7. M elakukan analisis terhadap kontrak-kontrak yang telah dibuat dengan pihak lain. Dari analisis tersebut akan dapat diketahui kemungkinan adanya risiko
2.6 Metode Penilaian Risiko Teknologi Informasi
2.6.1 Manajemen Risiko S tandar
2.6.2.2 FRAP S ession
M enurut Peltier (2001, pp78-80), Fase 1 – Logistik – Selama fase ini, timFRAP akan memperkenalkan diri, memberikan nama, jabatan, departemen, dan nomor telepon (semuanya ini akan dicatat oleh juru tulis). Peran tim FRAP akan diidentifikasi dan dibahas. Biasanya ada lima peran:
a. Pemilik b. Kepala proyek c. Fasilitator d. Juru tulis e. Anggota tim
Selama fase awal ini, tim FRAP akan diberikan gambaran proses di mana mereka akan terlibat. M ereka juga akan dihadapkan pada pernyataan ruang lingkup, dan kemudian seseorang dari tim teknis akan memberikan gambaran lima menit dari dari proses yang sedang ditinjau (model visual). Akhirnya, definisi akan ditinjau dan jumlah masing-masing harus diberikan sebuah salinan dari definisi. Setelah pendahuluan selesai, tim FRAP akan memulai proses brainstorming. Ini adalah fase 2, yang meninjau setiap element (integrity, availability, confidentiality) dan mengidentifikasi risiko-risiko, ancaman-ancaman, concern, dan isu-isu untuk masing-masing element.
Proses untuk brainstorming adalah bahwa fasilitator akan menunjukkan definisi dan beberapa contoh risiko. Kemudian tim diberikan waktu tiga menit untuk menulis risiko-risiko yang menjadi perhatian mereka. Fasilitator kemudian akan mengumpulkan satu risiko dari masing-masing anggota. Anggota akan menemukan lebih dari satu risiko, namun prosesnya adalah untuk mendapatkan satu risiko dan berlanjut kepada orang berikutnya. Dengan cara ini, setiap orang dapat berpartisipasi. Proses berlanjut hingga semua orang mendapat giliran (bahw a tidak ada risiko yang tim dapat pikirkan lagi).
Proses brainstorming berlanjut hingga masing-masing unsur penilaian sudah terpenuhi. Saat proses ini selesai, direkomendasikan bagi tim untuk beristirahat. Ketika anggota tim kembali ke ruangan pertemuan, mereka akan menilai risiko-risiko yang ditempatkan di ruangan dan mendapatkan beberapa menit untuk merapikan risiko yang sudah disalin dan membuat perubahan di mana dirasa layak.
Setelah proses menyalin selesai (hanya diberikan waktu sepuluh hingga lima belas menit untuk proses ini), tim akan berkonsentrasi untuk memprioritaskan risiko. Hal ini dilakukan dengan menentukan vulnerability perusahaan terhadap risiko dan dampak bisnis jika risiko terjadi. Definisi-definisi ini disetujui selama pertemuan pre-FRAP dan disajikan kepada seluruh tim selama pendahuluan. Satu set yang khas dari definisi-definisi mungkin saja seperti:
a. High vulnerability: kelemahan yang sangat besar terdapat di dalam system atau dalam operasi rutin; dan di mana potensi dampak bisnis parah atau signifikan, pengendalianl harus ditingkatkan.
b. Medium vulnerability: ada beberapa kelemahan; dan di mana dampak potensi bisnis parah atau signifikan, pengendalian dapat dan sebaiknya ditingkatkan.
c. Low vurnelability: sistem sudah dibangun dengan baik dan dioperasikan dengan tepat. Tidak ada tambahan pengendalian yang dibutuhkan untuk mengurangi vulnerability.
d. Severe Impact (High): cenderung menempatkan perusahaan keluar dari bisnis atau merusak prospek dan pengembangannya.
e. Significant Impact (Medium): akan mengakibatkan kerusakan dan biaya yang signifikan, namun perusahaan akan bertahan.
f. Minor Impact (Low): tipe dari operasional yang berdampak pada satu ekspektasi harus diatur sebagai bagian dari kehidupan bisnis biasa.
Tim akan dibantu dengan menggunakan model prioritas ditunjukkan dalam tabel 2.1. Kotak yang dipilih akan sesuai dengan nilai huruf yang ditetapkan ke risiko sebagai prioritasnya. Tanggapan dari tim FRAP akan sebagai berikut:
A – aksi korektif harus diimplementasikan B – aksi korektif sebaiknya diimplementasikan C – membutuhkan pemantauan
Ada banyak cara di mana tim dapat memberi prioritas kepada masing-masin g risiko. Tiga cara yang populer yaitu:
1. Fasilitator fokus kepada risiko satu per satu dan tim mendiskusikan masing-masing risiko dan kemudian mendapatkan kesepakatan.
