LECTURE NOTES

ISYS8038 - IS Security & Risk Management

D1459 – Dr. Ir. Jarot S. Suroso, M.Eng.

Session 02
The Risk Management Lifecycle

ISYS8038 - IS Security & Risk Management

 LEARNING OUTCOMES
• Identify principles and attributes of information security risk (LO1).

2. The Risk Management Lifecycle

2.1 Pendahuluan
Risiko adalah kemungkinan terjadinya sesuatu yang buruk atau hilangnya sesuatu yang
bernilai. Nilai yang dimaksud disini dapat berupa kesehatan, status sosial, kekayaan, barang,
harta ataupun kesejahteraan dan kebahagiaan. Nilai-nilai ini dapat diperoleh atau hilang
ketika kita mengambil keputusan untuk melakukan ataupun tidak melakukan suatu tindakan.
Dalam dunia bisnis, Risiko dapat diartikan sebagai faktor luar maupun faktor dalam yang
dapat menyebabkan ketidakpastian dalam usaha mencapai tujuan yang diinginkan. Untuk
menghadapi risiko ini, kita harus mengidentifikasikan dan menganalisis risiko tersebut serta
mengevaluasi risiko tersebut agar bisa dikelola ataupun diatasi. Oleh karena itu, kita
memerlukan suatu manajemen yang disebut dengan Manajemen Risiko.

Dalam dunia bisnis, manajemen risiko didefinisikan sebagai proses mengidentifikasi,

memantau dan mengelola risiko potensial untuk meminimalkan dampak negatif yang
mungkin ditimbulkannya terhadap suatu perusahaan/organisasi. Efek merugikan dari risiko
dapat bersifat obyektif atau dapat diukur seperti premi asuransi dan biaya klaim, atau
subjektif dan sulit untuk diukur seperti kerusakan reputasi atau penurunan produktivitas.
Dengan memfokuskan perhatian pada risiko dan melakukan sumber daya yang diperlukan
untuk mengendalikan dan memitigasi risiko, bisnis akan melindungi dirinya dari
ketidakpastian, mengurangi biaya, dan meningkatkan kemungkinan kelangsungan dan
kesuksesan bisnis.

Setiap bidang dalam bisnis memiliki resiko nya tersendiri. Contohnya di bidang sistem
informasi, risiko potensialnya adalah seperti terjadinya pelanggaran keamanan data,
kehilangan data, serangan dunia maya, kegagalan sistem, dan bencana alam. Sedangkan
potensi risiko yang akan terjadi di perusahaan Manufaktur adalah gagal mencapai target
produksi yang direncanakan, kerusakan mesin, hilangnya pesanan dari pelanggan, terjadinya
masalah kualitas produk dan lain sebagainya. Proses manajemen risiko yang efektif akan

ISYS8038 - IS Security & Risk Management

membantu mengidentifikasi risiko mana yang menjadi ancaman terbesar bagi
perusahaan/organisasi dan memberikan panduan untuk menanganinya. Berikut ini adalah
beberapa definisi dan pengertian Manajemen Risiko menurut para ahli di bidangnya.

Dengan menerapkan rencana manajemen risiko dan mempertimbangkan berbagai potensi

risiko atau peristiwa sebelum terjadi, perusahaan/organisasi dapat menghemat uang dan
melindungi masa depan perusahaan/organisasi mereka. Semua ini dapat terwujud dengan
adanya rencana manajemen risiko yang kuat, dimana hal ini akan membantu perusahaan
menetapkan prosedur untuk menghindari potensi ancaman, meminimalkan dampaknya jika
terjadi, dan mengatasi hasilnya. Kemampuan untuk memahami dan mengendalikan risiko ini
memungkinkan perusahaan/organisasi menjadi lebih percaya diri dalam mengambil
keputusan bisnis mereka. Selain itu, prinsip tata kelola perusahaan yang kuat yang berfokus
secara khusus pada manajemen risiko dapat membantu perusahaan mencapai tujuannya.

Manfaat penting lainnya dari manajemen risiko meliputi:

- Menciptakan lingkungan kerja yang aman dan terjamin untuk semua staff dan
pelanggan.
- Meningkatkan stabilitas operasi bisnis sekaligus mengurangi tanggung jawab hukum.
- Memberikan perlindungan dari kejadian yang merugikan baik perusahaan maupun
lingkungan.
- Melindungi semua orang dan aset yang terlibat dari potensi bahaya.
- Membantu menetapkan kebutuhan asuransi perusahaan/organisasi untuk menghemat
premi yang tidak perlu.

