Perencanaan Kelangsungan Bisnis

Lecture Note Pertemuan ke- 6

(Penilaian Resiko)

Capaian mata kuliah

1. Mahasiswa mampu memahami dan menjelaskan pandangan dari kelangsungan bisnis dan pemulihan bencana
2. Mahasiswa mampu memahami dan menjelaskan perencanaan proyek kelangsungan bisnis dan pemulihan
bencana
3. Mahasiswa mampu memahami dan menjelaskan penilaian resiko
4. Mahasiswa mampu memahami dan menjelaskan analisis dampak bisnis
5. Mahasiswa mampu memahami dan menjelaskan pengembangan strategi mitigasi resiko
6. Mahasiswa mampu memahami dan menjelaskan pengembangan rencana kelangsungan bisnis dan pemulihan
bencana
7. Mahasiswa mampu memahami dan menjelaskan pemulihan dan respon darurat
8. Mahasiswa mampu memahami dan menjelaskan kegiatan pelatihan, pengujian dan audit
9. Mahasiswa mampu memahami dan menjelaskan rencana pemeliharaan kelangsungan bisnis dan pemulihan
bencana

Tim Teaching
1. Elly, S.Kom., M.TI.

References
1. Snedaker, Susan. Business continuity and disaster recovery planning for IT professionals. Newnes, 2013
2. Blokdijk, Gerard. IT Risk Management Guide-Risk Management Implementation Guide: Presentations,
Blueprints, Templates; Complete Risk Management Toolkit Guide for Information Technology Processes
and Systems: Presentations, Blueprints, Templates; Complete Risk Management Toolkit Guide for
Information Technology Processes and Systems. Lulu. com, 2008
3. Watters, Jamie, and Janet Watters. Disaster Recovery, Crisis Response, and Business Continuity: A
Management Desk Reference. Apress, 2014

[Sistem Informasi - SI]

 Perencanaan Kelangsungan Bisnis
Lecture Note Pertemuan ke-6
(Penilaian Resiko)

Penjelasan Chapter 3
Membuat rencana kesinambungan bisnis yang unik untuk kegiatan operasional perusahaan
sangat penting untuk kesuksesan perusahaan. Setiap organisasi akan menangani potensi
ancaman dan risiko terkait secara berbeda. Setiap perusahaan harus mempertimbangkan
lokasi, industri, budaya organisasi, struktur perusahaan, departemen, unit kerja, pendekatan
manajemen, dan tujuan strategis. Setiap elemen ini berdampak pada bagaimana organisasi
merespons ancaman. Karena itu, langkah yang sangat penting dalam proses ini adalah
melakukan penilaian risiko.

Penilaian risiko TI juga dapat mendukung berbagai kegiatan manajemen risiko di seluruh
perusahaan termasuk:
- Pengembangan arsitektur infrastruktur TI
- Pengembangan arsitektur keamanan TI
- Definisi persyaratan antarmuka untuk fungsi TI (bagaimana TI saling berhubungan
dengan area bisnis atau fungsi lain)
- Implementasi dan pemeliharaan solusi keamanan
Mari kita gunakan mengemudi untuk bekerja sebagai contoh.
Ada ratusan, jika bukan ribuan, ancaman bagi Anda ketika Anda mengemudi untuk bekerja
setiap hari, tetapi Anda masih mengambil beberapa tindakan pencegahan dasar untuk
mengurangi, menghapus, atau menghindari risiko tertentu.
Jadi, walaupun tidak mungkin Anda akan mengalami kecelakaan saat mengemudi ke kantor,
Anda berencana untuk mengurangi risiko Anda.
Pertama, Anda mungkin mengambil kelas untuk belajar mengemudi, sehingga Anda bisa
mempelajari aturan dasar jalan. Itu pengurangan risiko.
Kedua, Anda mungkin mematuhi rambu-rambu lalu lintas seperti tanda berhenti dan
lampu sinyal. Itu strategi pengurangan risiko lain.
Ketiga, Anda mungkin memiliki asuransi mobil sehingga jika terjadi kecelakaan, Anda
tidak akan menghadapi biaya terlalu tinggi terkait dengan perbaikan mobil. Itu adalah
strategi pemindahan risiko.
Tetap saja, itu tidak mencegah seseorang melanggar aturan lampu merah atau kehilangan
kendali atas mobil mereka yang melaju 75 mil per jam di jalan raya.

