Penerapan Manajemen Risiko Teknologi Informasi

Tujuan Pelatihan
Kegiatan pelatihan ini dimaksudkan untuk memberikan bekal
dan kecakapan kepada peserta dalam hal:
1. Mempelajari dan memahami langkah-langkah untuk
mengambil pendekatan proaktif untuk pengelolaan resiko
pada pemanfaatan IT di perusahaan, sejalan dengan
upaya tata kelola perusahaan.
2. Memahami bagaimana mengidentifikasi dan menilai risiko
yang terkait dengan teknologi informasi.
3. Praktek menggunakan kerangka berbagai penilaian dan
alat untuk memantau dan melaporkan TI organisasi Anda
risiko.
4. Mengembangkan Rencana Manajemen Risiko praktis.

RISK adalah suatu kemungkinan resiko yang terjadi dan

menganalisa segala kemungkinan dampak terjadinya resiko
tersebut.
Dalam ilmu Risk Management dikenal dan dijabarkan :
Risk : Segala kemungkinan potensi (positip/negatif ) kepada
asset.

Risiko adalah efek dari ketidakpastian terhadap tujuan (ISO

guide 73:2009).
==
Dalam struktur organisasi, Information Technology Risk Officer
berada pada Operational Risk Department dan memiliki tanggung
jawab melakukan identifikasi current risks dan potensi risiko yang
berkaitan dengan penyelenggaraan teknologi informasi mencakup
aspek sesuai yang digariskan dalam Peraturan Bank Indonesia
Nomor 9/15/PBI/2007 tanggal 30 November 2007, tentang Pedoman
bagi Bank dalam Penerapan dan Pelaksanaan Manajemen Risiko
dibidang Teknologi Informasi Secara Terpadu. Dalam pedoman
tersebut dicantumkan bagaimana melakukan identifikasi,
pengukuran, pemantauan, serta pengendalian dan sistem
manajemen risiko terkait dengan perencanaan, pengembangan,
pengadaan, dan pengelolaan teknologi informasi yang menjadi satu
kesatuan dengan fungsi dan organisasi manajemen risiko pada bank.
Menegakkan prinsip Information Technology (IT) Governance agar
investasi teknologi informasi dapat memberikan benefit kepada
pencapaian bisnis. IT Governance meliputi:
Strategic Alignment : IT Strategic Plan harus selaras dengan
Business Strategic Plan
Value Delivery : Semua IT Project harus memberikan value
kepada bisnis
Risk Management : Memastikan bahwa semua Inherent IT Risk
telah dikelola secara baik
Resources Management : Memastikan bahwa semua IT
Resources telah dikelola secara baik dan benar
Performance Measurement : Memastikan bahwa IT Performance
KPI (Key Performance Indicator) telah dipenuhi secara baik dan
benar
Melakukan IT Risk Assessment untuk : (1) Mengenali inherent risk
maturity level, (2) Risk profile (3) Risk registry masing-masing aspek
penyelenggaraan teknologi informasi yang meliputi :
Manajemen
Pengembangan dan Pengadaan Sistem
Aktivitas Operasional
Jaringan Komunikasi
 Pengamanan Informasi
BCP (Business Continuity Planning)
EUC (End User Computing)
Electronic Banking
Penggunaan Pihak Penyedia Jasa Teknologi Informasi

===============

IT Risk Management
Seperti kita bersama-sama pahami, pemanfaatan Teknologi Informasi
(TI) selain mendatangkan benefit bagi perusahaan juga
menghadirkan risiko.
Risiko ini tentunya dapat mengakibatkan kerugian baik materiil
(seperti kerugian finansial) ataupun immateriil (hancurnya image,
hilangnya loyalitas pelanggan dll.) bagi bisnis perusahaan. Bahkan
tidak mustahil risiko tersebut bisa berdampak pada ditutupnya
perusahaan.
Risiko yang timbul akibat penggunaan TI ini seringkali tidak dapat
dihindari atau ditiadakan sama sekali, sehingga yang dapat dilakukan
adalah bagaimana kita mengelola risiko tersebut sehingga
dampaknya masih dapat diterima oleh perusahaan. Di sini fokus dari
IT Risk Management, dimana perusahaan berupaya mengelola
setiap potensi risiko akibat penggunaan TI dengan
mempertimbangkan cost and benefit dari setiap solusi terkait risiko
tersebut.
Berbagai macam risiko dapat timbul akibat dari penggunaan TI
biasanya disebabkan karena adanya sumber ancaman,
kesempatan/ancaman itu sendiri dan juga kerentanan (vulnerability)
yang dimiliki TI yang diimplementasikan.

