Anda di halaman 1dari 13

Penerapan Manajemen Risiko Teknologi Informasi

Tujuan Pelatihan
Kegiatan pelatihan ini dimaksudkan untuk memberikan bekal dan kecakapan kepada peserta dalam hal:
1.

Mempelajari dan memahami langkah-langkah untuk mengambil pendekatan proaktif untuk pengelolaan resiko pada pemanfaatan IT di perusahaan, sejalan dengan upaya tata kelola perusahaan Memahami bagaimana mengidentifikasi dan menilai risiko yang terkait dengan teknologi informasi Praktek menggunakan kerangka berbagai penilaian dan alat untuk memantau dan melaporkan TI organisasi !nda risiko Mengembangkan Rencana Manajemen Risiko praktis

2.

3.

4.

RI"K adalah suatu kemungkinan resiko yang terjadi dan menganalisa segala kemungkinan dampak terjadinya resiko tersebut #alam ilmu $Risk Management% dikenal dan dijabarkan : Risk : "egala kemungkinan potensi &positip'negatif ( kepada asset Risiko adalah efek dari ketidakpastian terhadap tujuan &I") guide *+:,--.(
// #alam struktur organisasi, Information Technology Risk )fficer berada pada )perational Risk #epartment dan memiliki tanggung

ja0ab melakukan identifikasi current risks dan potensi risiko yang berkaitan dengan penyelenggaraan teknologi informasi mencakup aspek sesuai yang digariskan dalam Peraturan 1ank Indonesia 2omor .'34'P1I',--* tanggal +- 2o5ember ,--*, tentang Pedoman bagi 1ank dalam Penerapan dan Pelaksanaan Manajemen Risiko dibidang Teknologi Informasi "ecara Terpadu #alam pedoman tersebut dicantumkan bagaimana melakukan identifikasi, pengukuran, pemantauan, serta pengendalian dan sistem manajemen risiko terkait dengan perencanaan, pengembangan, pengadaan, dan pengelolaan teknologi informasi yang menjadi satu kesatuan dengan fungsi dan organisasi manajemen risiko pada bank Menegakkan prinsip Information Technology &IT( 6o5ernance agar in5estasi teknologi informasi dapat memberikan benefit kepada pencapaian bisnis IT 6o5ernance meliputi:

"trategic !lignment : IT "trategic Plan harus selaras dengan 1usiness "trategic Plan 7alue #eli5ery : "emua IT Project harus memberikan 5alue kepada bisnis Risk Management : Memastikan bah0a semua Inherent IT Risk telah dikelola secara baik Resources Management : Memastikan bah0a Resources telah dikelola secara baik dan benar semua IT

Performance Measurement : Memastikan bah0a IT Performance KPI &Key Performance Indicator( telah dipenuhi secara baik dan benar

Melakukan IT Risk !ssessment untuk : &3( Mengenali inherent risk maturity le5el, &,( Risk profile &+( Risk registry masing-masing aspek penyelenggaraan teknologi informasi yang meliputi :

Manajemen Pengembangan dan Pengadaan "istem !kti5itas )perasional 8aringan Komunikasi

Pengamanan Informasi 19P &1usiness 9ontinuity Planning( :;9 &:nd ;ser 9omputing( :lectronic 1anking Penggunaan Pihak Penyedia 8asa Teknologi Informasi

/////////////// IT Risk Management "eperti kita bersama-sama pahami, pemanfaatan Teknologi Informasi &TI( selain mendatangkan benefit bagi perusahaan juga menghadirkan risiko Risiko ini tentunya dapat mengakibatkan kerugian baik materiil &seperti kerugian finansial( ataupun immateriil &hancurnya image, hilangnya loyalitas pelanggan dll ( bagi bisnis perusahaan 1ahkan tidak mustahil risiko tersebut bisa berdampak pada ditutupnya perusahaan Risiko yang timbul akibat penggunaan TI ini seringkali tidak dapat dihindari atau ditiadakan sama sekali, sehingga yang dapat dilakukan adalah bagaimana kita mengelola risiko tersebut sehingga dampaknya masih dapat diterima oleh perusahaan #i sini fokus dari IT Risk Management, dimana perusahaan berupaya mengelola setiap potensi risiko akibat penggunaan TI dengan mempertimbangkan cost and benefit dari setiap solusi terkait risiko tersebut 1erbagai macam risiko dapat timbul akibat dari penggunaan TI biasanya disebabkan karena adanya sumber ancaman, kesempatan'ancaman itu sendiri dan juga kerentanan &5ulnerability( yang dimiliki TI yang diimplementasikan /////////

http:''cobitindo blogspot com',-3+'-<'it-risk-management-frame0orkby-cobit html //////////////

