KELOMPOK 2:

Syahrul Alam Suriazdin

Reza Ramadhan
Rizky Fatra Wijaya
Muhammad Yazid Fakhri
Rafif Taufiqurrahman

CHAPTER 2: THE FUNDAMENTALS

Proses manajemen risiko meliputi:
(i) framing;
(ii) assessing;
(iii) responding;
(iv) monitoring.
• Menyediakan proses selangkah demi selangkah bagi organisasi
tentang:
(i) bagaimana mempersiapkan penilaian risiko;
(ii) bagaimana melakukan penilaian risiko;
(iii) bagaimana mengkomunikasikan hasil penilaian risiko kepada
personil organisasi utama;
(iv) bagaimana mempertahankan penilaian risiko dari waktu ke waktu

PENILAIAN RESIKO
• Penilaian risiko dapat mendukung berbagai macam risiko keputusan berbasis dan kegiatan
oleh pejabat organisasi di semua tiga tingkatan dalam hirarki manajemen risiko termasuk, namun
tidak terbatas pada, berikut ini:
• • Pengembangan arsitektur keamanan informasi;
• • Definisi persyaratan interkoneksi untuk sistem informasi (termasuk sistem yang
mendukung misi / proses bisnis dan infrastruktur umum / layanan pendukung);
• • Desain solusi keamanan untuk sistem informasi dan lingkungan operasi termasuk
pemilihan kontrol keamanan, produk teknologi informasi, pemasok / rantai pasokan, dan
kontraktor;
• • Otorisasi (atau penolakan otorisasi) untuk mengoperasikan sistem informasi atau
menggunakan kontrol keamanan yang diwarisi oleh sistem tersebut (yaitu, kontrol umum);
• • Modifikasi misi / fungsi bisnis dan / atau misi / proses bisnis secara permanen, atau
untuk jangka waktu tertentu (misalnya, sampai ancaman atau kerentanan yang baru ditemukan
ditangani, sampai kontrol kompensasi diganti);
• • Implementasi solusi keamanan (misalnya, apakah produk atau konfigurasi teknologi
informasi spesifik untuk produk tersebut memenuhi persyaratan yang ditetapkan); dan
• • Operasi dan pemeliharaan solusi keamanan (misalnya, strategi dan program pemantauan
berkelanjutan, otorisasi berkelanjutan).
KONSEP RISIKO UTAMA
• Risiko adalah ukuran sejauh mana suatu entitas terancam oleh
keadaan atau peristiwa potensial, dan biasanya merupakan fungsi dari:
• dampak merugikan yang akan timbul jika keadaan tersebut terjadi
• atau peristiwa terjadi;
• (ii) kemungkinan terjadinya. Risiko keamanan informasi adalah
risiko yang timbul dari hilangnya kerahasiaan, integritas, atau
ketersediaan informasi atau sistem informasi dan mencerminkan potensi
dampak buruk terhadap operasi organisasi (mis., Misi, fungsi, gambar,
atau reputasi), aset organisasi, individu, organisasi lain, dan Bangsa
• Penilaian risiko adalah proses mengidentifikasi, memperkirakan,
dan memprioritaskan risiko keamanan informasi. Menilai risiko
memerlukan analisis yang cermat terhadap informasi ancaman dan
kerentanan untuk menentukan sejauh mana situasi atau peristiwa dapat
berdampak negatif pada organisasi dan kemungkinan bahwa keadaan
atau peristiwa seperti itu akan terjadi.
• Metodologi penilaian risiko biasanya meliputi:
(i) proses penilaian risiko (seperti yang dijelaskan dalam Bab Tiga);
(ii) model risiko eksplisit, mendefinisikan istilah kunci dan faktor risiko yang dapat dinilai dan
hubungan di antara faktor-faktor;
(iii) pendekatan penilaian (misalnya, kuantitatif, kualitatif, atau semi-kualitatif), menentukan
kisaran nilai yang dapat diasumsikan oleh faktor risiko selama penilaian risiko dan
bagaimana kombinasi faktor risiko diidentifikasi / dianalisis sehingga nilai-nilai faktor
tersebut dapat dikombinasikan secara fungsional untuk mengevaluasi risiko;
(iv) pendekatan analitis (misalnya, berorientasi pada ancaman, aset / berorientasi dampak, atau
berorientasi kerentanan), menggambarkan bagaimana kombinasi faktor risiko
diidentifikasi / dianalisis untuk memastikan cakupan yang memadai dari ruang masalah
pada tingkat detail yang konsisten. Metodologi penilaian risiko didefinisikan oleh
organisasi dan merupakan komponen dari strategi manajemen risiko yang dikembangkan
selama tahap pembingkaian risiko dari proses manajemen risiko. 17 Gambar 2
mengilustrasikan komponen fundamental dalam kerangka risiko organisasi dan hubungan
di antara komponen-komponen tersebut
• Sebagaimana dinyatakan sebelumnya, penilaian risiko dapat dilakukan di ketiga tingkatan
dalam hierarki manajemen risiko — tingkat organisasi, tingkat misi / proses bisnis, dan tingkat
sistem informasi. Gambar dibawah mengilustrasikan hirarki manajemen risiko yang didefinisikan
dalam Publikasi Khusus NIST 800-39, yang memberikan perspektif risiko ganda dari tingkat
strategis ke tingkat taktis. Penilaian risiko tradisional umumnya berfokus pada tingkat Tier 3
(yaitu, tingkat sistem informasi) dan sebagai hasilnya, cenderung untuk mengabaikan faktor risiko
signifikan lainnya yang mungkin lebih tepat dinilai pada tingkat Tier 1 atau Tingkat 2 (misalnya,
paparan fungsi misi / bisnis inti ke ancaman permusuhan berdasarkan interkoneksi sistem
informasi).