=========
http://cobitindo.blogspot.com/2013/04/it-risk-management-framework-
by-cobit.html
==============

Contoh Risk Assessment

http://www.jaringan-komputer.cv-sysneta.com/contoh-risk-
assessment

By Ali Hariono
Membuat penilaian resiko

Salah satu tugas dalam membuat suatu Rencana kesinambungan

bisnis dan penanggulangan bencana (business continuity and
disaster recovery plan) dalam suatu corporate adalah membuat
penilaian resiko (Risk assessment). Begitu informasi ini telah
dikumpkan dan diberikan prioritas, maka organisasi anda bisa mulai
mengimplementasikan ukuran-ukuran untuk mencegah atau
melakukan recovery dari resiko tersebut andai kata hal atau bencana
itu akan pernah terjadi.

Pertama kali yang perlu anda lakukan adalah menggali sebanyak-

banyaknya potensi / resiko bahaya yang sekiranya bisa mengancam
bisnis atau organisasi anda. Mengidentifikasi resiko-resiko dalam
suatu jaringan computer dalam organisasi / bisnis anda bukanlah
suatu proses yang rumit, karena anda menghadapi technology
computer yang bisa ditebak. Yang perlu anda lakukan adalah
menentukan faktor-faktor / ancaman apa saja yang kira-kira bisa
menyebabkan infrastructure system jaringan komputer anda menjadi
terganggu ketersediannya dan bagaimana hal tersebut akan
menyebabkan dampak pada bisnis anda.
Scenario
Paragraph-2 berikut menjelaskan contoh suatu penilaian resiko (risk
assessment) dalam suatu jaringan komputer dalam suatu organisasi.
Sebelumnya perlu diketahui penjelasan-penjelasan tentang
pertimbangan-pertimbangan systematis dalam melakukan risk
assessment.

Tingkat bahaya bisnis yang bisa saja terjadi sebagai akibat dari suatu
kegagalan system, memasukkan semua konsekwensi2 potensi dari
kehilangan kepercayaan, integritas atau ketersediaan dari system
informasi dan juga asset-asset yang lainnya.
Dengan adanya ancaman-ancaman dan kelemahan-2 serta system
kendali yang sudah diterapkan sekarang, bisa saja kemungkinan
terjadi suatu kegagalan.
Hasil dari audit anda mengenai penilaian resiko / risk assessment ini
harus deregister dengan rapi menggunakan form seperti gambar
berikut ini yang kemudian diharapkan bisa membantu anda dalam
menentukan tindakan management yang memadai dan juga
menentuklan prioritas-prioritas dalam majemen resiko keamanan
informasi anda, serta mengimplementasikan control yang dipilih
untuk melindungi resiko-resiko ini. Proses risk assessment ini tidak
hanya dilakukan sekali saja, anda bisa melakukannya berkali-kali
agar bisa meng-cover semua bagian-bagian yang berbeda dalam
organisasi anda.
Gambar / diagram berikut ini adalah suatu studi kasus dalam suatu
jaringan komputer yang ada disuatu lingkungan industry dimana ada
dua gedung yang dipisahkan oleh jarak yang lumayan jauh yaitu
sebuah Yard / Pelataran pabrik.
network diagram mining office
Identifikasi resiko
Mengacu pada diagram ini anda perlu melakukan identifikasi semua
kemungkinan resiko keamanan yang bisa saja terjadi yang
menyebabkan dampak terganggunya kelangsungan bisnis anda.
Semua resiko-resiko ini haruslah deregister kedalam form berikut ini.
Risk assessment template
Klik disini untuk memperbesar gambar.
Identifikasi semua resiko dalam diagram jaringan komputer ini, dan
masukkan dalam register form risk assessment.
Resiko #1 Masalah Kabel Backbone Uplink