ISYS8038 - IS Security & Risk Management

2.2 Tahapan Siklus Hidup Manajemen Risiko

Gambar 2.1 Tahapan dalam Siklus Hidup Manajemen Risiko

Proses manajemen risiko merupakan bagian yang penting dari manajemen risiko karena
merupakan penerapan atas prinsip dan kerangka kerja manajemen risiko yang telah dibangun.
Ada 7 langkah dasar yang diambil untuk mengelola risiko, yang disebut sebagai siklus hidup
manajemen risiko. Gambar 1 menunjukkan setiap tahapan dalam siklus hidup manajemen
risiko, mencakup deskripsi singkat bersama dengan pihak yang bertanggung jawab di setiap
tahapannya. Tanggung jawab di setiap langkah dibagi antara tim information security dan
business owner karena tim information security tidak dapat menjadi satu-satunya tim yang
mengelola risiko untuk organisasi. Tim information security dapat memandu proses,
memberikan pengawasan, dan membuat rekomendasi, tetapi pada akhirnya bisnislah yang
memiliki risiko. Berikut adalah penjelasan untuk masing-masing tahapan :
1. Resource Profiling
Resource profile merupakan proses awal yang digunakan untuk membantu
menentukan sumber daya dan tingkat sensitivitas risiko. Membuat kategori atau
tingkatan sumber daya berdasarkan kepentingannya bagi organisasi, atau dampak
potensial jika keamanannya dilanggar. Secara umum, tahap ini berpikir tentang
sumber daya yang paling diandalkan dalam fungsi organisasi, sumber daya dengan
data paling sensitif, atau sumber daya yang paling terlihat oleh publik. Idenya adalah
untuk mengoperasionalkan tingkatan sumber daya ini ke dalam tingkat kepentingan
bagi organisasi dan menggunakan informasi ini untuk memprioritaskan pekerjaan
penilaian selanjutnya.

ISYS8038 - IS Security & Risk Management

 Proses pembuatan resource profile dapat dilakukan baik secara empiris
(memanfaatkan pengalaman masa lalu sesuai dengan sumber data yang tersedia) atau
secara pengalaman (memanfaatkan pengalaman masa lalu tanpa sumber data yang
sesuai). Faktor-faktor yang harus dipertimbangkan dalam profil risiko adalah
termasuk kerusakan finansial, hukum, dan reputasi atau batasan peraturan yang
mungkin diakibatkan oleh pelanggaran keamanan. Resource profile dapat bervariasi
dalam detail dan formatnya, tetapi ada beberapa poin data dasar yang ingin Anda
tangkap di setiap profil:
o Gambaran umum
o Fungsi dan fitur
o Klasifikasi informasi
o Kekritisan bagi perusahaan/organisasi
o Regulasi yang berlaku

2. Risk Assessment
Risk Assessment adalah fungsi untuk mengidentifikasi ancaman dan kerentanan untuk
sumber daya tertentu, mengartikulasikan risiko, dan menilai eksposur risiko tersebut
pada skala tertentu. Risk Assessment merupakan gabungan aktivitas untuk mengambil
kerentanan data, memetakannya ke kemungkinan ancaman, mengevaluasi tingkat
keparahannya dalam ruang lingkup tertentu, dan mengartikulasikan risiko yang
mungkin timbul. Setelah risiko diidentifikasi, risiko perlu diperiksa dalam kaitannya
dengan kemungkinan dan dampaknya. Sangat penting untuk menilai probabilitas
suatu risiko dan konsekuensi dari risiko ini yang terjadi. Ini akan membantu
menentukan risiko mana yang harus diprioritaskan dan mana yang memiliki dampak
terendah.
3. Risk Evaluation
Tahap berikutnya evaluasi risiko, yaitu memberi keputusan untuk menerima,
menghindari, mentransfer, atau mengurangi risiko. Pada tahap ini akan menentukan
langkah-langkah yang tepat untuk mengelola risiko. Selama tahap evaluasi risiko,
risiko baru diidentifikasi perlu dibandingkan dengan daftar risiko bagi
perusahaan/organisasi, dan prioritas harus ditentukan berdasarkan gambaran besar
dari semua risiko dengan mempertimbangkan waktu dan sumber daya yang tersedia.
Terdapat beberapa opsi untuk menangani risiko:

ISYS8038 - IS Security & Risk Management

 o Accept: keputusan untuk menerima risiko.
o Avoid (tidak ikut terlibat): menghindari aktivitas yang menghadirkan risiko
secara bersamaan.
o Transfer: mengalihkan tanggung jawab atau kewajiban atas risiko kepada
pihak lain.
o Mitigate: membatasi eksposur dengan cara tertentu.
4. Document
Dokumentasi dan bukti sangat penting untuk menunjukkan tingkat due diligence.
Mendokumentasikan langkah-langkah penilaian, evaluasi selama prosesnya, semua
keputusan risiko yang sudah ditentukan sebelumnya, termasuk pengecualian dan
rencana mitigasi nantinya. Setidaknya, ada beberapa detail analisis dalam setiap
temuan risiko, seperti:
o Mengapa peringkat diberikan
o Kontrol kompensasi yang dipertimbangkan
o Pembenaran bisnis
o Rencana mitigasi — jangka panjang dan pendek
o Pengecualian kebijakan / penerimaan risiko
Jika dipilih untuk menangani risiko dengan beberapa jenis rencana mitigasi, business
owner perlu mendokumentasikan langkah-langkah yang disepakati, tanggal target,
dan pihak yang bertanggung jawab. Jika dipilih untuk menerima risiko (bahkan
sementara), pengecualian kebijakan formal atau formulir penerimaan risiko harus diisi
dengan persetujuan manajemen senior.
5. Risk Mitigation
Terdapat banyak pilihan untuk mengurangi risiko, dan sekali lagi fokusnya tidak
selalu pada upaya untuk menghilangkan risiko, melainkan untuk mengurangi eksposur
risiko ke tingkat yang dapat diterima. Untuk mengurangi risiko, ada beberapa hal
yang perlu dilakukan, yaitu:
o Mengurangi kemungkinan terjadinya
o Membatasi keparahan dampak
o Menurunkan sensitivitas sumber daya
Pada tahap mitigasi risiko, rencana aksi diimplementasikan untuk mengatasi risiko,
termasuk kontrol yang dipilih. Perusahaan/organisasi memiliki beberapa pilihan untuk
mengatasi risiko, yang paling umum adalah pelaksanaan rencana untuk mengurangi

ISYS8038 - IS Security & Risk Management

 setiap resiko. Namun jika keputusan yang dibuat adalah untuk tidak mengurangi
risiko, pengalihan risiko dapat dilakukan dalam berbagai bentuk, dari asuransi untuk
menutupi kemungkinan kerugian finansial, hingga mencoba mengalihkan tanggung
jawab untuk proses atau layanan yang mungkin memiliki tingkat eksposur risiko yang
tinggi. Misalnya, melibatkan pihak ketiga dan mengalihkan tanggung jawab dalam
kontrak.
6. Validation
Setelah tahap mitigasi risiko telah selesai, tahap selanjutnya yaitu validasi, yang
meliputi pengujian kontrol untuk memastikan eksposur risiko aktual sesuai dengan
tingkat risiko yang diinginkan
7. Monitoring and Audit
Setelah risiko diidentifikasi, dinilai dan sudah sampai tahap validasi, risiko tersebut
tetap tidak dapat ditinggalkan. Segala sesuatunya dapat selalu berubah sehingga
proses peninjauan sangat penting untuk mengelola risiko secara proaktif serta
perlunya dilakukan audit secara rutin. Dalam hal ini, audit dapat dilaksanakan baik
melalui audit internal maupun eksternal sehingga dapat diketahui apa sajakah
kelemahan dari kebijakan manajemen risiko yang berjalan atau yang sudah disusun,
sehingga kedepannya manajemen dapat melaklukan pembaharuan terhadapan
kebijakan manajemen risiko. Pemicu paling umum untuk penilaian ulang risiko
adalaht:
● Perubahan sumber daya yang signifikan
● Perubahan ancaman
● Pergeseran fokus bisnis
● Perubahan persyaratan regulasi atau hukum
● Kelemahan yang terdeteksi dalam kontrol saat ini
● Jangka waktu yang telah ditentukan telah berlalu
Masukan dari hasil monitoring dan audit bertujuan untuk meningkatkan fungsi
manajemen risiko dalam bentuk seperti pembaharuan atas daftar risiko yang
terindetifikasi, tingkat kemungkinan dan dampak dari risiko tersebut serta tindakan
pengendalian serta sistem monitor yang sesuai untuk kebutuhan perusahaan/organisasi
dalam mencapai tujuannya.

