Kelompok 14

“BAB 14 MASALAH MANAJEMEN”

Disusun untuk memenuhi tugas

Mata kuliah : Sistem Informasi Manajemen

Dosen Pengampu : Nuruddin Wiranda M.Cs.

Oleh :

Munawarah
NIM. 19041110076

Ratna Filani
NIM. 1904110033

INSTITUT AGAMA ISLAM NEGERI PALANGKA RAYA

FAKULTAS DAN EKONOMI BISNIS ISLAM

JURUSAN EKONOMI ISLAM

PRODI PERBANKAN SYARIAH

TAHUN 1443H/ 2022 M

 DAFTAR ISI

A. Manajemen Keamanan TI ........................................................................................

B. Konteks Organisasi dan Kebijakan Keamanan ......................................................
C. Penilaian Risiko Keamanan ......................................................................................
1. Pendekatan Dasar ...............................................................................................
2. Pendekatan Informal ..........................................................................................
3. Analisis Risiko Terperinci ..................................................................................
4. Pendekatan Gabungan .......................................................................................
D. Analisis Risiko Keamanan Terperinci .....................................................................
1. Konteks dan Karakterisasi Sistem Identifikasi ..............................................
2. Ancaman/Risiko/Kerentanan Analisis Risiko ..................................................
3. Evaluasi Risiko ....................................................................................................
4. Perlakuan Risiko.................................................................................................
A. Manajemen Keamanan TI
manajemen keamanan TIadalah proses formal untuk menjawab pertanyaan-
pertanyaan ini, memastikan bahwa aset penting dilindungi secara memadai dengan
cara yang hemat biaya. Lebih khusus lagi, manajemen keamanan TI terdiri dari
pertama-tama menentukan pandangan yang jelas tentang tujuan keamanan TI
organisasi dan profil risiko umum. Selanjutnya, keamanan TItugas beresiko
diperlukan untuk setiap aset dalam organisasi yang memerlukan perlindungan;
penilaian ini harus menjawab tiga pertanyaan kunci yang tercantum di atas. Ini
memberikan informasi yang diperlukan untuk memutuskan manajemen, operasional,
dan kontrol teknis apa yang diperlukan untuk mengurangi risiko yang diidentifikasi
ke tingkat yang dapat diterima atau menerima risiko yang dihasilkan. Bab ini akan
mempertimbangkan masing-masing item ini. Proses berlanjut dengan memilih kontrol
yang sesuai dan kemudian menulis rencana dan prosedur untuk memastikan kontrol
yang diperlukan ini diterapkan secara efektif. Implementasi itu harus dipantau untuk
menentukan apakah tujuan keamanan terpenuhi. Seluruh proses harus diulang, dan
rencana serta prosedur tetap mutakhir, karena laju perubahan yang cepat baik dalam
teknologi maupun lingkungan risiko. Manajemen Keamanan Ti: Proses yang
digunakan untuk mencapai dan memelihara tingkat kerahasiaan, integritas,
ketersediaan, akuntabilitas, keaslian, dan keandalan yang sesuai. Fungsi manajemen
keamanan TI meliputi:menentukan tujuan, strategi, dan kebijakan keamanan TI
organisasi menentukan persyaratan keamanan TI organisasi mengidentifikasi dan
menganalisis ancaman keamanan terhadap aset TI dalam organisasi mengidentifikasi
dan menganalisis risiko menentukan perlindungan yang sesuai.
 Proses ini diilustrasikan pada Gambar 14.2 (diadaptasi dari gambar 1 di
[ISO27001]), yang dapat disejajarkan dengan Gambar 14.1. Hasil dari proses ini
 adalah bahwa kebutuhan keamanan dari pihak-pihak yang berkepentingan dikelola
dengan tepat.
B. Konteks Organisasi dan Kebijakan Keamanan
Kebijakan keamanan organisasi mengidentifikasi apa yang perlu dilakukan.
Tujuan, strategi, dan kebijakan ini perlu dipertahankan dan diperbarui secara berkala
berdasarkan hasil tinjauan keamanan berkala untuk mencerminkan lingkungan
