Tujuan Pelatihan
Kegiatan pelatihan ini dimaksudkan untuk memberikan bekal
dan kecakapan kepada peserta dalam hal:
1. Mempelajari dan memahami langkah-langkah untuk
mengambil pendekatan proaktif untuk pengelolaan resiko
pada pemanfaatan IT di perusahaan, sejalan dengan
upaya tata kelola perusahaan.
2. Memahami bagaimana mengidentifikasi dan menilai risiko
yang terkait dengan teknologi informasi.
3. Praktek menggunakan kerangka berbagai penilaian dan
alat untuk memantau dan melaporkan TI organisasi Anda
risiko.
4. Mengembangkan Rencana Manajemen Risiko praktis.
===============
IT Risk Management
Seperti kita bersama-sama pahami, pemanfaatan Teknologi Informasi
(TI) selain mendatangkan benefit bagi perusahaan juga
menghadirkan risiko.
Risiko ini tentunya dapat mengakibatkan kerugian baik materiil
(seperti kerugian finansial) ataupun immateriil (hancurnya image,
hilangnya loyalitas pelanggan dll.) bagi bisnis perusahaan. Bahkan
tidak mustahil risiko tersebut bisa berdampak pada ditutupnya
perusahaan.
Risiko yang timbul akibat penggunaan TI ini seringkali tidak dapat
dihindari atau ditiadakan sama sekali, sehingga yang dapat dilakukan
adalah bagaimana kita mengelola risiko tersebut sehingga
dampaknya masih dapat diterima oleh perusahaan. Di sini fokus dari
IT Risk Management, dimana perusahaan berupaya mengelola
setiap potensi risiko akibat penggunaan TI dengan
mempertimbangkan cost and benefit dari setiap solusi terkait risiko
tersebut.
Berbagai macam risiko dapat timbul akibat dari penggunaan TI
biasanya disebabkan karena adanya sumber ancaman,
kesempatan/ancaman itu sendiri dan juga kerentanan (vulnerability)
yang dimiliki TI yang diimplementasikan.
=========
http://cobitindo.blogspot.com/2013/04/it-risk-management-framework-
by-cobit.html
==============
By Ali Hariono
Membuat penilaian resiko
Tingkat bahaya bisnis yang bisa saja terjadi sebagai akibat dari suatu
kegagalan system, memasukkan semua konsekwensi2 potensi dari
kehilangan kepercayaan, integritas atau ketersediaan dari system
informasi dan juga asset-asset yang lainnya.
Dengan adanya ancaman-ancaman dan kelemahan-2 serta system
kendali yang sudah diterapkan sekarang, bisa saja kemungkinan
terjadi suatu kegagalan.
Hasil dari audit anda mengenai penilaian resiko / risk assessment ini
harus deregister dengan rapi menggunakan form seperti gambar
berikut ini yang kemudian diharapkan bisa membantu anda dalam
menentukan tindakan management yang memadai dan juga
menentuklan prioritas-prioritas dalam majemen resiko keamanan
informasi anda, serta mengimplementasikan control yang dipilih
untuk melindungi resiko-resiko ini. Proses risk assessment ini tidak
hanya dilakukan sekali saja, anda bisa melakukannya berkali-kali
agar bisa meng-cover semua bagian-bagian yang berbeda dalam
organisasi anda.
Gambar / diagram berikut ini adalah suatu studi kasus dalam suatu
jaringan komputer yang ada disuatu lingkungan industry dimana ada
dua gedung yang dipisahkan oleh jarak yang lumayan jauh yaitu
sebuah Yard / Pelataran pabrik.
network diagram mining office
Identifikasi resiko
Mengacu pada diagram ini anda perlu melakukan identifikasi semua
kemungkinan resiko keamanan yang bisa saja terjadi yang
menyebabkan dampak terganggunya kelangsungan bisnis anda.
Semua resiko-resiko ini haruslah deregister kedalam form berikut ini.
Risk assessment template
Klik disini untuk memperbesar gambar.
Identifikasi semua resiko dalam diagram jaringan komputer ini, dan
masukkan dalam register form risk assessment.
Resiko #1 Masalah Kabel Backbone Uplink
============
IS Risk Management
http://polairut.wordpress.com/2011/10/22/is-risk-management/
Phase 2:
Mengidentifikasi kerentanan Infrastruktur
Tahapan ini akan menguji semua tingkata infrastruktur terhadap asset
asset penting, Semua jalur akses terhadap asset asset penting akan
diuji untuk mengetahui tingkat kerentanan terhadap resiko serangan.