Jadi, Anda sudah melakukan apa yang Anda bisa untuk mengurangi risiko dan Anda juga
menyadari ada risiko yang tidak bisa Anda hindari.

[Sistem Informasi - SI]

 Perencanaan Kelangsungan Bisnis
Lecture Note Pertemuan ke-6
(Penilaian Resiko)

Satu-satunya cara untuk mengambil profil risiko Anda ke titik nol adalah tidak pernah pergi
dengan kendaraan bermotor di mana pun dan tidak pernah dekat dengan jalan yang berisi
kendaraan bermotor.
Itu bukan solusi yang sangat praktis. Ini mungkin efektif, tetapi tidak layak (untuk sebagian
besar) atau diinginkan sebagai strategi mitigasi risiko.
Anda tidak dapat mengendalikan semua risiko, tetapi kebanyakan orang masih akan
melakukan apa yang mereka bisa, dengan alasan, untuk membatasi risiko mereka - seperti
mengambil kursus mengemudi, mengikuti aturan lalu lintas, dan membeli asuransi.
Jadi, masuk akal untuk mencoba mengatasi risiko yang kita dapat dalam bisnis, mengakui
akan ada risiko yang dapat atau tidak dapat kita tangani.

Manajemen risiko adalah proses bisnis yang digunakan untuk mengelola semua jenis risiko
yang dihadapi bisnis saat ini.
Proses manajemen risiko standar mencakup empat fase:
- penilaian ancaman,
- penilaian kerentanan,
- penilaian dampak, dan
- pengembangan strategi mitigasi risiko.
Proses pengelolaan risiko termasuk menilai potensi dan juga menganalisis trade-off atau
biaya peluang. (Trade-off adalah situasi dimana seseorang harus membuat keputusan
terhadap dua hal atau lebih, mengorbankan/kehilangan suatu aspek dengan alasan tertentu
untuk memperoleh aspek lain dengan kualitas yang berbeda sebagai pilihan yang diambil).

Jika kita menghabiskan $ 5.000 untuk menyediakan sistem agar dapat menjaga server tetap
berjalan, maka $ 5.000 tersebut tidak bisa kita habiskan pada hal lain, seperti materi
pemasaran, iklan, atau upah karyawan. Selain itu, ada biaya downtime versus biaya solusi.
Berapa besar pengaruh downtime selama 1 jam untuk server yang membuat perusahaan
kehilangan penjualan, kehilangan produktivitas, kehilangan reputasi, atau hilangnya
kepercayaan konsumen? Itulah biaya peluang dari downtime.
Intinya bukan untuk masuk ke dalam diskusi keuangan terperinci mengenai biaya bisnis tetapi
untuk memahami bahwa untuk setiap aktivitas yang terjadi, beberapa aktivitas lain tidak
dapat terjadi.

Memahami biaya peluang dalam proses manajemen risiko adalah penting karena Anda tidak
dapat mengelola setiap risiko hingga titik nol. Penilaian ini membutuhkan beberapa tingkat
penilaian kualitatif (penilaian dilakukan tanpa hard data, untuk penilaian nilai).

[Sistem Informasi - SI]

 Perencanaan Kelangsungan Bisnis
Lecture Note Pertemuan ke-6
(Penilaian Resiko)

Memahami semua aspek dari proses pengambilan keputusan akan membantu Anda dan tim
Anda untuk membuat keputusan yang lebih baik berdasarkan persyaratan dan kendala unik
perusahaan Anda.
Dua konsep lain yang berguna dalam proses ini adalah besar dan frekuensi resiko.
Misalnya, dampak gempa bumi terhadap operasi bisnis akan memiliki besar resiko yang tinggi,
yang berarti dampaknya akan ekstrem.
Namun, di banyak tempat, bahkan yang rawan gempa bumi, frekuensinya relatif rendah.

