Minggu Ke-1

Konsep Risiko dan Manajemen Risiko

Teknologi Informasi

ISI4O3 Manajemen Risiko Teknologi Informasi

By: Team Teaching | Information Systems | School of Industrial Engineering | Telkom University
PLO/CPL dan CLO/CPMK

2
SUB-CLO/SUB-CPMK

Melalui pembelajaran pada minggu ini, diharapkan:

▪ Mahasiswa mampu menjelaskan konsep risiko dan manajemen risiko
teknologi informasi

Indikator ketercapaian:
▪ Ketepatan penjelasan konsep risiko dan manajemen risiko teknologi
informasi

Metode asesmen:
▪ Kuis 1, UTS, dan Tugas Besar 3
Agenda

1. Konsep risiko TI
2. Kategorisasi risiko TI
3. Proses manajemen risiko TI
4. Referensi manajemen risiko TI

4
Pendahuluan
▪ Manajemen Risiko Teknologi Informasi telah menjadi isu penting bagi
berbagai organisasi pengguna Teknologi Informasi/TI, khususnya terkait
dengan kepatuhan terhadap regulasi dan upaya untuk meminimalkan risiko
bisnis suatu organisasi [1][2][3][4].
▪ Risiko pokok dari implementasi TI pada suatu organisasi adalah risiko yang
terkait dengan aspek keamanan informasi, yakni: kerahasiaan, keutuhan, dan
ketersediaan [5]. Selain itu, aspek keamanan informasi juga menjadi kunci
implementasi Manajemen Risiko TI [6].
▪ Oleh karena itu, terminologi Manajemen Risiko Keamanan Informasi sering
dipergunakan dalam riset dan industri untuk menunjukkan penegasan fokus
dari suatu Manajemen Risiko TI [7][8].
▪ Saat ini telah dan/atau sedang dikembangkan beberapa standard dan
framework Manajemen Risiko TI yang berfokus pada aspek keamanan 5
informasi [9][10][11][12][13].
Survey IT Risk Management

Motivasi tertinggi dalam menerapkan IT-related Risk Management (MRTI)?

32% memastikan adanya keselarasan bisnis dengan TI
23% menghindari insiden negatif
16% menyeimbangkan risk taking & avoidance demi optimalisasi return of investment
14% compliance terhadap regulasi
9% mengelola biaya
8% mendukung perubahan bisnis
Seberapa efektif penerapan MRTI sebagai bagian Enterprise Risk Management
(ERM)?
54% efektif
26% sangat efektif (full integration)
14% tidak efektif (jarang)
7% tidak menerapkan manajemen risiko secara formal

Hambatan utama dalam menerapkan MRTI?

27% terbatasnya anggaran
26% terbatasnya dukungan lini bisnis
17% kurangnya kordinasi karena pendekatan masih silo/ island
16% kurangnya dukungan manajemen
14% kurangnya pemahaman bagaimana cara menerapkan best practice MRTI
Aksi terpenting untuk meningkatkan MRTI?
37% meningkatkan risk awareness seluruh pegawai
31% meningkatkan kordinasi antara MRTI dengan ERM
16% meningkatkan penggunaan best practice MRTI 6
16% menyediakan pendekatan full integration dibandingkan silo/ island (ISACA, 2008 | n=698 Enterprise)
Risiko (1/3)

7
Risiko (2/3)

▪ Risk adalah pertimbangan bagaimana sesuatu (Aset) yang bernilai

dan dapet dipengaruhi:
▫ Oleh entitas negatif (Ancaman)
▫ Dan mengarah pada hasil yang kurang dari ideal (Dampak)
▫ Karena tidak cukup terlindungi (Rentan)
▪ Risiko adalah kemungkinan bahwa suatu ancaman dapat
mengeksploitasi kerentanan yang ada dalam aset dengan nilai tertentu
dan akan menyebabkan dampak yang tidak diinginkan.