9ontoh Risk !ssessment http:''000 jaringan-komputer c5-sysneta com'contoh-riskassessment 1y !li =ariono Membuat penilaian resiko "alah satu tugas dalam membuat suatu Rencana kesinambungan bisnis dan penanggulangan bencana &business continuity and disaster reco5ery plan( dalam suatu corporate adalah membuat penilaian resiko &Risk assessment( 1egitu informasi ini telah dikumpkan dan diberikan prioritas, maka organisasi anda bisa mulai mengimplementasikan ukuran-ukuran untuk mencegah atau melakukan reco5ery dari resiko tersebut andai kata hal atau bencana itu akan pernah terjadi Pertama kali yang perlu anda lakukan adalah menggali sebanyakbanyaknya potensi ' resiko bahaya yang sekiranya bisa mengancam bisnis atau organisasi anda Mengidentifikasi resiko-resiko dalam suatu jaringan computer dalam organisasi ' bisnis anda bukanlah suatu proses yang rumit, karena anda menghadapi technology computer yang bisa ditebak >ang perlu anda lakukan adalah menentukan faktor-faktor ' ancaman apa saja yang kira-kira bisa menyebabkan infrastructure system jaringan komputer anda menjadi terganggu ketersediannya dan bagaimana hal tersebut akan menyebabkan dampak pada bisnis anda "cenario Paragraph-, berikut menjelaskan contoh suatu penilaian resiko &risk

assessment( dalam suatu jaringan komputer dalam suatu organisasi "ebelumnya perlu diketahui penjelasan-penjelasan tentang pertimbangan-pertimbangan systematis dalam melakukan risk assessment Tingkat bahaya bisnis yang bisa saja terjadi sebagai akibat dari suatu kegagalan system, memasukkan semua konsek0ensi, potensi dari kehilangan kepercayaan, integritas atau ketersediaan dari system informasi dan juga asset-asset yang lainnya #engan adanya ancaman-ancaman dan kelemahan-, serta system kendali yang sudah diterapkan sekarang, bisa saja kemungkinan terjadi suatu kegagalan =asil dari audit anda mengenai penilaian resiko ' risk assessment ini harus deregister dengan rapi menggunakan form seperti gambar berikut ini yang kemudian diharapkan bisa membantu anda dalam menentukan tindakan management yang memadai dan juga menentuklan prioritas-prioritas dalam majemen resiko keamanan informasi anda, serta mengimplementasikan control yang dipilih untuk melindungi resiko-resiko ini Proses risk assessment ini tidak hanya dilakukan sekali saja, anda bisa melakukannya berkali-kali agar bisa meng-co5er semua bagian-bagian yang berbeda dalam organisasi anda 6ambar ' diagram berikut ini adalah suatu studi kasus dalam suatu jaringan komputer yang ada disuatu lingkungan industry dimana ada dua gedung yang dipisahkan oleh jarak yang lumayan jauh yaitu sebuah >ard ' Pelataran pabrik net0ork diagram mining office Identifikasi resiko Mengacu pada diagram ini anda perlu melakukan identifikasi semua kemungkinan resiko keamanan yang bisa saja terjadi yang menyebabkan dampak terganggunya kelangsungan bisnis anda "emua resiko-resiko ini haruslah deregister kedalam form berikut ini Risk assessment template Klik disini untuk memperbesar gambar