teknologi dan risiko yang terus berubah. Untuk membantu mengidentifikasi tujuan
keamanan organisasi ini, peran dan pentingnya sistem TI dalam organisasi diperiksa.
Nilai sistem ini dalam membantu organisasi mencapai tujuannya ditinjau, bukan hanya
biaya langsung dari sistem ini. Maksud dari kebijakan ini adalah untuk memberikan
gambaran yang jelas tentang bagaimana infrastruktur TI organisasi mendukung
keseluruhan tujuan bisnisnya secara umum, dan lebih khusus lagi persyaratan
keamanan apa yang harus disediakan untuk melakukan ini dengan paling efektif. Syarat
kebijakan keamananjuga digunakan dalam konteks lain. Sebelumnya, kebijakan
keamanan organisasi mengacu pada dokumen yang merinci tidak hanya tujuan dan
strategi keamanan secara keseluruhan, tetapi juga kebijakan prosedural yang
mendefinisikan perilaku yang dapat diterima, praktik yang diharapkan, dan tanggung
jawab. RFC 2196 (Buku Pegangan Keamanan Situs) menjelaskan bentuk kebijakan ini.
Interpretasi kebijakan keamanan ini mendahului spesifikasi formal manajemen
keamanan TI sebagai suatu proses, seperti yang kami jelaskan dalam bab ini. Meskipun
pengembangan kebijakan seperti itu diharapkan mengikuti banyak langkah yang
sekarang kami rinci sebagai bagian dari proses manajemen keamanan TI, ada lebih
sedikit detail dalam deskripsinya. Isi kebijakan seperti itu biasanya mencakup banyak
area kontrol yang dijelaskan dalam standar seperti [ISO27002] dan [NIST09], Contoh
nyata dari kebijakan keamanan organisasi semacam itu, untuk perusahaan konsultan
teknik yang berbasis di Uni Eropa, disediakan di bagian konten premium dari situs Web
buku ini (ComputerSecurityPolicy.pdf). Untuk tujuan kami, kami telah mengubah
nama perusahaan menjadi Perusahaan di mana pun itu muncul dalam dokumen ini.
Perusahaan ini adalah perusahaan konsultan teknik yang berbasis di Uni Eropa yang
berspesialisasi dalam penyediaan layanan perencanaan, desain, dan manajemen untuk
pengembangan infrastruktur di seluruh dunia. Sebagai ilustrasi tingkat perincian yang
diberikan oleh jenis kebijakan ini, Lampiran H.1 mereproduksi Bagian 5 dari dokumen
tersebut, yang mencakup keamanan fisik dan lingkungan.Sangat penting bahwa
kebijakan keamanan TI organisasi mendapat persetujuan dan persetujuan penuh dari
 manajemen senior. Tanpa ini, pengalaman menunjukkan bahwa tidak mungkin bahwa
sumber daya atau penekanan yang cukup akan diberikan untuk memenuhi tujuan yang
diidentifikasi dan mencapai hasil keamanan yang sesuai. Dengan dukungan manajemen
senior yang jelas dan terlihat, kemungkinan besar keamanan akan dianggap serius oleh
semua tingkat personel dalam organisasi. Dukungan ini juga merupakan bukti
kepedulian dan uji tuntas dalam pengelolaan sistem organisasi dan pemantauan profil
risikonya.
C. Penilaian Risiko Keamanan
Mengingat cakupan organisasi yang luas, dari bisnis yang sangat kecil hingga
perusahaan multinasional global dan pemerintah nasional, jelas perlu ada berbagai
alternatif yang tersedia dalam melakukan proses ini. Ada berbagai standar formal yang
merinci proses penilaian risiko keamanan TI yang sesuai, termasuk [ISO13335],
[ISO27005], dan [NIST12]. Secara khusus, [ISO13335] mengenali empat pendekatan
untuk mengidentifikasi dan mengurangi risiko terhadap infrastruktur TI organisasi:
-Pendekatan dasar untuk penilaian risiko bertujuan untuk menerapkan tingkat umum
dasar kontrol keamanan pada sistem menggunakan dokumen dasar, kode praktik, dan
praktik terbaik industri.
-Pendekatan informal melibatkan melakukan beberapa bentuk informal, analisis risiko
pragmatis untuk sistem TI organisasi. Analisis ini tidak melibatkan penggunaan proses
yang formal dan terstruktur, melainkan memanfaatkan pengetahuan dan keahlian
individu yang melakukan analisis ini. Ini mungkin ahli internal, jika tersedia, atau,
sebagai alternatif, konsultan eksternal. Keuntungan utama dari pendekatan ini adalah
bahwa individu yang melakukan analisis tidak memerlukan keterampilan tambahan.
