TUGAS KELOMPOK

ANALISIS FRAMEWORK DAN TOOLS RISIKO TI

diajukan untuk memenuhi tugas mata kuliah Manajemen Risiko Teknologi Informasi

Disusun Oleh:
Kelompok 8
SI-42-GAB2

Anjani (1202184219)
Fadhil (1202181263)
Nazmi (1202183345)
Robby Ilhami Mulyadi (1202180378)
Savanny Putri Safrina (1202184165)

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS REKAYASA INDUSTRI

UNIVERSITAS TELKOM 

BANDUNG

2021
Framework Microsoft's Security Risk Management Guide

Risk Management adalah seperangkat prinsip dan praktik seperti disiplin manajemen
yang melibatkan evaluasi nilai aset, kemungkinan ancaman, serta menentukan tindakan yang
tepat untuk diambil. Proses Microsoft security risk management memungkinkan organisasi untuk
menerapkan dan memelihara proses dalam mengidentifikasi dan memprioritaskan risiko di
lingkungan TI. Pendekatan Microsoft untuk manajemen risiko keamanan menyediakan
pendekatan proaktif yang dapat membantu organisasi dari semua ukuran. Proses Microsoft
security risk management menawarkan kombinasi berbagai pendekatan termasuk analisis
kuantitatif murni, analisis laba atas investasi keamanan (ROSI), analisis kualitatif, dan
pendekatan praktik terbaik. Penting untuk dicatat bahwa panduan ini membahas suatu proses dan
tidak memiliki persyaratan teknologi khusus.

Nama Institusi/Penerbit/Penyusun/Pembuat Framework Microsoft’s Security Risk

Management Guide

 Tool name  : Microsoft's Security Risk Management Guide

 Vendor name  : Microsoft

Daftar istilah/ Terminology yang digunakan dalam Framework Microsoft’s Security Risk
Management Guide

