumber daya TI yang direpresentasikan pada model tersebut.
Penulis: Dr. Eva Hariyanti, S.Si., M.T.
Link Artikel Jurnal: https://f1000research.com/articles/12-462/v1