Identifikasi semua resiko dalam diagram jaringan komputer ini, dan masukkan dalam register form risk assessment Resiko ?3 Masalah Kabel 1ackbone ;plink @ungsi bisnis: satu kabel jaringan backbone yang menghubungkan gedung Mine )ffice dan gedung =R office Resiko ancaman: kabel 1ackbone putus ' gagal Konsek0ensi: "emua komputer yang di Mine office akan terputus dari semua sumber daya jaringan termasuk aplikasi-aplikasi bisnis Tingkat Kemungkinan: 1isa Trejadi Kendali ' 9ontrol >ang ada: Melindungi kabel jaringan backbone ini dengan jalan memasukkannya kedalam pipa metal dan dikubur kedalam tanah sedalam +- 9m diba0ah permukaan tanah Tingkat kendali ini kurang mencukupi mengingat diatasnya adalah jalanan yang biasa dilalui oleh kendaraa alat berat Resiko ?, Router Rusak @ungsi bisnis: Pendukung Komunikasi 6lobal Resiko ancaman: Router rusak ' terbakar Konsek0ensi: "emua jaringan komunikasi ke Internet global akan terputus Tingkat Kemungkinan: 1isa Trejadi Kendali ' 9ontrol >ang ada: Menyediakan router cadangan dengan sudah dikonfigurasi yang sama dengan yang ada sekarang #an setiap terjadi perubahan konfigurasi selalu diupdate kedalam router backup ini Tingkat kendali ini sangat memadai !nda bisa mencari lagi resiko ?+ dan seterusnya misal jika terjadi kerusakan ' kegagalan dalam system file ser5er anda, atau system email anda Kolom berikutnya yang juga perlu anda masukkan datanya adalah: 9onseAuence Ratings ' Tingkat KonseAuensiB Tingkat Kemungkinan &Cikelihood ratings(B Tingkat Resiko &Ce5el of Risk(B dan Prioritas

Resiko "esuai dengan skala bisnis anda, sebelumnya anda perlu mendefiniskan tingkat konseAuency sesuai dengan lingkungan bisnis anda misal dalam contog diba0ah ini untuk tingkat konsek0ensi yang tinggi jika mempunyai tingkat kerugian Rp 3-- milyar keatas 1isa saja dalam skala bisnis yang kecil anda meletakkan dampak kerugian sebesar 3 milyar untuk tingkat resiko tinggi 9onseAuence

Tingkat Kemungkinan &Cikelihood( Tingkat Risk( Prioritas Resiko &Risk Priority(

Resiko &Ce5el of

Tinggi &=igh(: berdampak kerigian sampai Rp 3-- Milyar dalam organisasi anda atau dampak operasi yang sangat serius 3 "angat mungkin &=ighly possible( =igh Tingkat dampak sangat besar Resiko Tinggi &=igh Risk( Medium: 1erdampak antara 4--3-- Milyar Rp dalam kerugian bisbis anda atau ancaman organisasi yang serius , Mungkin ' Possible Medium #ampak menengah Resiko medium &Medium risk( Co0: #iba0ah Rp 4- Milyar atau dampak taktis dalam operasi bisnis organisasi anda + Kecil kemungkinan-nya ' Cikely Co0 #ampak Minimal Resiko rendah &Co0 Risks( < 8arang sekali terjadi '2ot 5ery likely 4 Tidak pernah terjadi ' 2e5er #alam contoh risk assessment ini, resiko ?3 untuk kolom Cikelihood diisi dengan $Mungkin'Possible% dan untuk kolom Konsek0ensi diisi dengan $Resiko medium ' Medium risk% 1egitu seterusnya untuk resiko-resiko berikutnya ;ntuk lebih jelas masalah Management resiko konsep dan petunjuk praktis, baca ebook saya tentang #R D Risk Management "emoga bermanfaEat ////////////

