• Tidak ada hasil yang ditemukan

Penerapan Manajemen Risiko Teknologi Informasi

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "Penerapan Manajemen Risiko Teknologi Informasi"

Copied!
13
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 13 Halaman )

Teks penuh

(1)

Penerapan Manajemen Risiko Teknologi Informasi

Tujuan Pelatihan

Kegiatan pelatihan ini dimaksudkan untuk memberikan bekal

dan kecakapan kepada peserta dalam hal:

1.

Mempelajari dan memahami langkah-langkah untuk

mengambil pendekatan proaktif untuk pengelolaan resiko

pada pemanfaatan IT di perusahaan, sejalan dengan

upaya tata kelola perusahaan.

2.

Memahami bagaimana mengidentifikasi dan menilai risiko

yang terkait dengan teknologi informasi.

3.

Praktek menggunakan kerangka berbagai penilaian dan

alat untuk memantau dan melaporkan TI organisasi Anda

risiko.

4.

Mengembangkan Rencana Manajemen Risiko praktis.

RISK adalah suatu kemungkinan resiko yang terjadi dan

menganalisa segala kemungkinan dampak terjadinya resiko

tersebut.

Dalam ilmu “Risk Management” dikenal dan dijabarkan :

Risk : Segala kemungkinan potensi (positip/negatif ) kepada

asset.

Risiko adalah efek dari ketidakpastian terhadap tujuan (ISO

guide 73:2009).

==

Dalam struktur organisasi, Information Technology Risk Officer berada pada Operational Risk Department dan memiliki tanggung

(2)

jawab melakukan identifikasi current risks dan potensi risiko yang berkaitan dengan penyelenggaraan teknologi informasi mencakup aspek sesuai yang digariskan dalam Peraturan Bank Indonesia Nomor 9/15/PBI/2007 tanggal 30 November 2007, tentang Pedoman bagi Bank dalam Penerapan dan Pelaksanaan Manajemen Risiko dibidang Teknologi Informasi Secara Terpadu. Dalam pedoman tersebut dicantumkan bagaimana melakukan identifikasi, pengukuran, pemantauan, serta pengendalian dan sistem manajemen risiko terkait dengan perencanaan, pengembangan, pengadaan, dan pengelolaan teknologi informasi yang menjadi satu kesatuan dengan fungsi dan organisasi manajemen risiko pada bank. Menegakkan prinsip Information Technology (IT) Governance agar investasi teknologi informasi dapat memberikan benefit kepada pencapaian bisnis. IT Governance meliputi:

• Strategic Alignment : IT Strategic Plan harus selaras dengan Business Strategic Plan

• Value Delivery : Semua IT Project harus memberikan value kepada bisnis

• Risk Management : Memastikan bahwa semua Inherent IT Risk telah dikelola secara baik

• Resources Management : Memastikan bahwa semua IT Resources telah dikelola secara baik dan benar

• Performance Measurement : Memastikan bahwa IT Performance KPI (Key Performance Indicator) telah dipenuhi secara baik dan benar

Melakukan IT Risk Assessment untuk : (1) Mengenali inherent risk maturity level, (2) Risk profile (3) Risk registry masing-masing aspek penyelenggaraan teknologi informasi yang meliputi :

• Manajemen

• Pengembangan dan Pengadaan Sistem

• Aktivitas Operasional

(3)

• Pengamanan Informasi

• BCP (Business Continuity Planning)

• EUC (End User Computing)

• Electronic Banking

• Penggunaan Pihak Penyedia Jasa Teknologi Informasi ===============

IT Risk Management

Seperti kita bersama-sama pahami, pemanfaatan Teknologi Informasi (TI) selain mendatangkan benefit bagi perusahaan juga menghadirkan risiko.

Risiko ini tentunya dapat mengakibatkan kerugian baik materiil (seperti kerugian finansial) ataupun immateriil (hancurnya image, hilangnya loyalitas pelanggan dll.) bagi bisnis perusahaan. Bahkan tidak mustahil risiko tersebut bisa berdampak pada ditutupnya perusahaan.

Risiko yang timbul akibat penggunaan TI ini seringkali tidak dapat dihindari atau ditiadakan sama sekali, sehingga yang dapat dilakukan adalah bagaimana kita mengelola risiko tersebut sehingga dampaknya masih dapat diterima oleh perusahaan. Di sini fokus dari IT Risk Management, dimana perusahaan berupaya mengelola setiap potensi risiko akibat penggunaan TI dengan mempertimbangkan cost and benefit dari setiap solusi terkait risiko tersebut.

Berbagai macam risiko dapat timbul akibat dari penggunaan TI biasanya disebabkan karena adanya sumber ancaman, kesempatan/ancaman itu sendiri dan juga kerentanan (vulnerability) yang dimiliki TI yang diimplementasikan.