Akhirnya, setiap ancaman dan strategi mitigasi yang potensial memiliki biaya dan manfaat.
Biaya  biasanya dalam angka dolar dan biaya untuk kehidupan manusia dan operasi bisnis
Manfaat  manfaat mitigasi yang ideal harus lebih dari mengimbangi biaya kejadian

Bandingkan total biaya pemasangan dengan biaya kebakaran besar dalam hal:
(1) kerusakan bangunan,
(2) kerusakan peralatan (meja, komputer, karpet, dekorasi, file, catatan, inventaris),
(3) Kerusakan peralatan IT, dan
(4) cedera dan kematian manusia.

$15.000 tampak seperti investasi yang sangat baik karena biaya pemasangan sistem jauh
lebih rendah daripada manfaat yang diberikannya melalui pengurangan risiko. Ini adalah jenis
penilaian yang harus Anda selesaikan untuk rencana BC/DR Anda.

Penggunaan kata-kata "risiko" dan "ancaman" telah dilakukan beberapa kali, hampir secara
bergantian.
Risiko bisnis didefinisikan sebagai:
Proses mengidentifikasi, mengendalikan, dan menghilangkan atau meminimalkan
peristiwa tidak pasti yang dapat memengaruhi bisnis. Ini termasuk analisis risiko,
analisis manfaat biaya, seleksi, implementasi, dan pengujian strategi yang dipilih, dan
pemeliharaan strategi-strategi tersebut seiring waktu.
Kata-kata kunci di sini adalah mengidentifikasi, mengendalikan, menghilangkan, atau
meminimalkan peristiwa yang tidak pasti.
Manajemen risiko adalah tentang mencoba mengelola ketidakpastian.
Penghapusan semua risiko tidak dapat benar-benar dilakukan sepanjang waktu, tetapi dapat
menemukan cara untuk mengurangi atau menghilangkan banyak risiko. Proses manajemen
risiko adalah salah satu dari menentukan risiko mana yang harus ditangani dan bagaimana
mereka harus ditangani.

[Sistem Informasi - SI]

 Perencanaan Kelangsungan Bisnis
Lecture Note Pertemuan ke-6
(Penilaian Resiko)

Risiko adalah dampak negatif yang bersih dari pelaksanaan kerentanan, dengan
mempertimbangkan baik probabilitas maupun dampak terjadinya resiko.
Manajemen risiko adalah proses mengidentifikasi risiko, menilai risiko, dan mengambil
langkah-langkah untuk mengurangi risiko ke tingkat yang dapat diterima.
Tujuan melakukan manajemen risiko adalah untuk memungkinkan organisasi mencapai
misinya.
(1) dengan mengamankan sistem TI yang menyimpan, memproses, atau mengirimkan
informasi organisasi dengan lebih baik;
(2) dengan memungkinkan manajemen untuk membuat keputusan manajemen risiko yang
terinformasi dengan baik untuk membenarkan pengeluaran yang merupakan bagian dari
anggaran TI; dan
(3) dengan membantu manajemen dalam mengotorisasi (atau mengakreditasi) sistem TI
mereka berdasarkan dokumentasi pendukung yang dihasilkan dari kinerja manajemen risiko.
Manajemen risiko mencakup tiga proses: penilaian risiko, mitigasi risiko, dan evaluasi dan
penilaian.

