Pengantar Manajemen
Keamanan dan Risiko IT
Manajemen Risiko
Pengertian
Risiko adalah suatu kejadian yang memiliki
kemungkinan untuk menghalangi suatu
organisasi dalam mencapai tujuan-tujuannya.
Manajemen risiko merupakan proses yang
berkelanjutan yang dirancang untuk menilai
kejadian merugikan yang terjadi,
mengimplementasikan langkah-langkah untuk
mengurangi risiko dan meyakinkan organisasi
dapat menanggapi dengan cara yang dapat
meminimalkan konsekuensi dari suatu
kejadian.
10/5/2016
Risiko Keamanan IT
IT Governance
IT governance adalah proses yang menyangkut
dua hal: menghasilkan nilai kepada bisnis melalui
IT dan mengurangi risiko-risiko IT yang dapat
terjadi.
IT governance merupakan bagian dari konsep
yang lebih luas yaitu corporate governance.
Prinsip-prinsip corporate governance dirancang
untuk memastikan bahwa keputusan yang dibuat
dalam organisasi sejalan dengan visi, nilai dan
strateginya.
IT Governance Institute telah mengembangkan
panduan IT governance: Control Objective for
Information and related Technology (COBIT).
CIA Triad
10/5/2016
Parkerian Hexad
Tujuan IT Security
Melindungi sumber daya IT, baik secara fisik maupun logikal dari
gangguan.
Threat
10/5/2016
Risiko Keamanan IT
Dalam melakukan manajemen risiko
keamanan, harus ditetapkan konteks
keamanan IT.
Setelah konteksnya ditentukan, risiko
keamanan IT harus diidentifikasi,
dianalisis dan dievaluasi.
Risiko-risiko IT
Kerusakan data
Kesalahan personil atau sabotase yang disengaja
Kerusakan pada fasilitas atau infrastruktur fisik
Spionase atau sabotase industri
Aktivitas terorisme
Hacking
Malware
Ketidaksesuaian dengan corporate governance,
peraturan dan hukum yang berlaku
Bencana alam
Identifikasi Risiko
Tahapan identifikasi risiko sangat penting.
Organisasi harus menggunakan pendekatan
sistematis untuk mengidentifikasi semua risiko
yang dapat mempengaruhi aset organisasi akibat
kerentanan yang ada dalam sistem IT.
Identifikasi ini mencakup risiko-risiko yang berada
dalam dan luar kendali organisasi. Tahapan ini
harus memeriksa bagaimana setiap risiko terjadi
yang akan membantu membuat keputusan
mengenai bagaimana mengontrol risiko tersebut.
Semua risiko yang terpikirkan ataupun yang
terdokumentasi dimasukkan sebagai pertimbangan
dalam bagian ini.
Analisis Risiko
Analisis digunakan untuk menentukan
risiko mana yang dapat diterima dan
mana yang tidak.
Analisis juga harus mempelajari
sumber risiko, konsekuensi dan
kemungkinan risiko tersebut terjadi.
10/5/2016
Evaluasi Risiko
Risiko-risiko IT harus dievaluasi
berdasarkan kemungkinan terjadi dan
konsekuensi yang terjadi. Dengan
mengkombinasikan kedua faktor ini,
penilaian risiko dapat diambil. Penilaian
risiko digunakan untuk menetapkan
prioritas risiko.
Setelah diprioritaskan, maka sebagian
risiko dikategorikan dapat diterima, ada
yang harus dikendalikan dan sebagian lagi
mungkin ditransfer ke pihak lain.