 Authentication : Verifikasi identitas individu, sistem, mesin, atau entitas unik lainnya
 Authorization : Sebuah proses yang memungkinkan akses ke area tertentu dari suatu
sistem berdasarkan peran dan kebutuhan pengguna
 Committee Charter : Dokumen yang mendefinisikan tujuan dan tanggung jawab komite
pengawasan
 Compliance Risk Profile : Risiko saat ini dan prospektif terhadap pendapatan atau modal
yang timbul dari pelanggaran atau ketidaksesuaian dengan hukum, aturan, peraturan,
praktik yang ditentukan, kebijakan dan prosedur internal, atau standar etika
 Control Assessment : Tinjauan tingkat tinggi dan analisis kontrol yang berkaitan dengan
suatu proses; harus mencakup kontrol saat ini dan yang hilang
 Controls : Metode yang menjaga integritas informasi penting, memenuhi target
operasional atau keuangan, dan / atau mengkomunikasikan kebijakan manajemen (Lihat
juga: Kontrol Kunci, Kontrol Sekunder, Kontrol Tersier)
 ERM Policy Statement : Mendefinisikan pendekatan organisasi dan metode manajemen
risiko perusahaan
 Governance : Proses dan struktur yang diimplementasikan untuk berkomunikasi,
mengelola, dan memantau kegiatan organisasi
 Impact : Pengaruh dan Efek sebuah resiko
 Inherent Risk : Risiko yang melekat pada suatu proses, dengan mempertimbangkan
kemungkinan dan dampak risiko
 Key Control : Kontrol utama yang penting untuk proses bisnis; biasanya terjadi selama
proses yang berlaku
 Key Indicators : Pengukuran yang penting bagi organisasi untuk memantau masalah
potensial; Contohnya : key performance indicators (KPIs) dan key risk indicators (KRIs)
 Key Performance Indicator (KPI) : Pengukuran dengan serangkaian tujuan dan toleransi
yang jelas yang mengukur kinerja aktivitas bisnis yang penting
 Key Risk Indicator (KRI) : Pengukuran proaktif untuk risiko masa depan dan yang
muncul yang menunjukkan kemungkinan suatu peristiwa yang berdampak buruk pada
kegiatan bisnis
 Likelihood: Probabilitas atau kemungkinan risiko yang terajadi
 Mitigation Actions : Langkah-langkah yang diperlukan, atau item tindakan, untuk
mengurangi kemungkinan dan / atau dampak dari potensi risiko
 Operation Risk Profile : Risiko yang timbul dari pelaksanaan proses bisnis organisasi.
Risiko kerugian akibat proses internal yang gagal atau tidak memadai, sistem, orang, atau
entitas lain
 Price Risk Profile : Risiko terhadap pendapatan atau modal yang timbul dari perubahan
nilai portofolio yang merugikan
 Process : Elemen prinsip fungsi bisnis penting dalam kelompok kerja atau unit bisnis;
Satu set tugas yang diselesaikan oleh pemilik rencana kelangsungan bisnis dalam suatu
departemenReputation
  Risk Profile : Risiko saat ini dan prospektif terhadap pendapatan atau modal yang timbul
dari opini atau persepsi publik yang negatif
 Residual Risk : Risiko yang tersisa setelah mempertimbangkan lingkungan kontrol yang
ada
 Risk : Peristiwa atau tindakan potensial yang akan berdampak buruk pada organisasi
 Risk Appetite: Pernyataan yang secara luas mempertimbangkan tingkat risiko yang
dianggap dapat diterima oleh manajemen
 Risk Assessment: Prioritas potensi gangguan bisnis berdasarkan dampak dan
kemungkinan terjadinya; termasuk analisis ancaman berdasarkan dampak terhadap
organisasi, pelanggannya, dan pasar keuangan
 Risk Tolerance: Metrik yang menetapkan tingkat variasi yang dapat diterima di sekitar
tujuan organisasi dan memberikan jaminan bahwa organisasi tetap berada dalam selera
risikonya.
 Secondary Control : Kontrol penting yang biasanya terjadi setelah proses yang berlaku
untuk (yaitu, pelaporan atau pemantauan berkelanjutan)
 Strategic Risk Profile : Risiko saat ini dan prospektif terhadap pendapatan atau
peningkatan modal dari keputusan bisnis yang merugikan, keputusan yang tidak
dilaksanakan dengan benar, atau kurangnya respons terhadap perubahan industri
 Tertiary Control : Kontrol yang tidak penting yang masih dapat diterapkan secara efektif
untuk proses bisnis
 Velocity : Waktu yang dibutuhkan peristiwa risiko untuk memanifestasikan dirinya
 Vulnerability : Kerentanan entitas terhadap peristiwa risiko sebagaimana ditentukan oleh
kesiapan, kecepatan, dan kemampuan beradaptasi entitas

Alur/ Cara kerja analisis resiko menggunakan Framework Microsoft’s Security Risk
Management Guide