Risiko = Ancaman + (Kerentanan + Kemungkinan) + Dampak

Risiko dapat dipandang sebagai kombinasi dari ancaman itu sendiri, kerentanan spesifik,
kemungkinan kerentanan itu dieksploitasi, dan dampak relatif atau absolut dari ancaman itu
terhadap organisasi atau sistem. Kerentanan dan kemungkinan ditampilkan bersama dalam
tanda kurung hanya untuk menunjukkan bahwa beberapa orang lebih suka menilai ini dalam
satu pass atau sebagai satu nilai. Melihat ke arah lain, kerentanan mungkin ada di sistem
operasi, tetapi jika Anda menjalankan sistem operasi itu di belakang firewall, kemungkinan
kerentanan itu berdampak pada sistem Anda mungkin rendah hingga nol.
Jadi, Anda dapat melihat perbedaan antara kerentanan dan kemungkinan dan bagaimana
Anda dapat menilai elemen-elemen ini.

Penilaian kerentanan menganalisis seberapa rentan, dan terpapar suatu bisnis atau sistem
terhadap ancaman tertentu. Ini harus mencakup penilaian tentang seberapa rentan suatu
sistem terhadap ancaman dan juga kemungkinan ancaman itu terjadi. Bagian kemungkinan
penilaian dapat menjadi bagian dari penilaian kerentanan, meskipun Anda juga bisa
membaginya sebagai proses terpisah jika diinginkan. Selama penilaian risiko Anda mencakup
penilaian kerentanan dan kemungkinan, Anda harus dalam kondisi yang baik. Jelas, penting
untuk mengetahui bahwa suatu sistem rentan terhadap ancaman yang memiliki peluang 90%
terjadi, peluang 50% terjadi, atau peluang 1% terjadi. Kerentanan dan kemungkinan kejadian
terkait erat, dan hasilnya digunakan sebagai masukan untuk penilaian dampak.

[Sistem Informasi - SI]

 Perencanaan Kelangsungan Bisnis
Lecture Note Pertemuan ke-6
(Penilaian Resiko)

Penilaian dampak menganalisis seberapa besar atau kecil dampak dari ancaman akan terjadi
pada bisnis atau sistem. Gempa bumi memiliki dampak besar pada bisnis yang berada di atau
dekat pusat gempa; itu memiliki dampak yang lebih rendah pada bisnis lebih jauh dari pusat
gempa; mungkin berdampak kecil pada perusahaan lain di seluruh negara jika infrastruktur
gagal atau jika pemasok atau vendor utama berlokasi di wilayah yang terkena dampak gempa
bumi.

Empat jenis strategi mitigasi risiko yang berbeda di awal bab ini.
Anda dapat mengurangi, menghindari, menerima, atau mentransfer risiko.
Setiap strategi dilengkapi dengan biaya terkait. Jauh lebih mahal dalam banyak kasus untuk
sepenuhnya menghindari risiko daripada mengurangi dampak risiko. Pengembangan strategi
mitigasi risiko adalah proses memutuskan risiko mana yang harus Anda tangani dan dengan
cara apa. Input untuk ini adalah analisis penilaian risiko atau laporan yang menggambarkan
ancaman yang ada, seberapa rentan sistem Anda, dan seberapa besar kemungkinan ancaman
itu terjadi serta dampak dari kejadian ini pada bisnis Anda. Kompilasi data ini akan
membantu mendorong keputusan bisnis yang sehat karena Anda akan dapat melihat seluruh
profil risiko Anda dan memutuskan bagaimana untuk melanjutkan. Karena jarang ada solusi
sempurna dalam bisnis, tugas Anda selama fase ini adalah membuat keputusan dan
pertukaran yang cerdas mengingat data yang dikumpulkan.