8
Risiko (3/3)

▪ Risiko juga merupakan efek ketidakpastian pada tujuan (ISO standards)

▪ Risiko muncul setelah target ditetapkan

• Efek adalah penyimpangan dari target yang diharapkan: berupa peluang dan ancaman
• Ketidakpastian: kemungkinan terjadinya risiko karena sebab tertentu
• Tujuan dapat memiliki aspek dan kategori yang berbeda dan dapat diterapkan pada tingkat
yang berbeda.
9
Problem/Incident vs Risk

• Risk is often characterized by reference to plan to potential events and consequences, 10

or a combination of these. While incident is characterized by response, recovery, and
resumption/continuation.
Konsep Risiko TI (1)

Information Technology Risk is the business risk associated with

the use, ownership, operation, involvement, influence, and
implementation of IT in a company [22, 23].

Information Technology Risk is also defined as something that is

wrong with IT and the negative impact on the business [24].

11
Konsep Risiko TI (2)

▪ Information security risk is often expressed in terms of a combination of the

consequences of an information security event and the associated likelihood of
occurrence.
▪ Information security risk is associated with the potential that threats will exploit
vulnerabilities of an information asset or group of information assets and thereby
cause harm to an organization.
▪ IT Risk Management is the foundation of the implementation of Information
Security Management System (ISO/IEC 27001, 2005) [32].
▪ ISO/IEC 27001 specifies that the control implemented within the scope,
limitations, and context of the Information Security Management System (ISMS)
should be based on risk [33].
12
Konsep Risiko TI (3)

▪ Symantec is grouping of IT risk into four categories; security, availability,

performance, and compliance [25]. According to Abram, which became the
general classification of the various threads of IT risk classification model
were; confidentiality, integrity, and availability [26]. These three aspects are
also the pillars of information security [27] [28].
▪ In other words, IT risk has a very close correlation with information security.
▪ IT Risk Management is an integrated process that allows IT managers to
balance operational and economic costs of protection against IT as well as
benefit from such protection [29][30][31]. This definition is the classical definition
of compromise between business and IT operational definition in the context
of the organization.
13
Risiko TI Sebagai Risiko Bisnis

Risiko TI adalah risiko bisnis, khususnya, risiko bisnis yang terkait dengan
penggunaan, kepemilikan, operasi, keterlibatan, pengaruh, dan adopsi TI
dalam suatu perusahaan (COBIT).

▪ Risiko TI terdiri dari peristiwa yang terkait dengan TI yang berpotensi

berdampak pada bisnis. Risiko TI dapat terjadi dengan frekuensi dan dampak
yang tidak pasti dan menciptakan tantangan dalam memenuhi tujuan dan
sasaran strategis.
▪ Risiko TI selalu ada, baik terdeteksi atau tidak diakui oleh perusahaan.
Kategorisasi Risiko TI

Risiko TI dapat dikategorikan ke dalam beberapa level sesuai dengan

komponen IT Governance & Management

1 Level
strategis
(compan
y-wide)

Level proyek TI 2 3 Level operasi TI

Iso 38500 Corporate Governance of ICT

Kategori Risiko TI (1)

This Figure shows that for all categories of

downside IT risk (‘Fail to Gain’ and ‘Lose’
business value) there is an equivalent
upside (‘Gain’ and ‘Preserve’ business). For
example:
• Service delivery—If service delivery
practices are strengthened, the enterprise
can benefit, e.g., by being ready to absorb
additional transaction volumes or market
share.
• Project delivery—Successful project
delivery brings new business functionality

ISACA, The Risk IT Framework, 2009

Kategori Risiko TI (2)

IT risk can be categorized as follows:

▪ IT benefit/value enablement risk—Associated with missed opportunities to use

technology to improve efficiency or effectiveness of business processes or as an enabler
for new business initiatives
▪ IT program and project delivery risk—Associated with the contribution of IT to new or
improved business solutions, usually in the form of projects and programs as part of
investment portfolios
▪ IT operations and service delivery risk—Associated with all aspects of the business as
usual performance of IT systems and services, which can bring destruction or reduction of
value to the enterprise
Risiko Strategis TI
(IT Benefit/Value Enablement)
COBIT mengidentifikasi ada 111 Risk Scenario pada 20 kategori, yang dipetakan ke
proses-proses COBIT. Isu-isu utama yang kita hadapi dapat dipetakan ke IT Risk
Scenario yang relevan, sehingga pemilihan proses COBIT pada hakikatnya adalah
pelaksanaan Risk Treatment.
Risiko Proyek TI
Risiko Operasional TI
Konsep Kontrol TI