2. Fasilitator menilai tiga atau empat risiko yang pertama untuk menjamin bahwa tim memiliki ide yang tepat pada bagaimana proses berjalan, dan kemudian masing-masing anggota tim diberikan spidol berwarna dan ditanya untuk menetapkan prioritas. Jika mereka tidak memiliki pendapat/ide, kemudian mereka akan membiarkannya kosong dan berpindah ke risiko berikutnya. Ketika tim selesai, fasilitator akan memulai diskusi tentang proses. Sebagai contoh, ketika ada lima belas anggota FRAP, dan sepuluh memberikan nilai ”C” kepada risiko dan lima yang lainnya memberikan ”A” atau ”B”, lalu fasilitator akan berdiskusi tentang isu tersebut untuk menjamin bahwa ”C” adalah jawaban yang paling tepat.
3. M etode ketiga yang dapat digunakan yaitu fasilitator memberikan masing-masing anggota sepuluh dot. M asing-masing-masing anggota diperbolehkan untuk memilih sepuluh risiko utama. Risiko dengan dot akan membutuhkan pengendalian; risiko tanpa dot dipertimbangkan sebagai risiko minor.
Gambar 2.3 Sample Priority Matrix
Sample Priority Matrix
Business Impact
High Medium Low
V u ln e ra b ilit y High A B C Medium B B C Low C C D
Sesi FRAP akan menghasilkan tiga hasil: a. Identifikasi risiko
b. Prioritas risiko
c. Pengendalian yang disarankan untuk risiko yang utama atau berisiko tinggi
Tabel 2.1 mengindikasikan beberapa dari 120 risiko yang telah diidentifikasi pada sesi FRAP.
Tabel 2.1 Contoh FRAP Session Deliverables
Risk# Risk Type Priority Controls
1 Informasi diakses oleh personnel yang tidak mempunyai akse s
INT B 3,5,6,11,12,16
2 Informasi yang tidak jelas atau tidak sebenarnya
INT B 9, 13, 26
3 Database rusak karena gangguan pada hardware, incorrect,atau software yang rusak
INT D
4 Data tidak terbaca karena proses pemindahan file yang tidak sempurna
INT C
5 Kemampuan untuk merubah data sementara dan melakukan perubahan
kembali untuk melindungi aktivitas 6 Kesalahan pelaporan masalah integritas INT A 7, 11, 12, 13, 20, 21 7 Proses yang tidak sempurna
yang mengakibatkan kerusa kan data
INT A 1, 2, 12, 13,14, 15,
18, 20, 21, 25 8 Kurangnya proses internal
untuk membuat, mengendalikan, mengelola
data antar fungsi
INT A 7, 13, 17, 20, 23,
25
9 Tidak ada pemberitahuan tentang masalah integritas
INT A 7, 13,26
10 Informasi sigunakan dalam konteks yang salah
INT B 11,12,19
11 Informasi pihak ketiga mungkin memiliki masalah integritas
INT B 7, 13, 26
12 Pihak ketiga yang mengakses informasi
INT A 3,4,5
Proses akhir dari sesi FRAP adalah untuk mengidentifikasi pegendalian untuk beberapa resiko yang teridentifikasi yang dibutuhkan. Ketika undangan mengenai sesi FRAP sudah dikirimkan, manajer bisnis mengikutsertakan daftar dari 26 pengendalian, sebagaimana yang ditunjukkan dalam tabel 2.2, yang akan digunakan selama fase ini dalam sesi FRAP.
Tabel 2.2 FRAP Control List
No. Kelas Deskripsi
1 Backup
Kebutuhan backup akan ditentukan dan dikomunikasikan kepada penyedia layanan, termasuk permintaan bahwa pemberitahuan elektronik yang dibackup telah selesai dikirim kepada administrator sy stem aplikasi. Penyedia layanan akan diminta untuk menguji prosedur backup.
2 Recovery Plan
Mengembangkan, mendokumentasikan, dan menguji prosedur recovery yang didesain untuk menjamin bahwa aplikasi dan informasi dapat di-recover (dipulihkan), menggunakan backup yang telah dibuat, ketika terjadi kerugian.
3 Access Control
Mengimplementasikan sebuah mekanisme pengendalian akse s untuk mencegah akse s yang tidak terotorisasi terhadap informasi. Mekanisme ini termasuk kemampuan mendeteksi, logging, dan melaporkan upaya untuk menerobos keamanan informasi.
4 Access Control
Akses sumber: Mengimplementasikan sebuah mekanisme untuk membatasi akse s kepada informasi rahasia ke network path tertentu atau lokasi fisik.
5 Access Control
Mengimplementasikan mekanisme otentikasi pengguna (seperti firewall, dial-in control, secure ID) untuk membatasi akse s ke personil yang tidak terotorisasi.
6 Access Control
Mengimplementasikan mekanisme enkripsi (data, end-to-end) untuk mencegah akse s yang tidak terotorisasi untuk melindungi integritas dan kerahasiaan informasi.
7 Application Control
Mendesain dan mengimplementasikan pengendalian aplikasi (data entry edit checking, field requiring validation, alarm indicators, password expiration capabilities, checksums) untuk menjamin integritas, kerahasiaan, dan ketersediaan dari informasi aplikasi.