Selain manusia, proses dan teknologi, kategori keempat yang perlu dimasukkan:
infrastruktur.
Menilai infrastruktur:
Infrastruktur internal  bangunan, fasilitas perusahaan, utilitas untuk bangunan
Infrastruktur eksternal  transportasi dan utilitas

Orang merespons dengan berbagai cara terhadap peristiwa kecil dan besar. Bagaimana
tanggapan orang-orang di perusahaan Anda akan didasarkan pada banyak faktor termasuk
jenis pekerjaan yang mereka lakukan, jenis orang yang dipekerjakan oleh perusahaan Anda,
dan banyak lagi. Misalnya, jika perusahaan Anda mempekerjakan tenaga medis yang
berpengalaman, mereka mungkin merespons keadaan darurat dengan baik. Namun jika Anda
mempekerjakan pekerja magang, mereka kemungkinan akan merespons secara berbeda
terhadap keadaan darurat. Melihat populasi karyawan dan memahami bagaimana mereka
merespons gangguan bisnis kecil dan besar akan membantu dalam perencanaan Anda. Ini
juga membantu untuk melihat kisaran karyawan yang Anda miliki dan lokasi di mana mereka
bekerja.

[Sistem Informasi - SI]

 Perencanaan Kelangsungan Bisnis
Lecture Note Pertemuan ke-6
(Penilaian Resiko)

Bagaimana dengan prosesnya?

Mari kita asumsikan listrik untuk gedung sudah padam. Tidak masalah jika ruang server
memiliki daya darurat atau tidak, bukan? Komputer desktop pengguna tidak tersedia, dan
perangkat lunak yang mereka gunakan untuk menyelesaikan pekerjaan tidak tersedia.
Jika perusahaan memiliki proses yang masih dilakukan oleh orang-orang tanpa teknologi,
proses-proses itu dapat dilanjutkan tetapi cepat atau lambat, proses-proses itu akan
membutuhkan data komputer sebagai input atau output. Dalam banyak kasus, kemudian,
melanjutkan dengan beberapa proses yang tidak bergantung pada teknologi (atau listrik
secara umum) akan menyebabkan sistem tidak sinkron.
Jika bahan diambil dari truk pengiriman yang masuk dan ditempatkan di inventaris dan
lembar inventaris kertas, pantau materi, jumlah, dan lokasi, yang dapat membantu truk
pengiriman kembali ke jalan, tetapi menyebabkan masalah di sisi lain.
Sekarang, ada persediaan yang tidak termasuk dalam penghitungan persediaan komputer
terakhir. Apakah dokumen itu akan menjadi masukan atau akankah dibutuhkan hitungan
siklus dalam 3 bulan untuk menemukan masalah?
Ini adalah contoh kecil tentang bagaimana semua proses bisnis dipengaruhi oleh ancaman
tunggal ini, pemadaman listrik, bahkan jika prosesnya tidak secara langsung dipengaruhi oleh
ancaman tersebut.

Teknologi adalah jantung operasi di banyak perusahaan saat ini, terutama yang berlokasi di
negara-negara industri. Tanpa teknologi, kebanyakan hal terhenti. Hampir sulit untuk
memahami dampak teknologi terhadap kehidupan kita sampai Anda terpaksa melakukannya.
Jika listrik mati di rumah Anda, bahkan selama beberapa jam, Anda tiba-tiba menyadari
bahwa Anda tidak bisa mendapatkan di Internet untuk mendapatkan berita, Anda tidak dapat
memperbarui portofolio saham Anda secara online atau di desktop Anda, Anda tidak dapat
menonton TV, Anda tidak bisa membuat kopi, Anda tidak tahu jam berapa sekarang, Anda
tidak bisa mengisi ulang ponsel Anda, dan seterusnya. Ya, Anda dapat menggunakan tablet
Anda jika layanan selulernya diaktifkan, tetapi mungkin itu saja. Kebanyakan orang
menemukan kehidupan normal mereka terhenti. Kami bingung karena kami sudah terbiasa
dengan kekuatan tanpa gangguan 24 x 7 x 365.

Konsep penting di sini adalah bahwa teknologi diperlukan agar orang-orang di perusahaan
dapat menggunakan proses yang ditentukan untuk melakukan bisnis. Teknologi, dengan
sendirinya, adalah alat bisnis yang meluas, tetapi paling sering tidak berguna tanpa konteks
orang dan proses.