Fungsi bisnis: satu kabel jaringan backbone yang menghubungkan

gedung Mine Office dan gedung HR office.
Resiko ancaman: kabel Backbone putus / gagal
Konsekwensi: Semua komputer yang di Mine office akan terputus
dari semua sumber daya jaringan termasuk aplikasi-aplikasi bisnis
Tingkat Kemungkinan: Bisa Trejadi.
Kendali / Control Yang ada: Melindungi kabel jaringan backbone ini
dengan jalan memasukkannya kedalam pipa metal dan dikubur
kedalam tanah sedalam 30 Cm dibawah permukaan tanah. Tingkat
kendali ini kurang mencukupi mengingat diatasnya adalah jalanan
yang biasa dilalui oleh kendaraa alat berat.
Resiko #2 Router Rusak
Fungsi bisnis: Pendukung Komunikasi Global.
Resiko ancaman: Router rusak / terbakar
Konsekwensi: Semua jaringan komunikasi ke Internet global akan
terputus
Tingkat Kemungkinan: Bisa Trejadi.
Kendali / Control Yang ada: Menyediakan router cadangan dengan
sudah dikonfigurasi yang sama dengan yang ada sekarang. Dan
setiap terjadi perubahan konfigurasi selalu diupdate kedalam router
backup ini. Tingkat kendali ini sangat memadai.
Anda bisa mencari lagi resiko #3 dan seterusnya misal jika terjadi
kerusakan / kegagalan dalam system file server anda, atau system
email anda.
Kolom berikutnya yang juga perlu anda masukkan datanya adalah:
Consequence Ratings / Tingkat Konsequensi; Tingkat Kemungkinan
(Likelihood ratings); Tingkat Resiko (Level of Risk); dan Prioritas
Resiko. Sesuai dengan skala bisnis anda, sebelumnya anda perlu
mendefiniskan tingkat konsequency sesuai dengan lingkungan bisnis
anda misal dalam contog dibawah ini untuk tingkat konsekwensi yang
tinggi jika mempunyai tingkat kerugian Rp. 100 milyar keatas. Bisa
saja dalam skala bisnis yang kecil anda meletakkan dampak kerugian
sebesar 1 milyar untuk tingkat resiko tinggi.
Consequence

Tingkat Kemungkinan (Likelihood) Tingkat Resiko (Level of

Risk) Prioritas Resiko (Risk Priority)
Tinggi (High): berdampak kerigian sampai Rp. 100 Milyar dalam
organisasi anda atau dampak operasi yang sangat serius 1 Sangat
mungkin (Highly possible) High Tingkat dampak sangat besar
Resiko Tinggi (High Risk)
Medium: Berdampak antara 50-100 Milyar Rp dalam kerugian bisbis
anda atau ancaman organisasi yang serius. 2 Mungkin / Possible
Medium Dampak menengah Resiko medium (Medium
risk)
Low: Dibawah Rp 50 Milyar atau dampak taktis dalam operasi bisnis
organisasi anda 3 Kecil kemungkinan-nya / Likely Low Dampak
Minimal Resiko rendah (Low Risks)
4 Jarang sekali terjadi /Not very likely
5 Tidak pernah terjadi / Never
Dalam contoh risk assessment ini, resiko #1 untuk kolom Likelihood
diisi dengan Mungkin/Possible dan untuk kolom Konsekwensi diisi
dengan Resiko medium / Medium risk. Begitu seterusnya untuk
resiko-resiko berikutnya.
Untuk lebih jelas masalah Management resiko konsep dan petunjuk
praktis, baca ebook saya tentang DR & Risk Management.
Semoga bermanfaat

============
IS Risk Management
http://polairut.wordpress.com/2011/10/22/is-risk-management/

