Disusun Oleh:
Kelompok 8
SI-42-GAB2
Anjani (1202184219)
Fadhil (1202181263)
Nazmi (1202183345)
Robby Ilhami Mulyadi (1202180378)
Savanny Putri Safrina (1202184165)
UNIVERSITAS TELKOM
BANDUNG
2021
Framework Microsoft's Security Risk Management Guide
Risk Management adalah seperangkat prinsip dan praktik seperti disiplin manajemen
yang melibatkan evaluasi nilai aset, kemungkinan ancaman, serta menentukan tindakan yang
tepat untuk diambil. Proses Microsoft security risk management memungkinkan organisasi untuk
menerapkan dan memelihara proses dalam mengidentifikasi dan memprioritaskan risiko di
lingkungan TI. Pendekatan Microsoft untuk manajemen risiko keamanan menyediakan
pendekatan proaktif yang dapat membantu organisasi dari semua ukuran. Proses Microsoft
security risk management menawarkan kombinasi berbagai pendekatan termasuk analisis
kuantitatif murni, analisis laba atas investasi keamanan (ROSI), analisis kualitatif, dan
pendekatan praktik terbaik. Penting untuk dicatat bahwa panduan ini membahas suatu proses dan
tidak memiliki persyaratan teknologi khusus.
Daftar istilah/ Terminology yang digunakan dalam Framework Microsoft’s Security Risk
Management Guide
Authentication : Verifikasi identitas individu, sistem, mesin, atau entitas unik lainnya
Authorization : Sebuah proses yang memungkinkan akses ke area tertentu dari suatu
sistem berdasarkan peran dan kebutuhan pengguna
Committee Charter : Dokumen yang mendefinisikan tujuan dan tanggung jawab komite
pengawasan
Compliance Risk Profile : Risiko saat ini dan prospektif terhadap pendapatan atau modal
yang timbul dari pelanggaran atau ketidaksesuaian dengan hukum, aturan, peraturan,
praktik yang ditentukan, kebijakan dan prosedur internal, atau standar etika
Control Assessment : Tinjauan tingkat tinggi dan analisis kontrol yang berkaitan dengan
suatu proses; harus mencakup kontrol saat ini dan yang hilang
Controls : Metode yang menjaga integritas informasi penting, memenuhi target
operasional atau keuangan, dan / atau mengkomunikasikan kebijakan manajemen (Lihat
juga: Kontrol Kunci, Kontrol Sekunder, Kontrol Tersier)
ERM Policy Statement : Mendefinisikan pendekatan organisasi dan metode manajemen
risiko perusahaan
Governance : Proses dan struktur yang diimplementasikan untuk berkomunikasi,
mengelola, dan memantau kegiatan organisasi
Impact : Pengaruh dan Efek sebuah resiko
Inherent Risk : Risiko yang melekat pada suatu proses, dengan mempertimbangkan
kemungkinan dan dampak risiko
Key Control : Kontrol utama yang penting untuk proses bisnis; biasanya terjadi selama
proses yang berlaku
Key Indicators : Pengukuran yang penting bagi organisasi untuk memantau masalah
potensial; Contohnya : key performance indicators (KPIs) dan key risk indicators (KRIs)
Key Performance Indicator (KPI) : Pengukuran dengan serangkaian tujuan dan toleransi
yang jelas yang mengukur kinerja aktivitas bisnis yang penting
Key Risk Indicator (KRI) : Pengukuran proaktif untuk risiko masa depan dan yang
muncul yang menunjukkan kemungkinan suatu peristiwa yang berdampak buruk pada
kegiatan bisnis
Likelihood: Probabilitas atau kemungkinan risiko yang terajadi
Mitigation Actions : Langkah-langkah yang diperlukan, atau item tindakan, untuk
mengurangi kemungkinan dan / atau dampak dari potensi risiko
Operation Risk Profile : Risiko yang timbul dari pelaksanaan proses bisnis organisasi.