[Sistem Informasi - SI]

 Perencanaan Kelangsungan Bisnis
Lecture Note Pertemuan ke-6
(Penilaian Resiko)

Infrastruktur kadang-kadang termasuk dalam segmen teknologi "orang, proses, dan

teknologi," tetapi berguna dalam perencanaan BC/DR untuk mengatasinya sebagai kategori
diskrit. Sebagian besar profesional TI memahami istilah infrastruktur dari sudut pandang TI,
tetapi dari sudut pandang organisasi, istilah ini merujuk pada hal-hal seperti bangunan dan
fasilitas, utilitas yang masuk ke gedung, dan infrastruktur eksternal seperti transportasi
umum, utilitas publik, layanan komunikasi , dan sumber daya lokal, negara bagian, atau
nasional lainnya yang terkait dengan bisnis Anda.

Proses kredit dengan penggunaan kartu kredit yang terkait dengan aturan dalam PCI
(Payment Card Industry). Manajemen risiko khusus TI adalah bagian dari keseluruhan
manajemen risiko bisnis. Ini termasuk mengembangkan standar teknis, fisik, administrasi,
dan manajemen serta proses untuk melindungi kerahasiaan, integritas, dan ketersediaan
(CIA) informasi di seluruh perusahaan. Manajemen risiko TI harus menyeimbangkan
kebutuhan organisasi untuk teknologi (terutama ketersediaan) dengan kemampuan dan biaya
teknologi saat ini. Hampir setiap risiko dapat dikurangi dengan pengeluaran besar, tetapi
tujuan manajemen risiko adalah untuk mengurangi risiko dengan cara yang seefektif
mungkin.

Tujuan manajemen risiko TI adalah untuk memungkinkan perusahaan mencapai tujuan

strategisnya dengan:
- Mengamankan sistem TI lebih lengkap
- Memungkinkan manajemen untuk membuat keputusan yang terinformasi dengan baik
terkait dengan pembelian dan implementasi sistem TI
- Memungkinkan manajemen untuk mengotorisasi (mengakreditasi) sistem TI
berdasarkan dokumentasi pendukung yang dihasilkan dari kegiatan manajemen risiko
TI
Mengidentifikasi risiko untuk sistem TI mencakup dua komponen utama: sistem dan
lingkungan operasi.
Data sistem termasuk tetapi tidak terbatas pada:
- Perangkat keras (server, penyimpanan, inti jaringan, router, firewall, desktop,
printer, telepon)
- Perangkat lunak (OS dan aplikasi)
- Antarmuka sistem (internal, titik koneksi eksternal)
- Orang yang mendukung sistem TI
- Pengguna yang menggunakan sistem IT
- Data, informasi, dan catatan
- Proses dilakukan oleh sistem TI

[Sistem Informasi - SI]

 Perencanaan Kelangsungan Bisnis
Lecture Note Pertemuan ke-6
(Penilaian Resiko)

- Nilai atau pentingnya sistem bagi organisasi (kekritisan sistem)

- Sensitivitas sistem dan data (rahasia, rahasia dagang, data medis, dll.)

Data lingkungan pengoperasian dapat mencakup:

- Persyaratan fungsional sistem TI
- Persyaratan teknis sistem
- Pengguna sistem
- Kebijakan keamanan (kebijakan perusahaan, industri, peraturan, persyaratan
pemerintah)
- Arsitektur keamanan (untuk menilai kerentanan terhadap ancaman cyber)
- Tingkat perlindungan yang dibutuhkan untuk CIA
- Topologi jaringan saat ini, diagram jaringan
- Antarmuka sistem, diagram aliran informasi
- Perlindungan penyimpanan data
- Kontrol teknis (produk keamanan tambahan, persyaratan identifikasi, persyaratan
akses, audit, metode enkripsi, dll.)
- Kontrol fisik (kontrol akses, pemantauan, dll.)
- Kontrol organisasi (kebijakan dan prosedur yang mendefinisikan metode dan perilaku
yang dapat diterima)
- Kontrol operasional (kebijakan dan prosedur cadangan, keamanan personel,
pemeliharaan sistem, penyimpanan di luar lokasi, atau kemampuan komputasi, dll.)
- Kontrol lingkungan (daya, suhu, kelembaban)

