Skenario Risiko Teknologi Informasi

2.10. Risk Assessment

2.10.1. Skenario Risiko Teknologi Informasi

Menurut ISACA (2009), Skenario Risiko Teknologi Informasi merupakan sebuah uraian sketsa dari kejadian – kejadian yang terkait dengan teknologi informasi, yang apabila terjadi akan dapat menimbulkan impact (dampak) bagi suatu perusahan. Dari gambar berikut ini dapat dilihat dan diperhatikan mengenai lima komponen penyusun dalam skenario risiko teknologi informasi.

Lima komponen penyusun skenario risiko teknologi informasi tersebut memiliki penjelasan sebagai berikut:

78 1. Aktor (Actor)

Aktor merupakan pelaku atau aktor yang dapat menimbulkan ancaman (risiko) bagi perusahaan, aktor terbagi menjadi 2 kategori yaitu aktor yang berasal dari internal dan eksternal perusahaan. Aktor internal meliputi staff dan kontraktor, sedangkan aktor eksternal meliputi partner bisnis komppetitor dan lain sebagainya.

2. Tipe Ancaman (Threat Type)

Threat Type merupakan suatu peristiwa atau kondisi yang menjadi sumber suatu ancaman (risiko), yang terjadi secara disengaja maupun tidak disengaja. Yang termasuk dalam threat type meliputi kejahatan, error, kecelakaan, bencana alam dan sebagainya.

3. Kejadian (event)

Event merupakan suatu peristiwa atau kejadian yang terjadi diperusahaan dan dapat menimbulkan ancaman (risiko). Yang termasuk kedalam event meliputi gangguan pada sistem atau proyek, kebocoran informasi, kerusakan ataupun pencurian pada infrastruktur Teknologi Informasi (TI) perusahaan dan lain sebagainya.

4. Aset / Sumber Risiko

Asset / Resource adalah suatu objek bernilai yang dimiliki oleh perusahaan yang dapat terpengaruhi oleh kondisi dan kejadian tertentu, sehingga dapat mendatangkan impact (dampak) terhadap bisnis perusahaan yang berpeluang menjadi sumber ancaman (risiko). Yang termasuk dalam Aset / Sumber Risiko tersebut meliputi

aplikasi, infrastruktur Teknologi Informasi, fasilitas, informasi dan lain sebagainya.

5. Waktu (Time)

Time disini adalah keadaan dimana suatu skenario risiko terjadi yang tertuang dalam satuan waktu.

Skenario Risiko Teknologi Informasi digunakan sebagai petunjuk atau acuan dalam mengidentifikasi risiko terhadap teknologi informasi. Terdapat 36 High Level Scenario terkait teknologi informasi yang terdapat pada pedoman yang diberikan oleh ISACA yang tertuang dalam Generic IT Risk Scenarios. Dari table 2. Berikut ini dapat dilihat dan diperhatikan mengenai 36 High Level Scenario didalam Generic IT Risk Scenarios.

Tabel 2. 12 Generic IT Risk Scenarios (ISACA, 2009)

No High Level Risk Scenario Definisi

1 Technology Selection Risiko yang berkaitan dengan pemilihan jenis teknologi yang akan diterapkan atau digunakan oleh organisasi untuk mencapai tujuan 2 New Technology Risiko yang berkaitan dengan

pengembangan teknologi baru untuk meningkatkan perkembangan suatu organisasi.

3 IT Programme Selection Risiko yang berkaitan dengan pemilihan proyek – proyek teknologi informasi guna menunjang tercapainya sasaran organisasi.

4 Accountability Over IT Risiko yang berkaitan dengan pertanggung jawaban dalam pemakaian Teknologi Informasi didalam organisasi.

5 IT Investment Decision Making Risiko yang berkaitan dengan pengambilan keputusan tentang investasi yang berkaitan dengan Teknologi Informasi perusahaan.

No High Level Risk Scenario Definisi

6 Integration of IT Within Business Procesess

Risiko yang berkaitan dengan upaya mengintegrasikan Teknologi Informasi dengan proses bisnis organisasi.

7 IT Expertise and Skills Risiko yang berkaitan dengan keterampilan dan keahlian yang dimiliki oleh Teknologi Informasi yang diterapkan oleh organisasi. 8 IT Staff Risiko yang berkaitan dengan pegawai

atau staff di bidang Teknologi Informasi.