Risiko kerugian akibat proses internal yang gagal atau tidak memadai, sistem, orang, atau
entitas lain
Price Risk Profile : Risiko terhadap pendapatan atau modal yang timbul dari perubahan
nilai portofolio yang merugikan
Process : Elemen prinsip fungsi bisnis penting dalam kelompok kerja atau unit bisnis;
Satu set tugas yang diselesaikan oleh pemilik rencana kelangsungan bisnis dalam suatu
departemenReputation
Risk Profile : Risiko saat ini dan prospektif terhadap pendapatan atau modal yang timbul
dari opini atau persepsi publik yang negatif
Residual Risk : Risiko yang tersisa setelah mempertimbangkan lingkungan kontrol yang
ada
Risk : Peristiwa atau tindakan potensial yang akan berdampak buruk pada organisasi
Risk Appetite: Pernyataan yang secara luas mempertimbangkan tingkat risiko yang
dianggap dapat diterima oleh manajemen
Risk Assessment: Prioritas potensi gangguan bisnis berdasarkan dampak dan
kemungkinan terjadinya; termasuk analisis ancaman berdasarkan dampak terhadap
organisasi, pelanggannya, dan pasar keuangan
Risk Tolerance: Metrik yang menetapkan tingkat variasi yang dapat diterima di sekitar
tujuan organisasi dan memberikan jaminan bahwa organisasi tetap berada dalam selera
risikonya.
Secondary Control : Kontrol penting yang biasanya terjadi setelah proses yang berlaku
untuk (yaitu, pelaporan atau pemantauan berkelanjutan)
Strategic Risk Profile : Risiko saat ini dan prospektif terhadap pendapatan atau
peningkatan modal dari keputusan bisnis yang merugikan, keputusan yang tidak
dilaksanakan dengan benar, atau kurangnya respons terhadap perubahan industri
Tertiary Control : Kontrol yang tidak penting yang masih dapat diterapkan secara efektif
untuk proses bisnis
Velocity : Waktu yang dibutuhkan peristiwa risiko untuk memanifestasikan dirinya
Vulnerability : Kerentanan entitas terhadap peristiwa risiko sebagaimana ditentukan oleh
kesiapan, kecepatan, dan kemampuan beradaptasi entitas
Alur/ Cara kerja analisis resiko menggunakan Framework Microsoft’s Security Risk
Management Guide
Daftar istilah/ Terminology yang digunakan dalam Tools CCS Risk Manager
Risiko, Risiko adalah kemungkinan frekuensi dan besarnya kerugian di masa depan, yang
dapat diukur. Ukuran risiko TI dapat ditentukan sebagai produk dari ancaman,
kerentanan, dan nilai aset (Risks, 2021).
Assets, Aset untuk organisasi bisnis adalah segala sesuatu yang memiliki nilai, pemilik,
dan akses terbatas. Organisasi bisnis dapat memiliki aset fisik dan bisnis.
a. Aset fisik adalah aset yang dapat diakses melalui jaringan komputer. Misalnya
komputer desktop dan laptop, server, printer, file, folder dan lain sebagainya.
b. Aset bisnis biasanya entitas bisnis dunia nyata seperti unit bisnis, departemen,
proses bisnis, dan sebagainya.
Kontrol, Kontrol adalah pengamanan atau tindakan yang dilakukan untuk melindungi
terhadap risiko atau ancaman tertentu. Organisasi menerapkan kontrol untuk melindungi
aset fisik dan bisnis dari berbagai ancaman dan mengurangi risiko. CCS menyediakan
Controls Studio yang memungkinkan pengguna mengelola kontrol, memetakan kontrol
ke data penilaian, kebijakan, dan membuat regulasi dan kontrol baru. Berikut adalah
beberapa contoh kontrol:
a. Karyawan harus dilatih dan dipersiapkan untuk memberitahu manajemen jika
terjadi kehilangan data yang tidak disengaja atau serangan berbahaya
b. Terapkan patch keamanan terbaru setiap minggu.
c. Terapkan kata sandi yang kuat.
d. Data harus dienkripsi saat transmisi melalui jaringan publik.