I" Risk Management http:''polairut 0ordpress com',-33'3-',,'is-risk-management' Resiko adalah potensial bahaya yang mungkin timbul dari beberapa proses saat ini dan atau dari beberapa peristi0a dimasa depan #ari perspektif "istem Informasi , management resiko adalah memahami dan menanggapi faktor- factor yang dapat menyebabkan terjadinya kegagalan dalam integrasi, kerahasiaan, dan keamanan system informasi Resiko ini akan membahayakan proses atau informasi yang dihasilkan dari beberapa peristi0a, baik yang disengaja maupun tidak disengaja Resiko ini juga bisa berasal dari internal diri kita sendiri atau pihak ekternal yang mencoba untuk mencuri data kita Menurut 6 "toneburner ,--,, IT risk management meliputi tiga proses: 3 Risk !ssessment Penilaian resiko &risk assessment( merupakan tahapan a0al dalam pengendalian resiko Manager menggunakan risk assessment untuk mengetahui tingkat ancaman yang potensial dan resiko yang berhubungan dengan seluruh proses system informasi =asil dari proses ini, diharapkan semua potensi ancaman dapat dinilai sesuai dengan kategorinya >ang mempunyai tingkat resiko yang paling tinggi akan mendapat prioritas dalam hal pencegahan, yang nantinya akan membantu para manager dalam mengendalikan resiko yang ada , Risk Mitigation Risk Mitigation adalah proses atau langkah- langkah yang untuk mengendalikan, menge5aluasi, pencegahan kembali dan control terhadap resiko yang terjadi #engan pengendalian yang tepat, dapat mengurangi tingkat resiko yang terjadi ke tingkaan paling minim sehingga tidak berpengaruh terhadap sumber daya dan bisnis yang berjalan, ehingga resiko yang terjadi tidak berulang + :5aluation and assessment :5aluasi terhadap management resiko harus terus dilakukan dan

diperbaharui Perkembangan teknologi yang pesat memungkinkan terjadinya serangan serangan &resiko- resiko( baru yang dapat mengancam sumber daya yang sebelumnya tidak mempunyai tingkat resiko ;mumnya yang terjadi adalah setelah Risk !ssessment dan Risk Mitigation dilakukan, e5aluasi terhadap hasil kegiatan tersebut jarang dilakukan, sehingga tingkat resiko tetap tinggi Misalnya, tidak ada e5aluasi tahunan terhadap resiko resiko yang sudah ditentukan sebelumnya "alah satu tools untuk membantu Information "ystem Risk management adalah )9T!7:-" Para manager dapat menggunakan )9T!7:-" dalam penghitungan tingkatan resiko yang ada di perusahaan )9T!7:-" digunakan jika perusahaan tsb terdiri kurang dari 3-- orang yang terlibat langsung dalam IT )9T!7:-" mempunyai + phase: Phase 3: Membangun' menentukan asset berdasarkan profile ancaman Pada phase ini akan memilih asset asset perusahaan dan memberikan peringkat berdasarkan tingkat resiko !sset asset yang mempunyai nilai tingkat resiko yang paling besar akan menjadi prioritas utama dalam hal penanganan 8uga, pada tahap ini akan diidentifikasi kebutuhan keamanan yang dibutuhkan terhadap asset asset penting !kti5itas akti5itas pada proses ini antara lain:

Menerapkan kriteria dampak e5aluasi Mengidentifikasi asset penting perusahaan Memilih asset penting perusahaan Identifikasi keamanan yang dibutuhkan terjadap asset- asset penting

Phase ,: Mengidentifikasi kerentanan Infrastruktur

Tahapan ini akan menguji semua tingkata infrastruktur terhadap asset asset penting, "emua jalur akses terhadap asset asset penting akan diuji untuk mengetahui tingkat kerentanan terhadap resiko serangan 1egitu juga dengan teknologi yang digunakan, akan diaudit apakah teknologi tersebut rentan terhadap serangan baik yang berasal dari pihak internal maupun eFternal "eiring dengan perkembangan teknologi yang semakin canggih, tingkat kerentanan teknologi menjadi masalah baru dalam I" Risk 9ontoh kasusnya adalah maraknya "GCInjection pada 0ebsite tertentu !kti5itas akti5itas pada proses ini antara lain:

Pemeriksaan jalur akses Menganalisa teknologi yang dihubungkan dengan proses

Phase +: Membangun rencana "trategi Keamanan Tahapan ini akan menggabungkan temuan dari phase 3 dan phase , untuk dibentuk rencana strategi keamanan yang baik Pada tingkatan ini juga akan mengidentifikasi tingkat kemungkinan resiko yang akan terjadi, bagaimana cara penanganannya, )utput dari tahapan ini adalah pendekatan dan rencana pencegahan resiko, protection strategy dan rencana strategi kedepannya secara keseluruhan !kti5itas akti5itas pada proses ini antara lain:

Menge5aluasi dampak dari serangan Menge5aluasi kemungkinan terjadinya serangan Menentukan rencana pencegahan terhadap resiko menentukan rencana kedepannya terkain risk management

