Anda di halaman 1dari 13

IT Risk Management

Hanifa Zulhaimi, S.Pd.,M.Ak

Pengertian
IT risk management (manajemen resiko teknologi

informasi) adalah proses yang dilakukan oleh


para manajer IT untuk memahami dan
menanggapi faktor- factor yang dapat
menyebabkan terjadinya kegagalan dalam
integrasi, kerahasiaan, dan keamanan system
informasi dan menentukan strategi untuk
melindungi sistem IT

Resiko
potensi bahaya/kerugian yang mungkin timbul

dari beberapa proses saat ini dan atau dari


beberapa peristiwa dimasa depan

Sumber & Sifat Resiko


Sumber :
Internal
Eksternal

Sifat :
Disengaja
Tidak disengaja

Proses IT Risk Management


1. Risk Assessment
2. Risk Mitigation
3. Evaluation and assessment

Proses IT Risk Management


1. Risk Assessment
Penilaian resiko (risk assessment) merupakan
tahapan awal dalam pengendalian resiko.
untuk mengetahui tingkat ancaman yang
potensial dan resiko yang berhubungan dengan
seluruh proses system informasi.
Hasil : semua potensi ancaman dapat dinilai
sesuai dengan kategorinya.
tingkat resiko yang paling tinggi akan mendapat
prioritas dalam hal pencegahan

Proses IT Risk Management


2. Risk Mitigation
Risk Mitigation adalah proses atau langkahlangkah yang untuk mengendalikan,
mengevaluasi, pencegahan kembali dan control
terhadap resiko yang terjadi.
pengendalian yang tepat mengakibatkan :
mengurangi tingkat resiko yang terjadi ke tingkatan

paling minim sehingga tidak berpengaruh terhadap


sumber daya dan bisnis yang berjalan,
resiko yang terjadi tidak berulang.

Proses IT Risk Management


3.Evaluation and assessment
Proses penilaian management resiko yang telah
dilakukan
Evaluasi terhadap management resiko harus
terus dilakukan dan diperbaharu karena :
Perkembangan teknologi yang pesat

OKTAVE-S (The Operationally Critical


Threat, Asset, and Vulnerability
Evaluation)-Small)
OCTAVE-S adalah metode dalam penghitungan

tingkatan resiko yang ada di perusahaan.


OCTAVE-S digunakan jika perusahaan tsb terdiri
kurang dari 100 orang yang terlibat langsung
dalam IT

Tahapan IT Risk Management


Phase 1:
Membangun/ menentukan asset berdasarkan

profile ancaman
Phase 2:
Mengidentifikasi kerentanan Infrastruktur

Phase 3:
Membangun rencana Strategi Keamanan

Tahapan IT Risk Management


Phase 1:
Membangun/ menentukan asset berdasarkan profile ancaman
Pada phase ini akan memilih asset asset perusahaan dan memberikan

peringkat berdasarkan tingkat resiko. Asset asset yang mempunyai nilai


tingkat resiko yang paling besar akan menjadi prioritas utama dalam hal
penanganan. Juga, pada tahap ini akan diidentifikasi kebutuhan keamanan
yang dibutuhkan terhadap asset asset penting.

Aktivitas aktivitas pada proses ini antara lain:

Menerapkan kriteria dampak evaluasi


Mengidentifikasi asset penting perusahaan
Memilih asset penting perusahaan
Identifikasi keamanan yang dibutuhkan terjadap asset- asset penting

Tahapan IT Risk Management


Phase 2:
Mengidentifikasi kerentanan Infrastruktur
Tahapan ini akan menguji semua tingkatan infrastruktur

terhadap asset asset penting,


Semua jalur akses terhadap asset asset penting akan diuji
untuk mengetahui tingkat kerentanan terhadap resiko
serangan.
audit apakah teknologi tersebut rentan terhadap serangan
baik yang berasal dari pihak internal maupun external.
Seiring dengan perkembangan teknologi yang semakin
canggih, tingkat kerentanan teknologi menjadi masalah
baru dalam IS Risk. Contoh kasusnya adalah maraknya
SQLInjection pada website tertentu.
Aktivitas aktivitas pada proses ini antara lain:
Pemeriksaan jalur akses
Menganalisa teknologi

Tahapan IT Risk Management


Phase 3:
Membangun rencana Strategi Keamanan
Tahapan ini akan menggabungkan temuan dari phase

1 dan phase 2 untuk dibentuk rencana strategi


keamanan yang baik.
mengidentifikasi tingkat kemungkinan resiko yang
akan terjadi, bagaimana cara penanganannya,
Output : pendekatan dan rencana pencegahan resiko,
protection strategy dan rencana strategi kedepannya
secara keseluruhan.
Aktivitas aktivitas pada proses ini antara lain:

Mengevaluasi dampak dari serangan


Mengevaluasi kemungkinan terjadinya serangan
Menentukan rencana pencegahan terhadap resiko
menentukan rencana kedepannya terkait risk
management.