Langkah analisis risiko pada microsoft’s security risk management guide

1. Perencanaan, membangun fondasi untuk penilaian risiko yang sukses.
Tugas utama dalam langkah ini menyelaraskan fase penilaian risiko proses bisnis
dengan benar, cakupan penilaian yang akurat, dan mendapatkan penerimaan pemangku
 kepentingan. Tugas utama dalam langkah perencanaan, yaitu penyelarasan waktu
penilaian, lingkup, penerima pemangku kepentingan.
2. Pengumpulan data yang difasilitasi, pengumpulan informasi risiko melalui diskusi risiko
yang difasilitasi. Tujuan langkah ini untuk mengumpulkan informasi terkait risiko
pemangku kepentingan di seluruh organisasi. Elemen data primer yang dikumpulkan
adalah:
 Aset organisasi, yaitu segala sesuatu yang bernilai bagi bisnis
 Deskripsi aset, yaitu penjelasan singkat tentang setiap aset, nilainya dan
kepemilikannya
 Ancaman keamanan. Penyebab atau peristiwa yang dapat berdampak
negatif pada aset, yang ditunjukkan dengan hilangnya kerahasiaan,
integritas, atau ketersediaan aset.
 Kerentanan. Kerentanan adalah kelemahan atau kurangnya kontrol yang
dapat diekspoitasi untuk memengaruhi aset.
 Lingkungan kontrol saat ini. Deskripsi kontrol saat ini dan efektivitasnya
di seluruh sistem/organisasi.
 Kontrol yang diusulkan. Ide awal untuk mengurangi risiko.
Langkah-langkah dalam pengumpulan data yang di fasilitasi:
 Diskusi risiko dengan pemangku kepentingan
 Mengidentifikasi dan mengklasifikasikan aset
 Mengatur informasi risiko: aset, ancaman, kerentanan, dan kontrol
 Ringkasan pengumpulan data
3. Prioritas risiko, peringkat risiko yang teridentifikasi dalam proses yang konsisten dan
berulang Proses penentuan prioritas menambahkan elemen probabilitas ke pernyataan
dampak. Pernyataan risiko yang dibentuk dengan baik membutuhkan dampak terhadap
organisasi dan kemungkinan dampak itu terjadi. Langkah penentuan prioritas risiko:
 Melakukan ringkasan tingkat prioritas risiko
 Tinjauan dengan pemangku kepentingan
 Melakukan tingkat prioritas risiko secara rinci
 Prioritas risiko menentukan nilai dampak dari pernyataan dampak yang dikumpulkan
dalam proses pengumpulan data dan memperkirakan kemungkinan dampak untuk daftar
tingkat ringkasan. Daftar tingkat ringkasan lengkap dikembangkan dengan
menggabungkn nilai dampak dan probabilitas untuk setiap pernyataan risiko.

Tools CCS Risk Manager

Symantec Control Compliance Suite (CCS) Risk Manager memungkinkan pengguna

membuat tampilan risiko TI yang terkait dengan aset bisnis virtual, baik itu proses bisnis, grup,
atau fungsi. Untuk setiap aset bisnis, maka dapat menentukan tujuan risiko yang berpusat pada
bisnis, mengelompokkan semua aset TI yang terkait, dan menerapkan kontrol yang sesuai untuk
dievaluasi. Bekerja dengan para pemimpin unit bisnis, maka pengguna dapat menentukan
ambang batas risiko yang sesuai dan memberikan dasbor berbasis Web yang disesuaikan untuk
memantau bagaimana kinerja terhadap ambang batas risiko ini. Control Compliance Suite Risk
Manager juga memungkinkan pengguna dapat mengkomunikasikan dengan jelas kepada
stakeholder bisnis bagaimana risiko TI akan berkurang seiring berjalannya waktu saat aktivitas
remediasi terjadwal berlangsung (CCS Risk Manager, 2012).
Control Compliance Suite (CCS) Risk Manager memungkinkan para pemimpin
keamanan untuk lebih memahami dan mengkomunikasikan risiko ke lingkungan bisnis dari
infrastruktur TI mereka. Manajer Risiko menerjemahkan masalah teknis ke dalam risiko yang
relevan dengan proses bisnis, memberikan pandangan risiko TI yang disesuaikan untuk
pemangku kepentingan yang berbeda, dan membantu memprioritaskan upaya perbaikan
berdasarkan kekritisan bisnis daripada keparahan teknis (About CCS risk manager, 2021).

