10/5/2016

Manajemen Keamanan dan

Risiko IT

Pengantar Manajemen
Keamanan dan Risiko IT

Manajemen Risiko

Proses manajemen risiko meliputi langkahlangkah:

- Menetapkan konteks organisasi dan manajemen
risiko.
- Mengenali, menganalisis dan melakukan
evaluasi risiko-risiko bisnis.
- Merancang dan mengimplementasi langkahlangkah pencegahan dan perbaikan.
- Mengawasi,mengevaluasi dan mengontrol
risiko.

Pengertian
Risiko adalah suatu kejadian yang memiliki
kemungkinan untuk menghalangi suatu
organisasi dalam mencapai tujuan-tujuannya.
Manajemen risiko merupakan proses yang
berkelanjutan yang dirancang untuk menilai
kejadian merugikan yang terjadi,
mengimplementasikan langkah-langkah untuk
mengurangi risiko dan meyakinkan organisasi
dapat menanggapi dengan cara yang dapat
meminimalkan konsekuensi dari suatu
kejadian.

Manajemen Kontinuitas Bisnis

Manajemen kontinuitas bisnis/business continuity
management (BCM) merupakan suatu proses
untuk memastikan bisnis akan terus berlanjut
walaupun terjadi kejadian-kejadian yang dapat
mengganggu bisnis.
BCM mencakup keseluruhan bisnis termasuk
teknologi informasi.
BCM merupakan bagian dari manajemen risiko.

10/5/2016

Manajemen Kontinuitas Bisnis

Proses manajemen kontinuitas bisnis terdiri-dari:

- Inisiasi
- Identifikasi proses-proses bisnis yang penting
- BIA (business impact analysis)
- Merencanakan dan mengimplementasikan
kontrol kontinuitas
- Menguji dan maintenance rencana yang
diimplementasi

Risiko Keamanan IT

IT Governance
IT governance adalah proses yang menyangkut
dua hal: menghasilkan nilai kepada bisnis melalui
IT dan mengurangi risiko-risiko IT yang dapat
terjadi.
IT governance merupakan bagian dari konsep
yang lebih luas yaitu corporate governance.
Prinsip-prinsip corporate governance dirancang
untuk memastikan bahwa keputusan yang dibuat
dalam organisasi sejalan dengan visi, nilai dan
strateginya.
IT Governance Institute telah mengembangkan
panduan IT governance: Control Objective for
Information and related Technology (COBIT).

CIA Triad

Keamanan IT merupakan salah satu area kunci

dalam manajemen risiko dalam organisasi modern.
Tujuan dari keamanan IT adalah:
- Confidentiality : informasi tersedia hanya untuk
yang terotorisasi.
- Integrity : informasi dan segala perubahannya
harus akurat dan jelas.
- Availability : informasi dapat diakses dan
digunakan saat diperlukan.
Ketiga elemen keamanan tersebut dikenal sebagai
CIA Triad.

10/5/2016

Parkerian Hexad

Parkerian Hexad merupakan kumpulan dari enam elemen

keamanan informasi yang diusulkan oleh Donn B. Parker
pada tahun 2002. Parkerian Hexad menambahkan tiga
elemen tambahan pada tiga elemen yang ada dalam CIA
Triad.
Enam elemen Parkerian Hexad:
- Confidentiality
- Possession atau kontrol : kendali atas informasi
- Integrity
- Authenticity : memastikan keaslian informasi.
- Availability
- Utility : kegunaan dari informasi.

Threat (Ancaman) dan

Vulnerability (Kerentanan)

Tujuan IT Security

Memenangkan kepercayaan kepada organisasi.

Menjaga kerahasiaan informasi pribadi dan keuangan.

Menjaga informasi bisnis yang sensitif dari pihak yang tidak

berotoritas.

Mencegah serangan terhadap sumber daya IT dari luar maupun

dalam organisasi.

Melindungi sumber daya IT dari penggunaan yang salah.

Melindungi proses bisnis dan sumber daya IT dari penggunaan yang

tidak tepat.

Melindungi sumber daya IT, baik secara fisik maupun logikal dari
gangguan.

Memenuhi persyaratan hukum dan peraturan pada lingkungan

tempat organisasi beroperasi.

Menciptakan budaya kerja yang mengutamakan kesadaran akan

kualitas dan keamanan.

Threat, Vulnerability dan Risiko

Threat

merupakan kejadian yang

memiliki kemungkinan
mengancam elemen-elemen
keamanan sistem.
Vulnerability merupakan
kelemahan dalam sistem yang
dapat mengancam elemenelemen keamanan sistem.

10/5/2016

Risiko Keamanan IT
Dalam melakukan manajemen risiko
keamanan, harus ditetapkan konteks
keamanan IT.
Setelah konteksnya ditentukan, risiko
keamanan IT harus diidentifikasi,
dianalisis dan dievaluasi.

Risiko-risiko IT

Kerusakan data
Kesalahan personil atau sabotase yang disengaja
Kerusakan pada fasilitas atau infrastruktur fisik
Spionase atau sabotase industri
Aktivitas terorisme
Hacking
Malware
Ketidaksesuaian dengan corporate governance,
peraturan dan hukum yang berlaku
Bencana alam

Identifikasi Risiko
Tahapan identifikasi risiko sangat penting.
Organisasi harus menggunakan pendekatan
sistematis untuk mengidentifikasi semua risiko
yang dapat mempengaruhi aset organisasi akibat
kerentanan yang ada dalam sistem IT.
Identifikasi ini mencakup risiko-risiko yang berada
dalam dan luar kendali organisasi. Tahapan ini
harus memeriksa bagaimana setiap risiko terjadi
yang akan membantu membuat keputusan
mengenai bagaimana mengontrol risiko tersebut.
Semua risiko yang terpikirkan ataupun yang
terdokumentasi dimasukkan sebagai pertimbangan
dalam bagian ini.

Analisis Risiko
Analisis digunakan untuk menentukan
risiko mana yang dapat diterima dan
mana yang tidak.
Analisis juga harus mempelajari
sumber risiko, konsekuensi dan
kemungkinan risiko tersebut terjadi.

10/5/2016

Evaluasi Risiko
Risiko-risiko IT harus dievaluasi
berdasarkan kemungkinan terjadi dan
konsekuensi yang terjadi. Dengan
mengkombinasikan kedua faktor ini,
penilaian risiko dapat diambil. Penilaian
risiko digunakan untuk menetapkan
prioritas risiko.
Setelah diprioritaskan, maka sebagian
risiko dikategorikan dapat diterima, ada
yang harus dikendalikan dan sebagian lagi
mungkin ditransfer ke pihak lain.