Oleh karena itu, penilaian risiko informal dapat dilakukan dengan relatif cepat dan
murah.
-Pendekatan ketiga dan paling komprehensif adalah melakukan penilaian risiko secara
rinci terhadap sistem TI organisasi, menggunakan proses terstruktur formal. Ini
memberikan tingkat jaminan terbesar bahwa semua risiko signifikan diidentifikasi dan
implikasinya dipertimbangkan. Proses ini melibatkan beberapa tahapan, termasuk
identifikasi aset, identifikasi ancaman dan kerentanan terhadap aset tersebut, penentuan
kemungkinan terjadinya risiko dan konsekuensi terhadap! organisasi jika itu terjadi,
dan karenanya risiko yang dihadapi organisasi.
-Pendekatan terakhir menggabungkan unsur-unsur pendekatan analisis risiko dasar,
informal, dan rinci. Tujuannya adalah untuk memberikan tingkat perlindungan yang
 wajar secepat mungkin, dan kemudian untuk memeriksa dan menyesuaikan kontrol
perlindungan yang diterapkan pada sistem utama dari waktu ke waktu. Pendekatan ini
dimulai dengan penerapan rekomendasi keamanan dasar yang sesuai pada semua
sistem.
D. Analisis Risiko Keamanan Terperinci
Pendekatan analisis risiko keamanan yang formal dan terperinci memberikan
evaluasi paling akurat atas risiko keamanan sistem TI organisasi, tetapi dengan biaya
tertinggi. Pendekatan ini telah berkembang dengan perkembangan sistem komputer
terpercaya, awalnya berfokus pada penanganan masalah keamanan pertahanan
Metodologi penilaian risiko keamanan asli diberikan dalam standar Buku Kuning
(CSC-STD-004-85 Juni 1985), salah satu seri buku pelangi TCSEC AS asli dari
standar. Fokusnya sepenuhnya pada melindungi kerahasiaan informasi, yang
mencerminkan perhatian militer dengan klasifikasi informasi. Peringkat yang
direkomendasikan yang diberikannya untuk sistem komputer tepercaya bergantung
pada perbedaan antara izin pengguna minimum dan klasifikasi informasi maksimum.
Secara khusus itu mendefinisikan indeks risiko sebagai
Indeks Risiko = Sensitivitas Info Maks - Izin Pengguna Minimum
Tabel dalam standar ini, yang mencantumkan kategori sistem yang sesuai untuk
setiap tingkat risiko, digunakan untuk memilih jenis sistem. Jelas bahwa pendekatan
terbatas ini tidak cukup mencerminkan jangkauan layanan keamanan yang dibutuhkan
maupun berbagai kemungkinan ancaman. Selama bertahun-tahun sejak itu, proses
melakukan penilaian risiko keamanan yang mempertimbangkan masalah ini telah
berkembang.
 Pada titik ini dalam menentukan eksposur risiko organisasi yang luas, setiap
kendala hukum dan peraturan yang relevan juga harus diidentifikasi. Fitur-fitur ini
memberikan dasar untuk eksposur risiko organisasi dan indikasi awal dari skala luas
sumber daya yang perlu dikeluarkan untuk mengelola risiko ini agar berhasil
menjalankan bisnis.
 Batas-batas penilaian risiko ini kemudian diidentifikasi. Ini dapat berkisar dari
hanya satu sistem atau aspek organisasi hingga seluruh infrastruktur TI-nya. Ini
sebagian akan tergantung pada pendekatan penilaian risiko yang digunakan.
Pendekatan gabungan memerlukan penilaian terpisah dari komponen penting dari
waktu ke waktu seiring dengan berkembangnya profil keamanan organisasi. Ia juga
mengakui bahwa tidak semua sistem mungkin berada di bawah kendali organisasi.
Secara khusus, jika layanan atau sistem disediakan secara eksternal, mereka mungkin
perlu dipertimbangkan secara terpisah. Berbagai pemangku kepentingan dalam proses
juga perlu diidentifikasi, dan keputusan harus dibuat tentang siapa yang melakukan dan
memantau proses penilaian risiko untuk organisasi.
Komponen terakhir dari langkah pertama dalam penilaian risiko ini adalah
mengidentifikasi aset yang akan diperiksa. Ini secara langsung menjawab pertanyaan
pertama dari tiga pertanyaan mendasar yang kita buka bab ini dengan: “Aset apa yang
perlu kita lindungi?” Sebuahasetadalah “segala sesuatu yang perlu dilindungi” karena
memiliki nilai bagi organisasi dan berkontribusi pada keberhasilan pencapaian tujuan
organisasi. Seperti yang kita bahas di Bab 1, aset dapat berwujud atau tidak berwujud.