ISYS8038 - IS Security & Risk Management

Seperti yang telah dijelaskan sebelumnya, siklus hidup manajemen risiko merupakan sebuah
proses mendasar untuk mengembangkan budaya dan praktik manajemen risiko formal di
perusahaan/organisasi manapun. Dengan demikian, bagaimanapun, perusahaan/organisasi
tetap harus berhati-hati bahwa mereka tidak menerapkan mekanisme hanya untuk jaminan
bisnis, di mana satu-satunya keluaran yang berarti dari siklus hidup manajemen risiko adalah
jaminan. Jaminan bisnis mungkin merupakan produk sampingan dari siklus hidup manajemen
risiko, tetapi bukan fokusnya. Risiko adalah fokusnya: identifikasi mereka, pengukurannya,
manajemennya; pemantauan dan pelaporan mereka, dan pada akhirnya, analisis mereka untuk
memberikan informasi dan intelijen manajemen untuk menginformasikan pengambilan
keputusan dan memanfaatkan peluang sebaik-baiknya.

Terdapat banyak tim dan peran berbeda yang terlibat dalam siklus hidup manajemen risiko.
Seperti Business Owner, Custodian, Information Security, dll. Business Owner merupakan
ahli pokok dalam hal menentukan kebutuhan sumber daya dan sering kali tim Teknologi
Informasi mengambil peran sebagai penjaga sumber daya dan menjalankan peran dalam
menerapkan dan memelihara control tersebut. Tim information security bertanggungjawab
untuk memastikan penilaian risiko dilakukan secara akurat dan tepat waktu.

Table 2.1 Risk Responsibilities and Roles

Responsibility
1. Resource Profiling
2. Risk Assessment
3. Risk Evaluation
4. Document
5. Risk Mitigation
6. Validation
7. Monitoring & Audit
Role
Business Owner
Information Security
Business Owner
Information Security
Business Owner
Information Security
Resource Custodian
Information Security
Information Security
Business Owner

Dalam Tabel 2.1, Business Owner sengaja dicantumkan terlebih dahulu untuk langkah 3 dan
4 karena mereka harus mengarahkan aktivitas risiko tersebut dengan dukungan dan panduan

ISYS8038 - IS Security & Risk Management

dari keamanan. Misalnya, tim Information Security tidak perlu menyusun rencana mitigasi
atau mengirimkan permintaan pengecualian. Kita juga tidak harus bertanggung jawab untuk
membuat keputusan risiko tentang bagaimana menangani eksposur.

2.3 Business Impact Assessment

Pada saat ini penerapan teknologi informasi di suatu perusahaan/organisasi merupakan
kebutuhan penting dalam menjalankan proses bisnis, tanpa teknologi informasi proses bisnis
sebuah perusahaan/organisasi tidak dapat berfungsi dengan baik, lalu bagaimana jika terjadi
insiden atau bencana yang mengakibatkan sebagian atau seluruh proses kegiatan
perusahaan/organisasi tidak dapat berfungsi? Jika perusahaan/organisasi tersebut mengalami
hal demikian bisa mengakibatkan kerugian, baik kerugian material maupun immaterial. Maka
dari itu sebuah perusahaa/organisasi memerlukan adanya Business Impact Assessment (BIA).