///////// Risk !ssessment untuk Teknologi Informasi

http:''Aualityolife blogspot com',-33'-4'risk-assessment-untukteknologi html Risk !ssessment untuk Teknologi Informasi Penilaian resiko &Risk !ssesment( merupakan proses yang pertama di dalam metodologi manajemen resiko )rganisasi menggunakan penilaian resiko untuk menentukan tingkat ancaman yang potensial dan resiko yang berhubungan dengan suatu sistem IT seluruh "#C9nya &"ystem #e5elopment Cife 9ycle( =asil dari proses ini membantu ke arah mengidentifikasi kendali yang sesuai untuk mengurangi atau menghapuskan resiko ketika proses risk mitigation Metodologi Penilaian Resiko meliputi sembilan langkah-langkah utama:

"ystem 9haracteriHation #i dalam memperkirakan penilaian resiko untuk suatu sistem IT, langkah yang pertama adalah menggambarkan scope of the effort Pada langkah ini, batasan-batasan dari IT mulai diidentifikasi, bersama dengan sumber daya dan informasi yang menjadi dasar sistemnya Karakter suatu sistem IT dikenali, untuk menetapkan ruang lingkup usaha penilaian resiko, menggambarkan batasanbatasan otorisasi operasional, dan menyediakan informasi yang penting untuk menjelaskan resiko

Threat Identification Melakukan identifikasi terhadap ancaman-ancaman yang ada maupun akan ada Identifikasi dilakukan pada sumber ancaman &threat-source( yang dapat dibagi atas + macam ancaman, yaitu:
5. 2atural Threats, seperti banjir, gempa bumi, tornado dan

lainnya
6. =uman Threats, seperti akses tidak terotorisasi pada informasi

rahasia
7. :n5ironmental Threats, seperti kegagalan suplai listrik pada

0aktu yang lama

7ulnerability Identification Melakukan identifikasi kelemahan-kelemahan yang ada dalam

sistem yang dapat digunakan oleh orang luar melakukan ancaman Identifikasi dilakukan dengan melihat asal dari kelemahan tersebut dengan melihat informasi mengenai identifikasi sistem informasi Kelemahan-kelemahan dapat berupa isu keamanan pada aplikasi maupun sistem operasi yang digunakan dalam sistem informasi tersebut

9ontrol !nalysis Tujuan dari langkah ini adalah melakukan analisa terhadap kontrol-kontrol atau pengendalian-pengendalian yang telah dipasang ataupun yang direncanakan untuk dipasangkan pada sistem dengan tujuan untuk meminimalkan atau menghilangkan ancaman-ancaman terhadap kelemahan sistem

4 Cikelihood #etermination Proses ini memberikan rating terhadap kemungkinan-kemungkinan yang nampak yang ditentukan oleh moti5asi sumber ancaman dan kemampuannya, kelemahan-kelemahan dan kontrol atau pengendalian yang ada saat ini I Impact !nalysis Pada langkah ini dilakukan analisa akibat yang mungkin dihasilkan oleh ancaman terhadap kelemahan sistem 1eberapa akibat-akibat yang terlihat dapat diukur secara kualitatif dengan hilangnya pendapatan, biaya perbaikan atau tingginya usaha yang harus dikeluarkan untuk memperbaiki masalah tersebut * Risk #etermination Tujuan dari langkah ini adalah untuk melakukan penilaian berjenjang kepada resiko-resiko yang ada dalam sistem informasi menjadi bentuk daftar prioritas #engan daftar ini, penanggulangan resiko dengan pengendalian-pengendalian dapat dilakukan sesuai dengan prioritasnya ;ntuk mengukur resiko maka suatu skala resiko dan matrik resiko harus dikembangkan J 9ontrol Recommendations Pada langkah ini, kontrol-kontrol yang dapat mengurangi maupun menghilangkan resiko-resiko yang berhasil diidentifikasikan akan direkomendasikan Tujuannya adalah untuk mengurangi nilai resiko

terhadap sistem informasi ke le5el yang dapat diterima . Results #ocumentation Proses dokumentasi terhadap seluruh proses pengerjaan risk assessment yang berbentuk laporan-laporan yang berisikan hasil identifikasi, analisa dan rekomendasi /////////////