9 Destruction of Infrastructure Risiko yang berkaitan dengan perusahaan terhadap infrastruktur yang dimiliki oleh organisasi.

10 Infrastructure Theft Risiko yang berkaitan dengan pencurian terhadap infrastruktur yang dimiliki oleh organisasi.

11 Selection / Performance of Third-party Suppliers

Risiko yang berkaitan dengan pemilihan pihak ketiga beserta dengan prestasi atau kinerjanya.

12 Project Quality Risiko yang berkaitan dengan kualitas penyampaian dari proyek Teknologi Informasi

13 Project Delivery Risiko yang berkaitan dengan perencanaan perhitungan anggaran dari setiap proyek Teknologi Informasi yang dijalankan oleh organisasi 14 IT Project Economics Risiko yang berkaitan dengan

perencanaan perhitungan anggaran dari setiap proyek Teknologi Informasi yang dijalankan oleh organisasi. 15 IT Project Termination Risiko yang berkaitan dengan

pemberhentian atau pemutusan proyek yang berkaitan dengan Teknologi Informasi oleh organisasi

16 Software Implementatio Risiko yang berkaitan dengan pengimplementasian atau penerapan software

17 Regulatory Compliance Risiko yang berkaitan dengan kepatuhan terhadap aturan kebijakan yang telah dibuat.

No High Level Risk Scenario Definisi

18 Architectural Agility & Flexibility Risiko yang berkaitan dengan penerapan arsitektur Teknologi Informasi yang andal dan fleksibel. 19 Ageing of Application Software Risiko yang berkaitan dengan

penggunaan Aplikasi atau Software yang telah renta dan tua

20 State of Infrastructure Technology Risiko yang berkaitan dengan kondisi infrastruktur penunjang Teknologi Informasi yang digunakan untuk menunjang proses bisnis dalam suatu organisasi.

21 Software Integrity Risiko yang berkaitan dengan upaya mengintegrasikan beberapa software yang diterapkan oleh organisasi. 22 Software Performance Risiko yang berkaitan dengan kinerja

dari suatu software yang telah terapkan atau di implementasikan didalam organisasi.

23 Infrastructure (Hardware) Risiko yang berkaitan dengan infrastruktur utamanya adalah

hardware.

24 Logical Attacks Risiko yang berkaitan dengan dampak atau efek yang ditimbulkan atau disebabkan dari serangan logic terhadap organisasi, seperti virus dan sebagainya.

25 Malware Risiko yang berkaitan dengan dampak atau efek yang ditimbulkan atau disebabkan oleh serangan malware yang ditujukan kepada organisasi. 26 Ageing of Infrastructural Software Risiko yang berkaitan dengan penuaan

infrastruktur software yang dipergunakan oleh perusahaan, seperti software yang sudah tua dan renta maupun software dengan versi lama. 27 System Capacity Risiko yang berkaitan dengan

kemampuan dan kapasitas sistem dalam mengolah dan menampung suatu transaksi yang berjalan dalam organisasi.

No High Level Risk Scenario Definisi

28 Information Media Risiko yang berkaitan dengan media informasi atau data yang dimiliki oleh organisasi.

29 Utilities Performance Risiko yang berkaitan dengan kinerja utilitas.

30 Industrial Action Risiko yang berkaitan dengan aksi industry atau serikat kerja yang berskala organisasi maupun nasional. 31 Operational IT Errors Risiko yang berkaitan dengan

kegagalan atau kesalahan operasional dalam penerapan Teknologi Informasi suatu organisasi.

32 Logical Trespassing Risiko yang berkaitan dengan penyalahgunaan atau penyelewengan akses logic dalam organisasi.

33 Data (base) Integrity Risiko yang berkaitan dengan mutu atau integritas dari suatu data atau informasi dalam database yang dimiliki oleh organisasi.

34 Contractual Compliance Risiko yang berkaitan dengan kepatuhan terhadap perjanjian atau kontrak yang telah dibuat.

35 Environmental Risiko yang berkaitan dengan lingkungan sekitar organisasi.

36 Acts of Nature Risiko yang berkaitan dengan aktivitas alam yang dapat menimbulkan gangguan dan kerugian bagi organisasi.

Dalam dokumen EVALUASI MANAJEMEN RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN FRAMEWORK COBIT 5 (STUDI KASUS: PT PLN P2B JAWA BALI) (Halaman 99-104)