[ISO 27002] Control : measure that is modifying risk, including organizational,

people, and physical controls.
[ISO Guide 73:2009]
▪ Controls for information security include any process, policy, procedure,
guideline, practice or organizational structure, which can be administrative,
technical, management, or legal in nature which modify information security
risk.
▪ Controls may not always exert the intended or assumed modifying effect.
▪ Control is also used as a synonym for safeguard or countermeasure.
IT controls dapat berupa Preventive, Detective, and Corrective.
Pada aspek lain, sesuai COSO, IT control dapat berupa Entity Level Controls 21
(ELC), IT General Controls (ITGC), and Application Controls.
Konsep Risiko dan Kontrol TI
Berdasarkan ISO 27005 (dan ISO Guide 73:2009),
Risiko TI adalah kemungkinan Threat (ancaman) untuk mengeksploitasi
Vulnerability (kerentanan) yang ada pada aset/resources perusahaan/organisasi
(proses bisnis, data/informasi, infrastruktur: hardware, network, site,
aplikasi/software, organisasi & SDM) dan menghasilkan business impact yang
dapat menghambat pencapaian tujuan organisasi

Risk = Probability/Likelihood/Frequency x Impact

Asset Value/
Threat Asset Vulnerability
Loss Impact

IT Controls
Implementasi IT Control bertujuan untuk menurunkan risiko
22
ISO 27002:2022
Manajemen Risiko TI Sebagai Bagian dari
Manajemen Risiko Organisasi
▪ Di sisi lain, implementasi Manajemen Risiko TI harus sinergi dengan upaya pencapaian
tujuan, pelaksanaan strategi, dan proses bisnis organisasi [14]. Pada ISO/IEC 27005:2008,
Siklus PDCA (Plan, Do, Check, Act) merupakan pendekatan yang diambil agar tercapai
implementasi standard yang optimal. Dengan kata lain, Siklus PDCA merupakan
representasi dari Manajemen Risiko TI berbasis ISO/IEC 27005 [15]. Model siklus tersebut
juga memungkinkan organisasi untuk menyinergikan Manajemen Risiko TI dengan Tata
Kelola TI dan manajemen organisasi secara keseluruhan.
▪ Para pengambil kebijakan dalam Organisasi memerlukan informasi tentang kondisi/capaian
aktual Manajemen Risiko TI-nya. Informasi tersebut menjadi dasar evaluasi dan
pengambilan langkah untuk optimalisasi Manajemen Risiko TI [ 16][17][18][19][20][21].
▪ Suatu deskripsi tentang Tingkat Kematangan Siklus PDCA pada ISO/IEC 27005:2008
diharapkan dapat menjadi sumber informasi yang dimaksud. Siklus PDCA dalam
Manajemen Risiko TI (ISO/IEC 27005) tidak dapat dipisahkan dari manajemen risiko
perusahaan secara keseluruhan.
23
Key Success Factors
Key Success Factor: MRTI tidak bisa disimplifikasi sebagai
1. Arahan leadership dan dukungan implementasi himpunan kontrol TI belaka,
manajemen melainkan harus punya ruh business driver
2. Akuntabilitas dan otoritas yang tepat dan kuat
manajemen untuk mempengaruhi
perubahan MRTI merupakan integrasi
3. “Close Alignment” dengan budaya 1. Faktor People
perusahaan/organisasi 2. Faktor Process
4. Proses manajemen risiko yang 3. Factor Technology
konsisten dan terstandarisasi
5. Didukung oleh “tools and
technology”
6. Measurable results

24

Sumber: EY
Kerangka Kerja Manajemen Risiko Perusahaan

▪ COSO Enterprise Risk Management – Integrated

Framework
▪ ISO31000 Risk Management – Guidelines
▪ BS 31100 Code of Practice for Risk Management
▪ FERMA A Risk Management Standard
▪ OCEG Red Book 2.0 (GRC Capability Model)