(4)

http://cobitindo.blogspot.com/2013/04/it-risk-management-framework-by-cobit.html

==============

Contoh Risk Assessment

http://www.jaringan-komputer.cv-sysneta.com/contoh-risk-assessment

By Ali Hariono

Membuat penilaian resiko

Salah satu tugas dalam membuat suatu Rencana kesinambungan bisnis dan penanggulangan bencana (business continuity and disaster recovery plan) dalam suatu corporate adalah membuat penilaian resiko (Risk assessment). Begitu informasi ini telah dikumpkan dan diberikan prioritas, maka organisasi anda bisa mulai mengimplementasikan ukuran-ukuran untuk mencegah atau melakukan recovery dari resiko tersebut andai kata hal atau bencana itu akan pernah terjadi.

Pertama kali yang perlu anda lakukan adalah menggali sebanyak-banyaknya potensi / resiko bahaya yang sekiranya bisa mengancam bisnis atau organisasi anda. Mengidentifikasi resiko-resiko dalam suatu jaringan computer dalam organisasi / bisnis anda bukanlah suatu proses yang rumit, karena anda menghadapi technology computer yang bisa ditebak. Yang perlu anda lakukan adalah menentukan faktor-faktor / ancaman apa saja yang kira-kira bisa menyebabkan infrastructure system jaringan komputer anda menjadi terganggu ketersediannya dan bagaimana hal tersebut akan menyebabkan dampak pada bisnis anda.

Scenario

(5)

assessment) dalam suatu jaringan komputer dalam suatu organisasi. Sebelumnya perlu diketahui penjelasan-penjelasan tentang pertimbangan-pertimbangan systematis dalam melakukan risk assessment.

Tingkat bahaya bisnis yang bisa saja terjadi sebagai akibat dari suatu kegagalan system, memasukkan semua konsekwensi2 potensi dari kehilangan kepercayaan, integritas atau ketersediaan dari system informasi dan juga asset-asset yang lainnya.

Dengan adanya ancaman-ancaman dan kelemahan-2 serta system kendali yang sudah diterapkan sekarang, bisa saja kemungkinan terjadi suatu kegagalan.

Hasil dari audit anda mengenai penilaian resiko / risk assessment ini harus deregister dengan rapi menggunakan form seperti gambar berikut ini yang kemudian diharapkan bisa membantu anda dalam menentukan tindakan management yang memadai dan juga menentuklan prioritas-prioritas dalam majemen resiko keamanan informasi anda, serta mengimplementasikan control yang dipilih untuk melindungi resiko-resiko ini. Proses risk assessment ini tidak hanya dilakukan sekali saja, anda bisa melakukannya berkali-kali agar bisa meng-cover semua bagian-bagian yang berbeda dalam organisasi anda.

Gambar / diagram berikut ini adalah suatu studi kasus dalam suatu jaringan komputer yang ada disuatu lingkungan industry dimana ada dua gedung yang dipisahkan oleh jarak yang lumayan jauh yaitu sebuah Yard / Pelataran pabrik.

network diagram mining office Identifikasi resiko

Mengacu pada diagram ini anda perlu melakukan identifikasi semua kemungkinan resiko keamanan yang bisa saja terjadi yang menyebabkan dampak terganggunya kelangsungan bisnis anda. Semua resiko-resiko ini haruslah deregister kedalam form berikut ini. Risk assessment template

(6)

Identifikasi semua resiko dalam diagram jaringan komputer ini, dan masukkan dalam register form risk assessment.

Resiko #1 Masalah Kabel Backbone Uplink

Fungsi bisnis: satu kabel jaringan backbone yang menghubungkan gedung Mine Office dan gedung HR office.

Resiko ancaman: kabel Backbone putus / gagal

Konsekwensi: Semua komputer yang di Mine office akan terputus dari semua sumber daya jaringan termasuk aplikasi-aplikasi bisnis Tingkat Kemungkinan: Bisa Trejadi.

Kendali / Control Yang ada: Melindungi kabel jaringan backbone ini dengan jalan memasukkannya kedalam pipa metal dan dikubur kedalam tanah sedalam 30 Cm dibawah permukaan tanah. Tingkat kendali ini kurang mencukupi mengingat diatasnya adalah jalanan yang biasa dilalui oleh kendaraa alat berat.

Resiko #2 Router Rusak

Fungsi bisnis: Pendukung Komunikasi Global. Resiko ancaman: Router rusak / terbakar

Konsekwensi: Semua jaringan komunikasi ke Internet global akan terputus

Tingkat Kemungkinan: Bisa Trejadi.

Kendali / Control Yang ada: Menyediakan router cadangan dengan sudah dikonfigurasi yang sama dengan yang ada sekarang. Dan setiap terjadi perubahan konfigurasi selalu diupdate kedalam router backup ini. Tingkat kendali ini sangat memadai.

Anda bisa mencari lagi resiko #3 dan seterusnya misal jika terjadi kerusakan / kegagalan dalam system file server anda, atau system email anda.

