2
SUB-CLO/SUB-CPMK
Indikator ketercapaian:
▪ Ketepatan penjelasan konsep risiko dan manajemen risiko teknologi
informasi
Metode asesmen:
▪ Kuis 1, UTS, dan Tugas Besar 3
Agenda
1. Konsep risiko TI
2. Kategorisasi risiko TI
3. Proses manajemen risiko TI
4. Referensi manajemen risiko TI
4
Pendahuluan
▪ Manajemen Risiko Teknologi Informasi telah menjadi isu penting bagi
berbagai organisasi pengguna Teknologi Informasi/TI, khususnya terkait
dengan kepatuhan terhadap regulasi dan upaya untuk meminimalkan risiko
bisnis suatu organisasi [1][2][3][4].
▪ Risiko pokok dari implementasi TI pada suatu organisasi adalah risiko yang
terkait dengan aspek keamanan informasi, yakni: kerahasiaan, keutuhan, dan
ketersediaan [5]. Selain itu, aspek keamanan informasi juga menjadi kunci
implementasi Manajemen Risiko TI [6].
▪ Oleh karena itu, terminologi Manajemen Risiko Keamanan Informasi sering
dipergunakan dalam riset dan industri untuk menunjukkan penegasan fokus
dari suatu Manajemen Risiko TI [7][8].
▪ Saat ini telah dan/atau sedang dikembangkan beberapa standard dan
framework Manajemen Risiko TI yang berfokus pada aspek keamanan 5
informasi [9][10][11][12][13].
Survey IT Risk Management
7
Risiko (2/3)
8
Risiko (3/3)
• Efek adalah penyimpangan dari target yang diharapkan: berupa peluang dan ancaman
• Ketidakpastian: kemungkinan terjadinya risiko karena sebab tertentu
• Tujuan dapat memiliki aspek dan kategori yang berbeda dan dapat diterapkan pada tingkat
yang berbeda.
9
Problem/Incident vs Risk
11
Konsep Risiko TI (2)
Risiko TI adalah risiko bisnis, khususnya, risiko bisnis yang terkait dengan
penggunaan, kepemilikan, operasi, keterlibatan, pengaruh, dan adopsi TI
dalam suatu perusahaan (COBIT).
1 Level
strategis
(compan
y-wide)
Asset Value/
Threat Asset Vulnerability
Loss Impact
IT Controls
Implementasi IT Control bertujuan untuk menurunkan risiko
22
ISO 27002:2022
Manajemen Risiko TI Sebagai Bagian dari
Manajemen Risiko Organisasi
▪ Di sisi lain, implementasi Manajemen Risiko TI harus sinergi dengan upaya pencapaian
tujuan, pelaksanaan strategi, dan proses bisnis organisasi [14]. Pada ISO/IEC 27005:2008,
Siklus PDCA (Plan, Do, Check, Act) merupakan pendekatan yang diambil agar tercapai
implementasi standard yang optimal. Dengan kata lain, Siklus PDCA merupakan
representasi dari Manajemen Risiko TI berbasis ISO/IEC 27005 [15]. Model siklus tersebut
juga memungkinkan organisasi untuk menyinergikan Manajemen Risiko TI dengan Tata
Kelola TI dan manajemen organisasi secara keseluruhan.
▪ Para pengambil kebijakan dalam Organisasi memerlukan informasi tentang kondisi/capaian
aktual Manajemen Risiko TI-nya. Informasi tersebut menjadi dasar evaluasi dan
pengambilan langkah untuk optimalisasi Manajemen Risiko TI [ 16][17][18][19][20][21].
▪ Suatu deskripsi tentang Tingkat Kematangan Siklus PDCA pada ISO/IEC 27005:2008
diharapkan dapat menjadi sumber informasi yang dimaksud. Siklus PDCA dalam
Manajemen Risiko TI (ISO/IEC 27005) tidak dapat dipisahkan dari manajemen risiko
perusahaan secara keseluruhan.
23
Key Success Factors
Key Success Factor: MRTI tidak bisa disimplifikasi sebagai
1. Arahan leadership dan dukungan implementasi himpunan kontrol TI belaka,
manajemen melainkan harus punya ruh business driver
2. Akuntabilitas dan otoritas yang tepat dan kuat
manajemen untuk mempengaruhi
perubahan MRTI merupakan integrasi
3. “Close Alignment” dengan budaya 1. Faktor People
perusahaan/organisasi 2. Faktor Process
4. Proses manajemen risiko yang 3. Factor Technology
konsisten dan terstandarisasi
5. Didukung oleh “tools and
technology”
6. Measurable results
24
Sumber: EY
Kerangka Kerja Manajemen Risiko Perusahaan
25
ISO 31000:2018
Processes: Penerapan
sistematis kebijakan,
prosedur, dan praktik
pengelolaan risiko.
Diterapkan pada level
Framework: Bertujuan strategis, operasional,
membantu integrasi program dan proyek
pengelolaan risiko ke dalam
aktivitas dan fungsi organisasi 27
Scope of Risk Management for Enterprise
28
GRC
30
Risk Management based-on COBIT 2019
31
Workflow Manajemen Risiko TI (COBIT)
32
ISO 27000 Family
33
Risk Management in ISO
▪ ISO 27001:
▫ Berisi requirements untuk implementasi
sistem pengelolaan keamanan informasi
(ISMS)
▪ ISO 27005:
▫ Berisi pedoman untuk implementasi process-
oriented risk management
34
ISO 27001 Overview
35
ISO 27005 Overview
36
Manajemen Risiko TI (ISO 27005)
37
Cubersecurity Framework
38
NIST SP 800-30 Risk Model
39
NIST SP 800-30 Risk Management Workflow
40
Thank You
Questions?
41
Referensi Manajemen Risiko TI
▪ ISO/IEC 27005
▪ COBIT 5 For Risk
42
Komparasi COBIT 5 vs ISO 27005 (1)
Komparasi COBIT 5 vs ISO 27005 (2)
Komparasi COBIT 5 vs ISO 27005 (3)
Risk Factors
46
Risk Scenario
47
Risk Scenario
Risk scenario’s are a key
element of the COBIT 5 risk
management process APO12;
two approaches are defined:
Top-down approach—Use
the overall enterprise
objectives and consider the
most relevant and probable
IT risk scenarios impacting
these
Bottom-up approach—Use a
list of generic scenarios to
define a set of more
relevant and customised
scenarios, applied to the
48
individual enterprise
Risk Scenario
When a risk scenario materialises, a loss event occurs. The loss event has been triggered by a
threat event (Threat type + Event). The frequency of the threat event is influenced by a
49
vulnerability. The vulnerability is usually a state; it can be increased/ decreased by vulnerability
events, e.g., controls strength or by the threat strength.