Business Impact Assessment (BIA) merupakan suatu proses menentukan dan

mendokumentasikan dampak bisnis dari gangguan terhadap kegiatan yang mendukung
produk dan layanan utama. BIA bertujuan untuk mengidentifikasi asset kritis yang perlu
dilindungi dan juga memprediksi konsekuensi gangguan fungsi dan proses bisnis serta
mengumpulkan informasi yang diperlukan untuk mengembangkan strategi pemulihan.
Proses ini dilakukan sebelum membuat Disaster Recovery Plan. BIA digunakan untuk
membantu unit bisnis memahami dampak dari bencana. Tahapan ini meliputi pelaksanaan
analisa risiko dan menentukan dampak terhadap perusahaan jika potential loss yang
teridentifikasi oleh risk analysis benar-benar terjadi. BIA perlu menilai risiko berdasarkan
catatan historis dari bencana alam dan konsekuensinya terhadap proses bisnis, dan
menimbang risiko-risiko ini terhadap fungsi-fungsi penting yang dijalankan sebuah
perusahaan. Biasanya, fungsi-fungsi yang menuntut down time paling kecil ini adalah fungsi-
fungsi yang memiliki dampak finansial yang signifikan (misalnya sebuah bank tidak mampu
menerima telepon dari seorang customer untuk memblokir pembayaran sebuah cek) atau
yang menyebabkan terjadinya pelanggaran Service Level Agreement (SLA). BIA harus
mengidentifikasi dampak operasional dan keuangan yang dihasilkan dari gangguan fungsi
dan proses bisnis. Dampak yang perlu dipertimbangkan meliputi:
- Kehilangan penjualan dan pendapatan
- Penjualan atau pendapatan tertunda
- Peningkatan biaya (misalnya, tenaga kerja lembur, outsourcing, biaya percepatan, dll.)

ISYS8038 - IS Security & Risk Management

 - Denda peraturan
- Hukuman kontraktual atau hilangnya bonus kontraktual
- Ketidakpuasan atau pembelotan pelanggan
- Penundaan rencana bisnis baru

2.4 Making Risk Decisions

Pengambilan keputusan dalam sebuah perusahaan/organisasi sering kali terjadi ketika
menghadapi ketidakpastian tentang apakah pilihan pembuat keputusan akan membawa
manfaat atau bencana. Risiko adalah potensi suatu keputusan yang akan mengakibatkan
kerugian atau hasil yang tidak diinginkan. Faktanya, hampir semua keputusan yang diambil
pasti membawa beberapa risiko, tetapi beberapa keputusan jauh lebih berisiko daripada yang
lain. Risiko dan pengambilan keputusan merupakan dua faktor yang saling terkait dalam
manajemen organisasi, dan keduanya terkait dengan berbagai ketidakpastian. Ada beberapa
metode yang dapat digunakan untuk menilai, mengevaluasi, atau mengukur risiko guna
mendukung pengambilan keputusan yang lebih baik. Beberapa di antaranya bersifat
kuantitatif dan beberapa lebih subjektif. Semua hal tersebut dapat digunakan untuk
mendukung pengambilan keputusan seseorang.

Risk Decisions biasanya dilakukan oleh pimpinan perusahaan/organisasi untuk menerima

opsi yang memiliki fungsi risiko tertentu dalam preferensi terhadap yang lain, atau dalam
preferensi untuk tidak mengambil tindakan. Dalam membuat Risk Decisions, kita perlu
memperhatikan salah satu aspek paling penting, yaitu aspek keamanan.

Aspek keamanan biasanya seringkali ditinjau dari tiga hal, yaitu Confidentiality, Integrity,
dan Availability. Biasanya ketiga aspek ini sering disingkat menjadi CIA.
⮚ Confidentiality
Confidentiality merupakan aspek yang menjamin kerahasiaan data atau informasi.
Kerahasiaan ini dapat diimplementasikan dengan berbagai cara, seperti misalnya
menggunakan teknologi kriptografi dengan melakukan proses enkripsi (penyandian,
pengkodean) pada transmisi data, pengolahan data (aplikasi dan database), dan
penyimpanan data (storage). Teknologi kriptografi dapat mempersulit pembacaan data
tersebut bagi pihak yang tidak berhak. Akses terhadap informasi juga harus dilakukan
dengan melalui mekanisme otorisasi (authorization) yang ketat. Tingkat keamanan