Resiko adalah potensial bahaya yang mungkin timbul dari beberapa

proses saat ini dan atau dari beberapa peristiwa dimasa depan. Dari
perspektif Sistem Informasi , management resiko adalah memahami
dan menanggapi faktor- factor yang dapat menyebabkan terjadinya
kegagalan dalam integrasi, kerahasiaan, dan keamanan system
informasi. Resiko ini akan membahayakan proses atau informasi
yang dihasilkan dari beberapa peristiwa, baik yang disengaja maupun
tidak disengaja. Resiko ini juga bisa berasal dari internal diri kita
sendiri atau pihak ekternal yang mencoba untuk mencuri data kita.
Menurut G. Stoneburner 2002, IT risk management meliputi tiga
proses:
1. Risk Assessment
Penilaian resiko (risk assessment) merupakan tahapan awal dalam
pengendalian resiko. Manager menggunakan risk assessment untuk
mengetahui tingkat ancaman yang potensial dan resiko yang
berhubungan dengan seluruh proses system informasi.
Hasil dari proses ini, diharapkan semua potensi ancaman dapat
dinilai sesuai dengan kategorinya. Yang mempunyai tingkat resiko
yang paling tinggi akan mendapat prioritas dalam hal pencegahan,
yang nantinya akan membantu para manager dalam mengendalikan
resiko yang ada.
2. Risk Mitigation
Risk Mitigation adalah proses atau langkah- langkah yang untuk
mengendalikan, mengevaluasi, pencegahan kembali dan control
terhadap resiko yang terjadi. Dengan pengendalian yang tepat, dapat
mengurangi tingkat resiko yang terjadi ke tingkaan paling minim
sehingga tidak berpengaruh terhadap sumber daya dan bisnis yang
berjalan, ehingga resiko yang terjadi tidak berulang.
3. Evaluation and assessment
Evaluasi terhadap management resiko harus terus dilakukan dan
diperbaharui. Perkembangan teknologi yang pesat memungkinkan
terjadinya serangan serangan (resiko- resiko) baru yang dapat
mengancam sumber daya yang sebelumnya tidak mempunyai tingkat
resiko.
Umumnya yang terjadi adalah setelah Risk Assessment dan Risk
Mitigation dilakukan, evaluasi terhadap hasil kegiatan tersebut jarang
dilakukan, sehingga tingkat resiko tetap tinggi. Misalnya, tidak ada
evaluasi tahunan terhadap resiko resiko yang sudah ditentukan
sebelumnya.
Salah satu tools untuk membantu Information System Risk
management adalah OCTAVE-S. Para manager dapat menggunakan
OCTAVE-S dalam penghitungan tingkatan resiko yang ada di
perusahaan. OCTAVE-S digunakan jika perusahaan tsb terdiri kurang
dari 100 orang yang terlibat langsung dalam IT. OCTAVE-S
mempunyai 3 phase:
Phase 1:
Membangun/ menentukan asset berdasarkan profile ancaman
Pada phase ini akan memilih asset asset perusahaan dan
memberikan peringkat berdasarkan tingkat resiko. Asset asset yang
mempunyai nilai tingkat resiko yang paling besar akan menjadi
prioritas utama dalam hal penanganan. Juga, pada tahap ini akan
diidentifikasi kebutuhan keamanan yang dibutuhkan terhadap asset
asset penting.
Aktivitas aktivitas pada proses ini antara lain:
Menerapkan kriteria dampak evaluasi
Mengidentifikasi asset penting perusahaan
Memilih asset penting perusahaan
Identifikasi keamanan yang dibutuhkan terjadap asset- asset
penting

Phase 2:
Mengidentifikasi kerentanan Infrastruktur
Tahapan ini akan menguji semua tingkata infrastruktur terhadap asset
asset penting, Semua jalur akses terhadap asset asset penting akan
diuji untuk mengetahui tingkat kerentanan terhadap resiko serangan.
Begitu juga dengan teknologi yang digunakan, akan diaudit apakah
teknologi tersebut rentan terhadap serangan baik yang berasal dari
pihak internal maupun external. Seiring dengan perkembangan
teknologi yang semakin canggih, tingkat kerentanan teknologi
menjadi masalah baru dalam IS Risk. Contoh kasusnya adalah
maraknya SQLInjection pada website tertentu.

Aktivitas aktivitas pada proses ini antara lain:

Pemeriksaan jalur akses
Menganalisa teknologi yang dihubungkan dengan proses
Phase 3:
Membangun rencana Strategi Keamanan
Tahapan ini akan menggabungkan temuan dari phase 1 dan phase 2
untuk dibentuk rencana strategi keamanan yang baik. Pada tingkatan
ini juga akan mengidentifikasi tingkat kemungkinan resiko yang akan
terjadi, bagaimana cara penanganannya,
Output dari tahapan ini adalah pendekatan dan rencana pencegahan
resiko, protection strategy dan rencana strategi kedepannya secara
keseluruhan.
Aktivitas aktivitas pada proses ini antara lain:
Mengevaluasi dampak dari serangan
Mengevaluasi kemungkinan terjadinya serangan
Menentukan rencana pencegahan terhadap resiko
menentukan rencana kedepannya terkain risk management.