Nama Institusi/Penerbit/Penyusun/Pembuat Tools CCS Risk Manager

 Tool name  : Control Compliance Suite(CCS) 11 Risk Manager

 Vendor name  : Symantec Corporation

 Country of origin  : USA

  Coverage  : World-wide (state oriented

Daftar istilah/ Terminology yang digunakan dalam Tools CCS Risk Manager
 Risiko, Risiko adalah kemungkinan frekuensi dan besarnya kerugian di masa depan, yang
dapat diukur. Ukuran risiko TI dapat ditentukan sebagai produk dari ancaman,
kerentanan, dan nilai aset (Risks, 2021).
 Assets, Aset untuk organisasi bisnis adalah segala sesuatu yang memiliki nilai, pemilik,
dan akses terbatas. Organisasi bisnis dapat memiliki aset fisik dan bisnis.
a. Aset fisik adalah aset yang dapat diakses melalui jaringan komputer. Misalnya
komputer desktop dan laptop, server, printer, file, folder dan lain sebagainya.
b. Aset bisnis biasanya entitas bisnis dunia nyata seperti unit bisnis, departemen,
proses bisnis, dan sebagainya.
 Kontrol, Kontrol adalah pengamanan atau tindakan yang dilakukan untuk melindungi
terhadap risiko atau ancaman tertentu. Organisasi menerapkan kontrol untuk melindungi
aset fisik dan bisnis dari berbagai ancaman dan mengurangi risiko. CCS menyediakan
Controls Studio yang memungkinkan pengguna mengelola kontrol, memetakan kontrol
ke data penilaian, kebijakan, dan membuat regulasi dan kontrol baru. Berikut adalah
beberapa contoh kontrol:
a. Karyawan harus dilatih dan dipersiapkan untuk memberitahu manajemen jika
terjadi kehilangan data yang tidak disengaja atau serangan berbahaya
b. Terapkan patch keamanan terbaru setiap minggu.
c. Terapkan kata sandi yang kuat.
d. Data harus dienkripsi saat transmisi melalui jaringan publik.
 Residual risk and compensating controls atau Risiko residual dan kontrol kompensasi,
Organisasi dapat menganalisis sejauh mana pengurangan risiko yang dihasilkan oleh
kontrol baru atau yang ditingkatkan dalam hal kemungkinan atau dampak ancaman yang
berkurang, dua parameter yang menentukan tingkat risiko yang dimitigasi terhadap misi
organisasi. Dalam lingkungan TI yang memiliki beberapa kontrol keamanan, satu kontrol
keamanan dapat mengkompensasi yang lain. Mungkin ada eksposur terhadap kerugian
yang tersisa bahkan setelah risiko lain yang diketahui dihilangkan. Risiko yang tersisa
setelah penerapan kontrol baru atau yang ditingkatkan adalah risiko residual. Jika ada
 risiko residual pada pengendalian, mungkin ada pengendalian baru atau yang
ditingkatkan yang mengurangi risiko dengan faktor efektivitasnya. Ini disebut kontrol
kompensasi.
 Weight atau bobot, merupakan kepentingan yang dapat ditetapkan sebagai persentase
untuk kontrol yang dikaitkan dengan tujuan keamanan. Bobot adalah istilah relatif dan
dapat digunakan untuk menentukan persentase bobot yang ingin ditetapkan ke kontrol
 Komponen risiko, berisikan dampak (dampak bagi bisnis), aset (hal yang ingin
dilindungi), ancaman atau threat (hal yang ditakutkan untuk terjadi), kerentanan  atau
vulnerability (ancaman yang dapat terjadi), dan mitigation (hal yang saat ini mengurangi
risiko)
 CCS Architecture, CCS terdiri dari sejumlah komponen yang bekerja sama. Komponen
mengumpulkan, menyimpan, dan menganalisis data dari jaringan, kemudian
mengirimkan data tersebut ke klien dalam bentuk yang dapat digunakan. Dalam beberapa
kasus, satu komputer dapat melayani lebih dari satu peran. Peran lain memerlukan server
khusus
 Komponen CCS:
a. Application Server, merupakan pusat dari CCS, Layanan Direktori di Server
Aplikasi CCS menyimpan informasi tentang objek bisnis, preferensi, dan
informasi lainnya.
b. CCS Manager, melakukan hingga lima tugas berbeda di CCS yang disebut role. 
c. CCS Agent, agen CCS berada pada komputer di jaringan pengguna. Berfungsi
untuk mengumpulkan data mengenai komputer target dan meneruskan ke manajer
CCS.
d. Database, CCS menghosting database produksi dan pelaporan.
e. CCS Console, merupakan aplikasi Windows yang berjalan di komputer klien.
Konsol memungkinkan akses ke berbagai aktivitas CCS.
f. Web Console, memungkinkan pengguna mengakses subset fungsi CCS
menggunakan browser web.
g. Policy Central, memungkinkan audiens kebijakan untuk menanggapi kebijakan
yang diterbitkan, meminta pengecualian dan klarifikasi jika perlu.
  Roles, merupakan kumpulan tugas atau fungsi yang telah ditentukan. Pengguna dapat
melakukan setiap tugas yang merupakan tindakan tertentu, seperti membuat kebijakan
atau menjalankan evaluasi. Roles menentukan apa yang dapat dilihat dan dilakukan
pengguna di konsol CCS.
 Custom Roles, di dalam CSS tersedia sejumlah roles yang sudah ditentukan sebelumnya
yang sesuai dengan sebagian besar organisasi. Tetapi, di dalam CCS juga dapat membuat
peran khusus jika peran yang telah ditentukan sebelumnya tidak sesuai dengan kebutuhan
organisasi. Custom Roles ini hanya dapat dibuat menggunakan kombinasi tugas yang
disertakan dengan CCS.
 Risk Modeling, merupakan proses untuk mengidentifikasi dan menentukan tujuan
keamanan untuk melindungi aset di organisasi. Berikut merupakan detail dari risk
modeling overview: 
a. Security objective, merupakan field atau area yang wajib diisi berupa nama dari
tujuan keamanan.
b. Description, merupakan deskripsi yang ingin diberikan untuk tujuan keamanan.
c. Owner, merupakan penulis atau author dari tujuan keamanan. Penulis dapat
menambahkan owner yang berbeda untuk tujuan keamanan.
d. Created By, merupakan
e. Stakeholders, merupakan
f. Published Date, merupakan
g. Status, merupakan
h. Creation Date, merupakan