ISYS8038 - IS Security & Risk Management

 dari mekanisme otorisasi bergantung kepada tingkat kerahasiaan data yang
diinginkan.
⮚ Integrity
Integrity merupakan aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin
pihak yang berwenang (authorized). Data yang telah dikirimkan tidak dapat diubah
oleh pihak yang berwenang. Secara teknis ada banyak cara untuk menjamin aspek
integrity ini, seperti misalnya dengan menggunakan message authentication code,
hash function, dan digital signature.
⮚ Availability
Availability merupakan aspek yang menjamin bahwa data tersedia ketika dibutuhkan.
Hilangnya layanan dapat disebabkan oleh berbagai hal, mulai dari benca alam
(kebakaran, banjir, gempa bumi), kesalahan sistem (server rusak, disk rusak, jaringan
putus), sampai ke upaya pengrusakan yang dilakukan secara sadar (attack).
Pengamanan terhadap ancaman ini dapat dilakukan dengan menggunakan sistem
backup dan menyediakan Disaster Recovery Center (DRC) yang dilengkapi dengan
panduan untuk melakukan pemulihan (Disaster Recovery Plan).

2.5 Mitigation Planning and Long-Term Strategy

Perencanaan mitigasi risiko merupakan proses mengembangkan opsi dan tindakan untuk
meningkatkan peluang dan mengurangi ancaman terhadap tujuan proyek. Penerapan mitigasi
risiko merupakan proses pelaksanaan tindakan mitigasi risiko. Pemantauan kemajuan mitigasi
risiko mencakup pelacakan risiko yang teridentifikasi, identifikasi risiko baru, dan evaluasi
efektivitas proses risiko di seluruh proyek. Langkah mitigasi risiko melibatkan
pengembangan rencana mitigasi yang dirancang untuk mengelola, menghilangkan, atau
mengurangi risiko ke tingkat yang dapat diterima. Setelah sebuah rencana
diimplementasikan, itu terus dipantau untuk menilai kemanjurannya dengan maksud untuk
merevisi tindakan jika diperlukan.
Strategi mitigasi, menerapkan kontrol, mengevaluasi efektivitas kontrol, dan akhirnya
memantau perubahan dari waktu ke waktu. Tentu saja, setiap langkah bisa sangat kompleks
tergantung pada lingkungan dan ruang lingkup penilaian. Hal tersebut meliputi:
- Perubahan Aset
- Pergeseran ruang lingkup

ISYS8038 - IS Security & Risk Management

 - Perubahan dalam persyaratan hukum / peraturan
- Perubahan dalam kebijakan keamanan

Dalam membuat keputusan penanganan resiko, ada dua pertimbangan antara lain :
- Jika aturan manajemen risiko adalah bahwa perusahaan/organisasi tidak dapat
menghilangkan semua risiko,
- Jika nomor aturan manajemen risiko adalah bahwa perusahaan/organisasi tidak harus
mencoba untuk "memperbaiki" setiap kerentanan. Setelah menilai semua risiko, perlu
mempertimbangkan dan memprioritaskan sehingga dapat membuat keputusan
tentang yang risiko.

Selain itu, terdapat beberapa pilihan untuk mengatasi risiko:

- Assume /Accept: Akui adanya risiko tertentu, dan buat keputusan yang disengaja
untuk menerimanya tanpa melakukan upaya khusus untuk mengendalikannya.
Persetujuan pemimpin proyek atau program diperlukan.
- Avoid: Sesuaikan persyaratan atau batasan program untuk menghilangkan atau
mengurangi risiko. Penyesuaian ini dapat diakomodasi oleh perubahan pendanaan,
jadwal, atau persyaratan teknis.
- Control: Menerapkan tindakan untuk meminimalkan dampak atau kemungkinan
risiko.
- Transfer: Menugaskan kembali akuntabilitas, tanggung jawab, dan wewenang
perusahaan/organisasi kepada pemangku kepentingan lain yang bersedia menerima
risiko.
- Watch / Monitor: Pantau lingkungan untuk perubahan yang mempengaruhi sifat dan /
atau dampak risiko.

ISYS8038 - IS Security & Risk Management

 DAFTAR PUSTAKA

1) Evan Wheeler (2011). Security Risk Management: Building an

Information Security Risk Management Program from the Ground Up
1st Edition. Elsevier Inc, ISBN: 978-1-59749-615-5.
2) Agrawal, Campoe & Pierce (2014) Information Security and IT Risk
Management 1st Edition. John Wiley & Sons Inc, ISBN 978-
1118335895.
3) Jake Kouns and Daniel Minoli (2010). Information Technology Risk
Management, In Enterprise Environments. John Wiley & Sons Inc,
ISBN 978-0470558133

ISYS8038 - IS Security & Risk Management