PENILAIAN RISIKO

Maksudi, MT
mxbocah@gmail.com
2 SESSION II.1

KONSEP RISK ASSESSMENT & RISK

MANAGEMENT
 Risk Definition
3

• Risk is a potential problem that has to be fixed now

which can be avoided or mitigated.
• Risk is as combination of the probability of an event
and its consequence.

Kemungkinan Tujuan/strategi/
(ketidakpastian) yang membawa akibat negatif sasaran/target
terjadinya (yang tidak diinginkan) atas
(nilai yang ingin
peristiwa diraih)

Note: Pembicaraan tentang risiko harus ditempatkan di dalam konteks

tujuan/strategi/ sasaran/target (nilai yang ingin diraih)
 Risk Definition ( lanjutan )
• Risiko memiliki dua atribut yang harus dievaluasi:
– Penyebab - peristiwa, tindakan, atau kelambanan
apa pun
Efek - dampak pada pencapaian tujuan bisnis
• Risiko memiliki tiga bentuk yang harus diperhatikan:
• Risiko Inheren - Risiko dalam suatu akun atau
proses tanpa mempertimbangkan efektivitas
pengendalian internal
• Risiko Pengendalian - Risiko bahwa pengendalian
internal tidak akan efektif atau tepat waktu
• Risiko Deteksi - Risiko bahwa prosedur audit tidak
efektif
 Identifikasi Ancaman
• Ancaman (threat): Potensial penyebab insiden
yang tidak di inginkan, dan menyebabkan
kerusakan pada system dan organisasi.

Sumber Daya (Asset) Bentuk Ancaman

Data/Informasi • Pencurian media atau data dokumen dari
sumber yang tidak dipercaya.
Hardware • Kerusakan Peralatan
• Penggunaan peralatan yang tidak sah
Software • Kesalahan pengguna
• Kerusakan Perangkat lunak

5
 Identifikasi Kerentanan (1)
• Kerentanan (vulnerability): Kelehaman aset atau
sekelompok asset yang di eksploitasi oleh satu
atau lebih ancaman.
• Contoh:
Sumber Daya Bentuk Ancaman Kerentanan
(Asset)
Data/Informasi Pencurian media atau • Penyimpanan yang tidak
data dokumen dilindungi
• Kurangnya perlatan yang
tersedia
Hardware Kerusakan Peralatan Kurangnya control perubahan
konfigurasi yang efisien
Software Kesalahan Pengguna • Antarmuka pengguna yg
rumit
• Salah pengaturan
parameter 6

Dll.
 Identifikasi Kerentanan (2)
❑ Metode untuk penilaian kerentanan teknis:
o Alat pemindaian kerentanan otomatis
o Digunakan untuk memindai sekelompok host atau
jaringan untuk layanan rentan yang diketahui.
o Pengujian dan evaluasi keamanan
o Menguji efektivitas kontrol keamanan sistem TIK seperti
yang telah diterapkan dalam lingkungan operasional.
o Pengujian penetrasi Uji sistem TIK dari sudut pandang
sumber ancaman dan untuk mengidentifikasi potensi
kegagalan dalam skema perlindungan sistem TIK.
o Peninjauan kode
o Wawancara orang dan pengguna
o Kuesioner
o Inspeksi fisik
o Analisis dokumen
 Dampak Terhadap Sistem
 Identifikasi tingkat kerusakan atau biaya bagi
organisasi yang disebabkan oleh peristiwa
keamanan informasi.
 Contoh (pendekatan kualitatif):

Sumber Daya Bentuk Ancaman Dampak yang Diperoleh

(Asset)
Data/Informasi Pencurian media atau Strategi / program
data dokumen perusahaan diketahui pihak
lain
Hardware Kerusakan Peralatan Aktivitas / proses bisnis
perusahaan terhambat
Software Kesalahan Penggunaan Pelayanan ke konsumen
tidak dapat dilaksanakan
dll.
8
 Tingkat Risiko
 Qualitative Estimation
▪ Tingkat risiko: Low, Medium and High
▪ Dampak: Low, Medium and High
 Quantitative Estimation
▪ Tingkat risiko = asset x threat x vulnerability
▪ Dampak: kalkulasi nilai uang yang hilang
 Risk Assessment Process
• Identifikasi Risiko
Mengenali peristiwa yang mungkin dapat terjadi
dan berakibat negatif.
• Analisis Risiko
Memperkirakan besarnya akibat negatif yang
dapat ditimbulkan dan besarnya kemungkinan
terjadinya risiko.
• Evaluasi Risiko
Memutuskan prioritas dalam pemberian
tanggapan dan perlakuan atas risiko.
10
Risk Assessment Process ( lanjutan )

11
 Risk Management
• Risk management: “Sistem
yang meminimalkan risiko,
Mengkomunikasikan semua
yg terlibat, merencanakan
tanggap darurat, dan
mengurangi dampak dari
setiap insiden”.
• Manajemen risiko yang baik
menghasilkan pertahanan
yang sempurna dan
penanganan bahaya yang
aman. 12
Risk Management Process

13
Terimakasih