8 Acceptance Testing
Mengembangkan prosedur pengujian yang diikuti selama pengembangan aplikasi dan selama perubahan terhadap aplikasi yang telah ada yang di dalamnya melibatkan partisipasi dan penerimaan pengguna.
9 Change Management
Mengikuti proses manajemen perubahan yang didesain untuk memfasilitasi pendekatan terstruktur untuk perubahan, untuk menjamin langkah-langkah yang se suai dan pencegahan diikuti. Perubahan yang sifatnya “emergency” sebaiknya diikutsertakan dalam proses ini.
10 Anti Virus
1. Menjamin Administrator LAN menginstal software antivirus yang sesuai standar perusahaan pada semua computer. 2. Pelatihan dan kesadaran teknik pencegahan virus akan dimasukkan ke dalam program IP organisasi.
11 Policy
Mengembangkan kebijakan dan prosedur untuk membatasi akse s dan hak istimewa operasional kepada mereka yang memiliki kebutuhan bisnis.
12 Training
Pelatihan pengguna akan mencakup instruksi dan dokumentasi yang tepat ke aplikasi. Pentingnya menjaga kerahasiaan account pengguna, sandi, dan sifat rahasia dan kompetitif informasi akan ditekankan.
13 Audit/Monitor
Menerapkan mekanisme untuk memantau, melaporkan dan kegiatan audit yang diidentifikasi sebagai bahan tinjauan independen, termasuk tinjauan berkala dari userIDs untuk memastikan kebutuhan bisnis.
14 Backup
Kontrol Operasi: pelatihan untuk backup data untuk sistem administrator akan diberikan dan tugas dirotasi di antara mereka untuk memastikan kecukupan dari program pelatihan.
15 Training
Kontrol Operasi: pengembang aplikasi akan memberikan dokumentasi, bimbingan, dan dukungan untuk staf operasi (admin) dalam menerapkan mekanisme untuk memastikan bahwa transfer informasi antar aplikasi aman.
16 Access Control
Kontrol Operasi: mekanisme untuk melindungi database dari akse s yang tidak sah, dan modifikasi dari luar aplikasi, akan ditentukan dan diimplementasikan.
17 Interface
dependencies
Kontrol operasi: sistem yang memberikan informasi akan diidentifikasi dan dikomunikasikan kepada admin untuk menekankan dampak yang akan terjadi terhadap fungsi tersebut jika aplikasi ini tidak tersedia.
18 Maintenance
Kontrol Operasi: kebutuhan waktu untuk pemeliharaan teknis akan dilacak dan penyesuaian jadwal akan dikomunikasikan kepada manajemen.
19 Training
User Control: Mengimplementasikan user program (user performance evaluation) yang didesain untuk mendorong kepatuhan terhadap kebijakan dan prosedur untuk menjamin penggunaan yang tepat terhadap aplikasi.
20 Service Level
Agreement
Mendapatkan persetujuan mengenai tingkat pelayanan untuk menetapkan harapan pelanggan dan jaminan dari operasi pendukung.
21 Maintenance
Memperoleh pemeliharaan dan persetujuan dengan pemasok untuk memfasilitasi secara terus-menerus mengenai aplikasi operasional.
22 Physical Security
Konsultasi dengan facilities management, dalam hal memfasilitasi implementasi pengendalian keamanan fisik yang dirancang untuk melindungi informasi, software, dan hardware yang dibutuhkan oleh system
23 Management support
Permintaan dukungan manajemen untuk menjamin kooperasi dan koordinasi dari berbagai unit bisnis, untuk memfasilitasi kelancaran transisi ke aplikasi.
24 Prorietary Pengendalian hak milik.
25 Corrective strategies
Tim pengembang akan mengembangkan strategi korektif, seperti mengecek kembali proses-pro ses yang ada dalam perusahaan, merevisi logika aplikasi, dll.
26 Change Management
Mengontrol migrasi produk, seperti untuk proses pencarian dan menghapus, untuk memastikan tempat penyimpanan data aman.
Pengendalian dapat diidentifikasikan secara umum dalam dua jenis:
a. Fasilitator dapat fokus pada setiap risiko yang paling utama dan memilih team yang dapat mengatasi risiko tersebut.
b. Fasilitator dapat fokus kepada tiga atau empat risiko prioritas utama dam kemudian membiarkan team untuk mebackup dan memilih risiko yang dipilih untuk mereka tangani sendiri. Jika risiko telah dipilih maka tidak perlu dipilih kembali.
Perlu dimengerti bahwa semua pengendalian yang dipilih tidak semuanya akan diimplementasikan. M anajer bisnis, kepala proyek, dan fasilitator akan bekerja bersama dalam pertemuan post-FRAP untuk menetapkan satu atau dua pengedalian yang terbaik.
FRAP tidak akan mengurangi tiap risiko. M anajemen memiliki tugas untuk menentukan risiko mana yang akan diberi pengendalian dan mana yang akan diterima.
FRAP session selesai ketika tiga hasil didapatkan yaitu: 1. Risiko diidentifikasi
2. Risiko diprioritaskan 3. Control diidentifikasi