Ini mencakup infrastruktur perangkat keras komputer dan komunikasi, perangkat lunak
(termasuk aplikasi dan informasi/data yang disimpan pada sistem ini), dokumentasi
pada sistem ini, dan orang-orang yang mengelola dan memelihara sistem ini. Dalam
batas-batas yang diidentifikasi untuk penilaian risiko, aset-aset ini perlu diidentifikasi
dan nilainya bagi organisasi dinilai. Penting untuk ditekankan lagi bahwa meskipun
idealnya adalah mempertimbangkan setiap aset yang mungkin, dalam praktiknya hal
ini tidak mungkin. Sebaliknya, tujuannya di sini adalah untuk mengidentifikasi semua
aset yang berkontribusi secara signifikan untuk mencapai tujuan organisasi dan yang
kompromi atau kerugiannya akan berdampak serius pada operasi organisasi.
1. Konteks dan Karakterisasi Sistem Identifikasi
Ancaman dapat berupa alam atau buatan manusia dan mungkin tidak disengaja atau
disengaja. Ini dikenal sebagaisumber ancaman. Sumber ancaman alam klasik
adalah yang sering disebut sebagai tindakan Tuhan, dan termasuk kerusakan yang
disebabkan oleh kebakaran, banjir, badai, gempa bumi, dan peristiwa alam lainnya.
Ini juga mencakup ancaman lingkungan seperti kehilangan daya jangka panjang
atau gas alam. Atau mungkin akibat kontaminasi atau kebocoran bahan kimia.
Alternatifnya, sumber ancaman dapat berupa agen manusia yang bertindak baik
secara langsung maupun tidak langsung. Contoh yang pertama termasuk orang
dalam yang mengambil dan menjual informasi untuk keuntungan pribadi atau
peretas yang menargetkan server organisasi melalui Internet. Contoh yang terakhir
termasuk seseorang yang menulis dan melepaskan worm jaringan yang
menginfeksi sistem organisasi. Contoh-contoh ini semuanya melibatkan
eksploitasi ancaman yang disengaja. Namun, ancaman juga dapat terjadi akibat
kecelakaan,Mengidentifikasi kemungkinan ancaman dan sumber ancaman
memerlukan penggunaan berbagai sumber, bersama dengan pengalaman penilai
risiko. Peluang terjadinya ancaman alam di wilayah tertentu biasanya diketahui
dari statistik asuransi. Daftar ancaman potensial lainnya dapat ditemukan dalam
standar, hasil survei keamanan TI, dan informasi dari badan keamanan pemerintah.
Laporan kejahatan komputer tahunan, seperti yang dilakukan oleh CSI/FBI dan
oleh Verizon di Amerika Serikat, dan laporan serupa di negara lain, memberikan
panduan umum yang berguna tentang lingkungan ancaman TI yang luas dan area
masalah yang paling umum. Standar, seperti [NIST12] Lampiran D dengan
taksonomi sumber ancaman, dan Lampiran E dengan contoh ancaman, juga dapat
membantu di sini.
2. Ancaman/Risiko/Kerentanan Analisis Risiko
Setelah mengidentifikasi aset-aset utama dan kemungkinan ancaman serta
kerentanan yang dihadapinya, langkah selanjutnya adalah menentukan tingkat
risiko yang ditimbulkan oleh masing-masing hal ini terhadap organisasi. Tujuannya
adalah untuk mengidentifikasi dan mengkategorikan risiko terhadap aset yang
mengancam operasi reguler organisasi. Analisis risiko juga memberikan informasi
kepada manajemen untuk membantu manajer mengevaluasi risiko ini dan
menentukan cara terbaik untuk menanganinya. Analisis risiko melibatkan terlebih
dahulu menentukan kemungkinan terjadinya setiap ancaman yang diidentifikasi
terhadap aset, dalam konteks kontrol yang ada. Selanjutnya, konsekuensi terhadap
organisasi ditentukan, jika ancaman itu terjadi. Terakhir, informasi ini digabungkan
untuk memperoleh peringkat risiko keseluruhan untuk setiap ancaman. Idealnya
adalah menentukan kemungkinan sebagai nilai probabilitas dan konsekuensinya
sebagai biaya moneter bagi organisasi jika hal itu terjadi. Risiko yang dihasilkan
kemudian hanya diberikan sebagai
Risiko = (Kemungkinan terjadinya ancaman) * (Biaya untuk organisasi)
Ini dapat secara langsung disamakan dengan nilai aset yang terancam bagi
organisasi, dan karenanya menentukan tingkat pengeluaran apa yang masuk akal
untuk mengurangi kemungkinan terjadinya ke tingkat yang dapat diterima.