Manfaat dan Fitur CCS Risk Manager 

a. Manfaat CCS Risk Manager
 Mengubah risiko TI menjadi metrik risiko yang relevan dengan bisnis yang dapat
dibagikan dengan pemangku kepentingan utama untuk mendorong kesadaran,
akuntabilitas, dan tindakan.
 Visualisasikan eksposur risiko saat ini dan analisis tren historis untuk
menggambarkan bagaimana risiko TI dan program kepatuhan Anda secara
sistematis mengurangi risiko terhadap bisnis dari waktu ke waktu.
  Memprioritaskan upaya remediasi berdasarkan risiko bisnis daripada keparahan
teknis.
 Bekerja dengan pemangku kepentingan bisnis utama untuk membuat rencana
yang konsisten untuk praktik keamanan yang lebih baik dalam bisnis mereka dan
memantau kemajuan terhadap rencana ini secara berkelanjutan.

b. Fitur yang ada pada CCS Risk Manager

 Kemampuan untuk menentukan aset bisnis virtual berdasarkan proses bisnis
utama, grup, atau fungsi yang ingin Anda kelola dari perspektif risiko TI.
 Kemampuan untuk mengelompokkan semua aset TI yang terkait dengan aset
bisnis virtual dan menerapkan serta memantau kontrol untuk tampilan yang
ditargetkan dari postur risiko TI.
 Manfaatkan kerangka kerja data yang dapat diskalakan untuk dengan mudah
menggabungkan dan menormalkan data kontrol teknis dan prosedural dari
berbagai sumber yang memungkinkan Anda mengkomunikasikan risiko
berdasarkan kekritisan bisnis daripada keparahan teknis.
 Kemampuan untuk menetapkan ambang batas risiko, peringatan, dan
pemberitahuan di dasbor untuk memantau tingkat risiko TI dengan lebih baik.
 Sesuaikan dasbor untuk mengilustrasikan pandangan yang berbeda tentang risiko
TI untuk berbagai pemangku kepentingan termasuk pemimpin unit bisnis,
keamanan informasi, dan manajer Operasi TI.
 Model pengurangan risiko untuk memfasilitasi evaluasi berbagai opsi perbaikan.
 Kemampuan untuk memantau pengurangan risiko dari waktu ke waktu saat
kegiatan remediasi terjadwal berlangsung.

Alur/ Cara kerja analisis resiko menggunakan Tools CCS Risk Manager