25
ISO 31000:2018

Sebagai framework pengelolaan risiko, ISO

31000:
1. Diakui secara internasional
2. Diadopsi identik oleh BSN (Badan
Standarisasi Nasional): SNI 8615:2018
3. Compatible dan integrated dengan standar
ISO untuk pengelolaan risiko untuk berbagai
bidang
4. Customizeable, sehingga dapat diterapkan
di berbagai industry
5. Memiliki arsitektur yang komprehensif:
• Risk Management Principles
• Risk Management Framework
• Risk Management Process
26
Sumber gambar: Aristo Consulting
Arsitektur ISO 31000:2018

Principles: Panduan tentang

karakteristik pengelolaan risiko yang
efektif dan efisien. Fondasi pengelolaan
risiko dan menjadi pertimbangan saat
menentukan kerangka kerja dan proses

Processes: Penerapan
sistematis kebijakan,
prosedur, dan praktik
pengelolaan risiko.
Diterapkan pada level
Framework: Bertujuan strategis, operasional,
membantu integrasi program dan proyek
pengelolaan risiko ke dalam
aktivitas dan fungsi organisasi 27
Scope of Risk Management for Enterprise

28
GRC

Tujuannya adalah efektifivitas dalam tata kelola dan pengelolaan TI.

1. Tata kelola perusahaan terkait TI termasuk rencana

pengelolaan risiko dan rencana serta aktivitas untuk
pemenuhan kepatuhan yang diterapkan melalui
kebijakan, standar, dan prosedur, serta aktivitas
pengendalian internal (governance, G).
2. Identifikasi risiko, penilaian risiko, pengelolaan
risiko, dalam hal ini yang terkait risiko-risiko yang
berhubungan dengan TI (risk management, R).
3. Evaluasi terhadap pencapaian persyaratan kepatuhan
baik terhadap aturan internal maupun eksternal
(compliance, C).
29
IT Risk Framework

▪ COBIT 2019 (IT Risks in general)

▪ ISO 27000 Family (Information Security Risks)
▪ NIST SP 800 Series (Cybersecurity risks)

30
Risk Management based-on COBIT 2019

31
Workflow Manajemen Risiko TI (COBIT)

32
ISO 27000 Family

Information Security Management

33
Risk Management in ISO

▪ ISO 27001:
▫ Berisi requirements untuk implementasi
sistem pengelolaan keamanan informasi
(ISMS)
▪ ISO 27005:
▫ Berisi pedoman untuk implementasi process-
oriented risk management
34
ISO 27001 Overview

35
ISO 27005 Overview

36
Manajemen Risiko TI (ISO 27005)

37
Cubersecurity Framework

38
NIST SP 800-30 Risk Model

39
NIST SP 800-30 Risk Management Workflow

40
Thank You
Questions?

41
Referensi Manajemen Risiko TI

▪ ISO/IEC 27005
▪ COBIT 5 For Risk

42
Komparasi COBIT 5 vs ISO 27005 (1)
Komparasi COBIT 5 vs ISO 27005 (2)
Komparasi COBIT 5 vs ISO 27005 (3)
Risk Factors

46
Risk Scenario

“A risk scenario is a description of a possible event that, when

occurring, will have an uncertain impact on the achievement of the
enterprise’s objectives. The impact can be positive or negative.”

47
Risk Scenario
Risk scenario’s are a key
element of the COBIT 5 risk
management process APO12;
two approaches are defined:
Top-down approach—Use
the overall enterprise
objectives and consider the
most relevant and probable
IT risk scenarios impacting
these
Bottom-up approach—Use a
list of generic scenarios to
define a set of more
relevant and customised
scenarios, applied to the
48
individual enterprise
Risk Scenario

When a risk scenario materialises, a loss event occurs. The loss event has been triggered by a
threat event (Threat type + Event). The frequency of the threat event is influenced by a
49
vulnerability. The vulnerability is usually a state; it can be increased/ decreased by vulnerability
events, e.g., controls strength or by the threat strength.