Sayangnya, seringkali sangat sulit untuk menentukan probabilitas yang akurat,
konsekuensi biaya yang realistis, atau keduanya. Hal ini terutama berlaku untuk
aset tidak berwujud, seperti hilangnya kerahasiaan rahasia dagang. Oleh karena itu,
sebagian besar analisis risiko menggunakan peringkat kualitatif, bukan kuantitatif,
untuk kedua item ini. Tujuannya adalah kemudian untuk memesan risiko yang
dihasilkan untuk membantu menentukan mana yang perlu ditangani paling
mendesak, daripada memberi mereka nilai absolut.
Biasanya risiko dengan peringkat yang lebih tinggi adalah risiko yang paling
membutuhkan tindakan segera. Namun, ada kemungkinan bahwa beberapa risiko
akan lebih mudah, lebih cepat, dan lebih murah untuk ditangani daripada yang lain.
Dalam contoh daftar risiko yang ditunjukkan pada Tabel 14.5, kedua risiko tersebut
dinilai Tinggi. Penyelidikan lebih lanjut mengungkapkan bahwa ada perawatan
yang relatif sederhana dan murah untuk risiko pertama dengan memperketat
konfigurasi router untuk lebih membatasi kemungkinan akses. Mengobati risiko
kedua membutuhkan pengembangan rencana pemulihan bencana penuh, proses
yang jauh lebih lambat dan lebih mahal. Oleh karena itu manajemen akan
mengambil tindakan sederhana terlebih dahulu untuk meningkatkan profil risiko
organisasi secara keseluruhan secepat mungkin. Manajemen bahkan dapat
memutuskan bahwa untuk alasan bisnis, mengingat pandangan keseluruhan
organisasi, beberapa risiko dengan tingkat yang lebih rendah harus ditangani di
depan risiko lainnya.
Ada lima alternatif luas yang tersedia bagi
manajemen untuk menangani risiko yang teridentifikasi:
- Penerimaan risiko:Memilih untuk menerima tingkat risiko yang lebih besar dari
biasanya untuk bisni alasan. Hal ini biasanya disebabkan oleh biaya atau waktu
yang berlebihan untuk merawatnya mempertaruhkan. Manajemen kemudian harus
menerima tanggung jawab atas konsekuensi terhadap organisasi jika risiko itu
terjadi.
-Penghindaran risiko:Tidak melanjutkan aktivitas atau sistem yang membuat ini
mempertaruhkan. Hal ini biasanya mengakibatkan hilangnya kenyamanan atau
kemampuan untuk melakukan beberapa fungsi yang berguna bagi organisasi.
Hilangnya kemampuan ini ditukar dengan profil risiko yang dikurangi.
- Pengalihan risiko:Berbagi tanggung jawab atas risiko dengan pihak ketiga. Ini
adalah biasanya dicapai dengan mengambil asuransi terhadap risiko yang terjadi,
dengan menandatangani kontrak dengan organisasi lain, atau dengan menggunakan
kemitraan atau struktur usaha patungan untuk berbagi risiko dan biaya jika
ancaman itu terjadi.
- Mengurangi konsekuensi:Dengan memodifikasi struktur atau penggunaan aset
berisikountuk mengurangi dampak pada organisasi jika risiko terjadi. Ini dapat
dicapai dengan menerapkan kontrol untuk memungkinkan organisasi pulih dengan
cepat jika risiko terjadi. Contohnya termasuk menerapkan proses pencadangan di
luar lokasi, mengembangkan rencana pemulihan bencana, atau mengatur data dan
pemrosesan untuk direplikasi di beberapa lokasi.
-Kurangi kemungkinan:Dengan menerapkan kontrol yang sesuai untuk
menurunkan kemungkinankerentanan yang dieksploitasi. Ini dapat mencakup
kontrol teknis atau administratif seperti penerapan firewall dan token akses, atau
prosedur seperti kompleksitas kata sandi dan kebijakan perubahan. Kontrol
tersebut bertujuan untuk meningkatkan keamanan aset, mempersulit serangan
untuk berhasil dengan mengurangi kerentanan aset.

Jika salah satu dari dua pilihan terakhir dipilih, maka pengendalian pengobatan
yang mungkin perlu dipilih dan efektivitas biayanya dievaluasi. Ada berbagai
manajemen, operasional, dan kontrol teknis yang tersedia yang dapat digunakan.
Ini akan disurvei untuk memilih mereka yang mungkin mengatasi ancaman yang
diidentifikasi paling efektif dan untuk mengevaluasi biaya untuk menerapkan
terhadap manfaat yang diperoleh. Manajemen kemudian akan memilih di antara
opsi-opsi yang harus diadopsi dan merencanakan implementasinya.