=========
Risk Assessment untuk Teknologi Informasi
http://qualityolife.blogspot.com/2011/05/risk-assessment-untuk-
teknologi.html
Risk Assessment untuk Teknologi Informasi
Penilaian resiko (Risk Assesment) merupakan proses yang pertama
di dalam metodologi manajemen resiko. Organisasi menggunakan
penilaian resiko untuk menentukan tingkat ancaman yang potensial
dan resiko yang berhubungan dengan suatu sistem IT seluruh SDLC-
nya (System Development Life Cycle). Hasil dari proses ini
membantu ke arah mengidentifikasi kendali yang sesuai untuk
mengurangi atau menghapuskan resiko ketika proses risk mitigation.
Metodologi Penilaian Resiko meliputi sembilan langkah-langkah
utama:
System Characterization
Di dalam memperkirakan penilaian resiko untuk suatu sistem IT,
langkah yang pertama adalah menggambarkan scope of the effort.
Pada langkah ini, batasan-batasan dari IT mulai diidentifikasi,
bersama dengan sumber daya dan informasi yang menjadi dasar
sistemnya. Karakter suatu sistem IT dikenali, untuk menetapkan
ruang lingkup usaha penilaian resiko, menggambarkan batasan-
batasan otorisasi operasional, dan menyediakan informasi yang
penting untuk menjelaskan resiko.
Threat Identification
Melakukan identifikasi terhadap ancaman-ancaman yang ada
maupun akan ada. Identifikasi dilakukan pada sumber ancaman
(threat-source) yang dapat dibagi atas 3 macam ancaman, yaitu:
5. Natural Threats, seperti banjir, gempa bumi, tornado dan
lainnya.
6. Human Threats, seperti akses tidak terotorisasi pada informasi
rahasia.
7. Environmental Threats, seperti kegagalan suplai listrik pada
waktu yang lama.
Vulnerability Identification
Melakukan identifikasi kelemahan-kelemahan yang ada dalam
 sistem yang dapat digunakan oleh orang luar melakukan
ancaman. Identifikasi dilakukan dengan melihat asal dari
kelemahan tersebut dengan melihat informasi mengenai
identifikasi sistem informasi. Kelemahan-kelemahan dapat berupa
isu keamanan pada aplikasi maupun sistem operasi yang
digunakan dalam sistem informasi tersebut.
Control Analysis
Tujuan dari langkah ini adalah melakukan analisa terhadap
kontrol-kontrol atau pengendalian-pengendalian yang telah
dipasang ataupun yang direncanakan untuk dipasangkan pada
sistem dengan tujuan untuk meminimalkan atau menghilangkan
ancaman-ancaman terhadap kelemahan sistem.
5 Likelihood Determination
Proses ini memberikan rating terhadap kemungkinan-kemungkinan
yang nampak yang ditentukan oleh motivasi sumber ancaman dan
kemampuannya, kelemahan-kelemahan dan kontrol atau
pengendalian yang ada saat ini.
6 Impact Analysis
Pada langkah ini dilakukan analisa akibat yang mungkin dihasilkan
oleh ancaman terhadap kelemahan sistem. Beberapa akibat-akibat
yang terlihat dapat diukur secara kualitatif dengan hilangnya
pendapatan, biaya perbaikan atau tingginya usaha yang harus
dikeluarkan untuk memperbaiki masalah tersebut.
7 Risk Determination
Tujuan dari langkah ini adalah untuk melakukan penilaian berjenjang
kepada resiko-resiko yang ada dalam sistem informasi menjadi
bentuk daftar prioritas. Dengan daftar ini, penanggulangan resiko
dengan pengendalian-pengendalian dapat dilakukan sesuai dengan
prioritasnya. Untuk mengukur resiko maka suatu skala resiko dan
matrik resiko harus dikembangkan.
8 Control Recommendations
Pada langkah ini, kontrol-kontrol yang dapat mengurangi maupun
menghilangkan resiko-resiko yang berhasil diidentifikasikan akan
direkomendasikan. Tujuannya adalah untuk mengurangi nilai resiko
terhadap sistem informasi ke level yang dapat diterima.
9. Results Documentation
Proses dokumentasi terhadap seluruh proses pengerjaan risk
assessment yang berbentuk laporan-laporan yang berisikan hasil
identifikasi, analisa dan rekomendasi.

=============