Penilaian risiko dimulai dengan penilaian semua ancaman potensial dan analisis ancaman
tersebut. Output dari fase ini adalah input ke fase penilaian kerentanan. Beberapa
perusahaan mungkin memilih untuk melihat secara menyeluruh pada setiap ancaman dan
membuat penilaian penuh atas setiap ancaman (seperti ancaman, kerentanan, dan dampak
untuk pemadaman listrik atau banjir). Namun, disarankan untuk membuat penilaian ancaman
secara terperinci terlebih dahulu. Jika Anda terperangkap dalam perincian melihat ancaman
tertentu sebelum semua ancaman dijelaskan, Anda dapat membuang waktu dan sumber daya
merencanakan hal-hal yang salah. Anda mungkin hanya dapat melihat risiko relatif dari
berbagai ancaman setelah seluruh daftar dibuat. Pastikan untuk mengingat hal ini dan fokus
pada menghasilkan penilaian ancaman yang komprehensif sebelum pindah ke fase penilaian
kerentanan. Jika tidak, Anda berisiko ulang, kesalahan, dan kesenjangan dalam rencana
BC/DR akhir Anda.

Metode pengumpulan informasi: kuesioner, wawancara, mengulas dokumen, dan penelitian.

[Sistem Informasi - SI]

 Perencanaan Kelangsungan Bisnis
Lecture Note Pertemuan ke-6
(Penilaian Resiko)

Ancaman alam dan lingkungan terdiri dari:

- Api
- Banjir
- Badai musim dingin yang parah
- Badai listrik
- Kekeringan
- Gempa bumi
- Tornado
- Badai / topan / topan
- Tsunami
- Gunung berapi
- Flu burung / pandemi

Ancaman Manusia terdiri dari:

- Api
- Pencurian, sabotase, dan vandalisme
- Perselisihan perburuhan
- Kekerasan di tempat kerja
- Terorisme
- Bahaya kimia atau biologis
- Perang
- Ancaman dunia maya
- Kejahatan dunia maya terdiri dari:
o Pencurian identitas
o Pencurian identitas perusahaan
o Meretas jaringan perusahaan atau intranet
o Meretas situs web perusahaan atau ekstranet
o Membuat backdoors untuk akses tidak sah
o Mencuri / menjual data rahasia

Ancaman infrastruktur terdiri dari:

- Kegagalan spesifik bangunan (kerusakan struktural, kegagalan sistem)
- Gangguan transportasi umum (jalan, kereta api, bandara, pelabuhan laut, saluran air)
- Hilangnya utilitas (kegagalan jaringan listrik, kegagalan pasokan gas, kegagalan
pasokan air)
- Kekurangan minyak bumi atau minyak
- Kontaminasi makanan atau air
- Perubahan peraturan atau hukum

[Sistem Informasi - SI]

 Perencanaan Kelangsungan Bisnis
Lecture Note Pertemuan ke-6
(Penilaian Resiko)

Ada dua cara untuk melakukan penilaian ancaman.

Yang pertama adalah menggunakan pendekatan kuantitatif, di mana Anda berusaha
menggunakan angka keras untuk mewakili ancaman, kerentanan, dan dampak.
Metode kedua adalah pendekatan kualitatif, di mana Anda mencoba untuk mendefinisikan
ancaman relatif, kerentanan, dan dampak.

Penilaian kuantitatif dapat didefinisikan sebagai pengamatan yang melibatkan pengukuran

dan angka. Mereka spesifik dan terukur.
Penilaian kualitatif menggunakan kata-kata atau nilai relatif untuk mengekspresikan risiko,
biaya, dan dampak.
Langkah pertama dalam menggunakan sistem kualitatif adalah menentukan skala yang ingin
Anda gunakan dan kemudian menggunakannya secara konsisten.