Residual risk and compensating controls atau Risiko residual dan kontrol kompensasi,
Organisasi dapat menganalisis sejauh mana pengurangan risiko yang dihasilkan oleh
kontrol baru atau yang ditingkatkan dalam hal kemungkinan atau dampak ancaman yang
berkurang, dua parameter yang menentukan tingkat risiko yang dimitigasi terhadap misi
organisasi. Dalam lingkungan TI yang memiliki beberapa kontrol keamanan, satu kontrol
keamanan dapat mengkompensasi yang lain. Mungkin ada eksposur terhadap kerugian
yang tersisa bahkan setelah risiko lain yang diketahui dihilangkan. Risiko yang tersisa
setelah penerapan kontrol baru atau yang ditingkatkan adalah risiko residual. Jika ada
risiko residual pada pengendalian, mungkin ada pengendalian baru atau yang
ditingkatkan yang mengurangi risiko dengan faktor efektivitasnya. Ini disebut kontrol
kompensasi.
Weight atau bobot, merupakan kepentingan yang dapat ditetapkan sebagai persentase
untuk kontrol yang dikaitkan dengan tujuan keamanan. Bobot adalah istilah relatif dan
dapat digunakan untuk menentukan persentase bobot yang ingin ditetapkan ke kontrol
Komponen risiko, berisikan dampak (dampak bagi bisnis), aset (hal yang ingin
dilindungi), ancaman atau threat (hal yang ditakutkan untuk terjadi), kerentanan atau
vulnerability (ancaman yang dapat terjadi), dan mitigation (hal yang saat ini mengurangi
risiko)
CCS Architecture, CCS terdiri dari sejumlah komponen yang bekerja sama. Komponen
mengumpulkan, menyimpan, dan menganalisis data dari jaringan, kemudian
mengirimkan data tersebut ke klien dalam bentuk yang dapat digunakan. Dalam beberapa
kasus, satu komputer dapat melayani lebih dari satu peran. Peran lain memerlukan server
khusus
Komponen CCS:
a. Application Server, merupakan pusat dari CCS, Layanan Direktori di Server
Aplikasi CCS menyimpan informasi tentang objek bisnis, preferensi, dan
informasi lainnya.
b. CCS Manager, melakukan hingga lima tugas berbeda di CCS yang disebut role.
c. CCS Agent, agen CCS berada pada komputer di jaringan pengguna. Berfungsi
untuk mengumpulkan data mengenai komputer target dan meneruskan ke manajer
CCS.
d. Database, CCS menghosting database produksi dan pelaporan.
e. CCS Console, merupakan aplikasi Windows yang berjalan di komputer klien.
Konsol memungkinkan akses ke berbagai aktivitas CCS.
f. Web Console, memungkinkan pengguna mengakses subset fungsi CCS
menggunakan browser web.
g. Policy Central, memungkinkan audiens kebijakan untuk menanggapi kebijakan
yang diterbitkan, meminta pengecualian dan klarifikasi jika perlu.
Roles, merupakan kumpulan tugas atau fungsi yang telah ditentukan. Pengguna dapat
melakukan setiap tugas yang merupakan tindakan tertentu, seperti membuat kebijakan
atau menjalankan evaluasi. Roles menentukan apa yang dapat dilihat dan dilakukan
pengguna di konsol CCS.
Custom Roles, di dalam CSS tersedia sejumlah roles yang sudah ditentukan sebelumnya
yang sesuai dengan sebagian besar organisasi. Tetapi, di dalam CCS juga dapat membuat
peran khusus jika peran yang telah ditentukan sebelumnya tidak sesuai dengan kebutuhan
organisasi. Custom Roles ini hanya dapat dibuat menggunakan kombinasi tugas yang
disertakan dengan CCS.
Risk Modeling, merupakan proses untuk mengidentifikasi dan menentukan tujuan
keamanan untuk melindungi aset di organisasi. Berikut merupakan detail dari risk
modeling overview:
a. Security objective, merupakan field atau area yang wajib diisi berupa nama dari
tujuan keamanan.
b. Description, merupakan deskripsi yang ingin diberikan untuk tujuan keamanan.
c. Owner, merupakan penulis atau author dari tujuan keamanan. Penulis dapat
menambahkan owner yang berbeda untuk tujuan keamanan.
d. Created By, merupakan
e. Stakeholders, merupakan
f. Published Date, merupakan
g. Status, merupakan
h. Creation Date, merupakan
Alur/ Cara kerja analisis resiko menggunakan Tools CCS Risk Manager