Anda di halaman 1dari 17

SEKOLAH TINGGI AKUNTANSI

NEGARA

RANCANGAN MITIGASI RISIKO


TEKNOLOGI INFORMASI PADA
PDAM KABUPATEN SLEMAN

M. Arief Fakhruddin - 134060018282

Latar Belakang

Penggunaan
Dukungan TI
PDAM

Dampak Positif
Vs
Dampak
Negatif

Assesmen
Risiko

Mitigasi Risiko

Metode Penelitian

STUDI
KASUS

Wawanc
ara/FGD

Analisa
Dokume
n

Studi
Literatur

ANALISIS KONDISI
BERJALAN

Belum ada bagian


khusus yang menangani
TI
Jumlah SDM Tidak
Mendukung
Belum ada
Aturan/Kebijakan

Maintenance tidak teratur


Kesadaran terhadap efek
negatif malware masih
kurang

Usulan Perbaikan Terhadap


Kondisi Berjalan
Membentuk bagian TI dengan
kewenangan dan tanggung jawab
yang jelas
Melakukan Identifikasi, Penilaian,
Evaluasi Risiko dan Respon Risiko

Menyusun Kebijakan/Tata Kelola TI

Menyusun Kebijakan Pengendalian


Keamanan Informasi (ISO 27001
dan ISO 27002)

Risiko Keamanan Informasi

Confidentiality

Integrity

Availability

Manajemen Risiko Keamanan Informasi

Manajemen Risiko Keamanan Informasi

Pre-screening
Scope Statement
Visual Model
FRAP Team
Agreement of
Definitions

Pre FRAP

FRAP Session
Identification
Prioritization
Identification of
existing Control
Suggested Control

Cross Reference
Sheet
Action Plan

Post FRAP

Identifikasi Risiko (1)

Kesalahan input data;


Informasi dapat diakses oleh pihak yang tidak
berwenang;
Informasi dibagikan tanpa melalui otorisasi;
Tercampurnya informasi yang bersifat rahasia
dengan informasi yang bersifat umum dan/atau
internal;
Kegagalan fungsi perangkat keras;
Backup tidak memadai;
Kapasitas kemampuan sistem tidak memadai;

Identifikasi Risiko (2)

Kegagalan fungsi perangkat lunak;


Pencurian fisik aset;
Kebakaran;
Serangan malware, diantaranya virus, trojan,
addware, dll;
Jumlah SDM tidak mendukung pelaksanaan
tupoksi dengan optimal;
Fokus/perhatian SDM atas pengelolaan TI
rendah; dan
Tingkat kepedulian SDM terhadap keamanan
informasi bervariasi tanpa adanya praktik yang
terstandar.

High Risk

Jumlah SDM tidak mendukung pelaksanaan


tupoksi dengan optimal;
Fokus/perhatian SDM atas pengelolaan TI
rendah; dan
Tingkat kepedulian SDM terhadap keamanan
informasi bervariasi tanpa adanya praktik yang
terstandar.

Mitigasi Risiko

Menyusun Kebijakan Tata Kelola TI;


Menyusun
Kebijakan
Pengendalian
Keamanan Informasi;
Membentuk bagian/bidang yang khusus
menangani TI;
Menambah jumlah SDM pengelola TI;

Model PDCA ISO 27001

Rancangan Kebijakan
Pengendalian Keamanan Informasi
ISO 27002 (1)
1.
2.
3.
4.
5.
6.
7.

Kebijakan umum keamanan informasi


Organisasi keamanan informasi
Manajemen aset informasi
Keamanan sumber daya manusia
Keamanan Fisik dan Lingkungan
Manajemen komunikasi dan operasi
Pengendalian akses

Rancangan Kebijakan
Pengendalian Keamanan Informasi
ISO 27002 (2)
8. Akuisisi, pengembangan dan
pemeliharaan sistem informasi
9. Manajemen Insiden Keamanan Informasi
10.Manajemen Keberlanjutan Bisnis
11.Kesesuaian dengan Peraturan yang
Berlaku (compliance)

Kesimpulan, Saran

Kesimpulan:

Saran

Penggunaan TI PDAM
memiliki risiko yang harus
dikelola
Risiko kat. tinggi dikurangi,
dan risiko kat. Rendah
diterima/monitoring

Menerapkan Manajemen
Risiko TI
Menerapkan Kebijakan
Pengendalian Keamanan
Informasi
Sosialisasi, Evaluasi, Update

Terima Kasih