Tabel 4.6 yang ditunjukkan sebelumnya adalah matriks kemungkinan yang dikembangkan
oleh NIST.
Matriks ini khusus untuk kerentanan risiko keamanan tetapi memberikan contoh yang baik
tentang bagaimana mendefinisikan jenis penilaian kualitatif ini.

Dalam Gambar 4.10 dan 4.11, biaya digambarkan dalam hal biaya dampak relatif
(1) kehilangan pendapatan,
(2) kerusakan pada server,
(3) kerusakan pada basis data, dan
(4) kerusakan pada komputer pengguna.

Kerentanan didefinisikan sebagai kelemahan, kerentanan, atau paparan bahaya atau

ancaman. Kerentanan dalam program perangkat lunak, misalnya, adalah kelemahan yang
menimbulkan masalah jika ditemukan dan dieksploitasi. Kerentanan dalam hal kelangsungan
bisnis dan pemulihan bencana adalah berbagai bidang bisnis dan sistem TI yang terekspos
atau rentan terhadap ancaman yang ditetapkan dalam fase penilaian sebelumnya.
Kerentanan dapat dieksploitasi secara sengaja atau dipicu secara tidak sengaja.

Penilaian kerentanan dapat bersifat kualitatif atau kuantitatif, tetapi dalam banyak kasus,
perusahaan menggunakan penilaian kualitatif atau metode semiquantitatif. Kuncinya adalah
untuk mendapatkan gambaran yang akurat tentang kerentanan terhadap setiap sumber
ancaman dan membandingkannya menggunakan metodologi yang konsisten. Penilaian
kerentanan biasanya menggunakan berbagai sumber data sebagai input. Ini termasuk

[Sistem Informasi - SI]

 Perencanaan Kelangsungan Bisnis
Lecture Note Pertemuan ke-6
(Penilaian Resiko)

penilaian risiko sebelumnya, persyaratan keamanan, hasil uji keamanan, persyaratan

peraturan (HIPAA, GLBA, dll.), Dan masalah sebelumnya.

Jika sistem belum dirancang, penilaian kerentanan harus fokus pada kebijakan keamanan
organisasi, prosedur keamanan yang direncanakan, definisi persyaratan sistem, dan analisis
produk keamanan vendor (kertas putih, dll.).
Jika sistem sedang dalam proses implementasi, penilaian kerentanan harus fokus pada
informasi yang lebih spesifik seperti fitur keamanan yang direncanakan; dokumentasi
keamanan dan desain; dan hasil sertifikasi sistem, pengujian, pementasan, dan evaluasi.
Jika sistem telah dilaksanakan dan operasional, penilaian kerentanan harus mencakup
analisis fitur keamanan sistem, kontrol keamanan (teknis, operasional, dan lingkungan), dan
prosedur operasi TI standar.

Setelah penilaian kerentanan selesai, Anda dapat mengembangkan nilai risiko untuk masing-
masing sumber ancaman. Nilai risiko ini dapat diturunkan secara numerik jika Anda telah
menggunakan sistem kuantitatif atau sistem kualitatif yang menggunakan angka untuk skala
(semiquantitatif). Setelah penilaian kerentanan selesai, Anda dapat mulai menganalisis data.
Analisis ini harus mencakup tinjauan menyeluruh terhadap semua sumber ancaman,
kemungkinan, dan peringkat kerentanan.

Hasil dari fase ini adalah dokumen yang mencantumkan, minimal:

1. Semua sumber ancaman potensial (kecuali yang sengaja dikecualikan).
2. Kemungkinan setiap sumber ancaman terjadi.
3. Kerentanan perusahaan Anda dan sistem TI terhadap sumber ancaman tersebut.
4. Nilai risiko sementara untuk setiap sumber ancaman.

~END CHAPTER~

[Sistem Informasi - SI]