Begitu juga dengan teknologi yang digunakan, akan diaudit apakah
teknologi tersebut rentan terhadap serangan baik yang berasal dari
pihak internal maupun external. Seiring dengan perkembangan
teknologi yang semakin canggih, tingkat kerentanan teknologi
menjadi masalah baru dalam IS Risk. Contoh kasusnya adalah
maraknya SQLInjection pada website tertentu.
=========
Risk Assessment untuk Teknologi Informasi
http://qualityolife.blogspot.com/2011/05/risk-assessment-untuk-
teknologi.html
Risk Assessment untuk Teknologi Informasi
Penilaian resiko (Risk Assesment) merupakan proses yang pertama
di dalam metodologi manajemen resiko. Organisasi menggunakan
penilaian resiko untuk menentukan tingkat ancaman yang potensial
dan resiko yang berhubungan dengan suatu sistem IT seluruh SDLC-
nya (System Development Life Cycle). Hasil dari proses ini
membantu ke arah mengidentifikasi kendali yang sesuai untuk
mengurangi atau menghapuskan resiko ketika proses risk mitigation.
Metodologi Penilaian Resiko meliputi sembilan langkah-langkah
utama:
System Characterization
Di dalam memperkirakan penilaian resiko untuk suatu sistem IT,
langkah yang pertama adalah menggambarkan scope of the effort.
Pada langkah ini, batasan-batasan dari IT mulai diidentifikasi,
bersama dengan sumber daya dan informasi yang menjadi dasar
sistemnya. Karakter suatu sistem IT dikenali, untuk menetapkan
ruang lingkup usaha penilaian resiko, menggambarkan batasan-
batasan otorisasi operasional, dan menyediakan informasi yang
penting untuk menjelaskan resiko.
Threat Identification
Melakukan identifikasi terhadap ancaman-ancaman yang ada
maupun akan ada. Identifikasi dilakukan pada sumber ancaman
(threat-source) yang dapat dibagi atas 3 macam ancaman, yaitu:
5. Natural Threats, seperti banjir, gempa bumi, tornado dan
lainnya.
6. Human Threats, seperti akses tidak terotorisasi pada informasi
rahasia.
7. Environmental Threats, seperti kegagalan suplai listrik pada
waktu yang lama.
Vulnerability Identification
Melakukan identifikasi kelemahan-kelemahan yang ada dalam
sistem yang dapat digunakan oleh orang luar melakukan
ancaman. Identifikasi dilakukan dengan melihat asal dari
kelemahan tersebut dengan melihat informasi mengenai
identifikasi sistem informasi. Kelemahan-kelemahan dapat berupa
isu keamanan pada aplikasi maupun sistem operasi yang
digunakan dalam sistem informasi tersebut.
Control Analysis
Tujuan dari langkah ini adalah melakukan analisa terhadap
kontrol-kontrol atau pengendalian-pengendalian yang telah
dipasang ataupun yang direncanakan untuk dipasangkan pada
sistem dengan tujuan untuk meminimalkan atau menghilangkan
ancaman-ancaman terhadap kelemahan sistem.
5 Likelihood Determination
Proses ini memberikan rating terhadap kemungkinan-kemungkinan
yang nampak yang ditentukan oleh motivasi sumber ancaman dan
kemampuannya, kelemahan-kelemahan dan kontrol atau
pengendalian yang ada saat ini.
6 Impact Analysis
Pada langkah ini dilakukan analisa akibat yang mungkin dihasilkan
oleh ancaman terhadap kelemahan sistem. Beberapa akibat-akibat
yang terlihat dapat diukur secara kualitatif dengan hilangnya
pendapatan, biaya perbaikan atau tingginya usaha yang harus
dikeluarkan untuk memperbaiki masalah tersebut.
7 Risk Determination
Tujuan dari langkah ini adalah untuk melakukan penilaian berjenjang
kepada resiko-resiko yang ada dalam sistem informasi menjadi
bentuk daftar prioritas. Dengan daftar ini, penanggulangan resiko
dengan pengendalian-pengendalian dapat dilakukan sesuai dengan
prioritasnya. Untuk mengukur resiko maka suatu skala resiko dan
matrik resiko harus dikembangkan.
8 Control Recommendations
Pada langkah ini, kontrol-kontrol yang dapat mengurangi maupun
menghilangkan resiko-resiko yang berhasil diidentifikasikan akan
direkomendasikan. Tujuannya adalah untuk mengurangi nilai resiko
terhadap sistem informasi ke level yang dapat diterima.
9. Results Documentation
Proses dokumentasi terhadap seluruh proses pengerjaan risk
assessment yang berbentuk laporan-laporan yang berisikan hasil
identifikasi, analisa dan rekomendasi.
=============