Penerapan Penilaian
Resiko
•Penilaian risiko mendukung keputusan tanggapan risiko di berbagai tingkatan hierarki manajemen
risiko. Di Tingkat 1, penilaian risiko dapat memengaruhi, misalnya:

• (i) program, kebijakan, prosedur, dan panduan keamanan informasi tingkat organisasi;
• (ii) jenis-jenis tanggapan risiko yang sesuai (yaitu, penerimaan risiko, penghindaran, peringanan,
pembagian, atau transfer);
• (iii) keputusan investasi untuk teknologi / sistem informasi;
• (iv) pengadaan;
• (v) pengendalian keamanan di seluruh organisasi minimum;
• (vi) kesesuaian dengan arsitektur perusahaan / keamanan; dan
• (vii) strategi pemantauan dan otorisasi sistem informasi dan kontrol umum yang sedang berlangsung.
• Di Tingkat 2, penilaian risiko dapat memengaruhi, misalnya:
• (i) arsitektur perusahaan / desain desain arsitektur keamanan;
• (ii) pemilihan kontrol umum;
• (iii) pemilihan pemasok, jasa, dan kontraktor untuk mendukung misi organisasi / fungsi bisnis; (iv)
pengembangan misi / proses bisnis yang sadar risiko; dan
• (V) interpretasi kebijakan keamanan informasi sehubungan dengan sistem informasi organisasi dan
lingkungan di mana sistem tersebut beroperasi.
• Akhirnya, di Tingkat 3, penilaian risiko dapat memengaruhi,
misalnya:
• (i) keputusan desain (termasuk pemilihan, menjahit, dan
• suplementasi kontrol keamanan dan pemilihan
• produk teknologi informasi untuk sistem informasi organisasi);
• (ii) keputusan implementasi (termasuk apakah spesifik
• produk teknologi informasi atau konfigurasi produk memenuhi
persyaratan pengawasan keamanan); dan
• (iii) keputusan operasional (termasuk tingkat aktivitas
pemantauan yang diperlukan, frekuensi otorisasi sistem
informasi yang sedang berlangsung, dan keputusan
pemeliharaan sistem).