Kolom berikutnya yang juga perlu anda masukkan datanya adalah: Consequence Ratings / Tingkat Konsequensi; Tingkat Kemungkinan (Likelihood ratings); Tingkat Resiko (Level of Risk); dan Prioritas

(7)

Resiko. Sesuai dengan skala bisnis anda, sebelumnya anda perlu mendefiniskan tingkat konsequency sesuai dengan lingkungan bisnis anda misal dalam contog dibawah ini untuk tingkat konsekwensi yang tinggi jika mempunyai tingkat kerugian Rp. 100 milyar keatas. Bisa saja dalam skala bisnis yang kecil anda meletakkan dampak kerugian sebesar 1 milyar untuk tingkat resiko tinggi.

Consequence

Tingkat Kemungkinan (Likelihood) Tingkat Resiko (Level of Risk) Prioritas Resiko (Risk Priority)

Tinggi (High): berdampak kerigian sampai Rp. 100 Milyar dalam organisasi anda atau dampak operasi yang sangat serius 1 Sangat mungkin (Highly possible) High Tingkat dampak sangat besar

Resiko Tinggi (High Risk)

Medium: Berdampak antara 50-100 Milyar Rp dalam kerugian bisbis anda atau ancaman organisasi yang serius. 2 Mungkin / Possible

Medium Dampak menengah Resiko medium (Medium risk)

Low: Dibawah Rp 50 Milyar atau dampak taktis dalam operasi bisnis organisasi anda 3 Kecil kemungkinan-nya / Likely Low Dampak Minimal Resiko rendah (Low Risks)

4 Jarang sekali terjadi /Not very likely 5 Tidak pernah terjadi / Never

Dalam contoh risk assessment ini, resiko #1 untuk kolom Likelihood diisi dengan “Mungkin/Possible” dan untuk kolom Konsekwensi diisi dengan “Resiko medium / Medium risk”. Begitu seterusnya untuk resiko-resiko berikutnya.

Untuk lebih jelas masalah Management resiko konsep dan petunjuk praktis, baca ebook saya tentang DR & Risk Management.

Semoga bermanfa’at

(8)

IS Risk Management

http://polairut.wordpress.com/2011/10/22/is-risk-management/

Resiko adalah potensial bahaya yang mungkin timbul dari beberapa proses saat ini dan atau dari beberapa peristiwa dimasa depan. Dari perspektif Sistem Informasi , management resiko adalah memahami dan menanggapi faktor- factor yang dapat menyebabkan terjadinya kegagalan dalam integrasi, kerahasiaan, dan keamanan system informasi. Resiko ini akan membahayakan proses atau informasi yang dihasilkan dari beberapa peristiwa, baik yang disengaja maupun tidak disengaja. Resiko ini juga bisa berasal dari internal diri kita sendiri atau pihak ekternal yang mencoba untuk mencuri data kita. Menurut G. Stoneburner 2002, IT risk management meliputi tiga proses:

1. Risk Assessment

Penilaian resiko (risk assessment) merupakan tahapan awal dalam pengendalian resiko. Manager menggunakan risk assessment untuk mengetahui tingkat ancaman yang potensial dan resiko yang berhubungan dengan seluruh proses system informasi.

Hasil dari proses ini, diharapkan semua potensi ancaman dapat dinilai sesuai dengan kategorinya. Yang mempunyai tingkat resiko yang paling tinggi akan mendapat prioritas dalam hal pencegahan, yang nantinya akan membantu para manager dalam mengendalikan resiko yang ada.

2. Risk Mitigation

Risk Mitigation adalah proses atau langkah- langkah yang untuk mengendalikan, mengevaluasi, pencegahan kembali dan control terhadap resiko yang terjadi. Dengan pengendalian yang tepat, dapat mengurangi tingkat resiko yang terjadi ke tingkaan paling minim sehingga tidak berpengaruh terhadap sumber daya dan bisnis yang berjalan, ehingga resiko yang terjadi tidak berulang.

3. Evaluation and assessment

(9)

diperbaharui. Perkembangan teknologi yang pesat memungkinkan terjadinya serangan serangan (resiko- resiko) baru yang dapat mengancam sumber daya yang sebelumnya tidak mempunyai tingkat resiko.

Umumnya yang terjadi adalah setelah Risk Assessment dan Risk Mitigation dilakukan, evaluasi terhadap hasil kegiatan tersebut jarang dilakukan, sehingga tingkat resiko tetap tinggi. Misalnya, tidak ada evaluasi tahunan terhadap resiko resiko yang sudah ditentukan sebelumnya.

Salah satu tools untuk membantu Information System Risk management adalah OCTAVE-S. Para manager dapat menggunakan OCTAVE-S dalam penghitungan tingkatan resiko yang ada di perusahaan. OCTAVE-S digunakan jika perusahaan tsb terdiri kurang dari 100 orang yang terlibat langsung dalam IT. OCTAVE-S mempunyai 3 phase:

Phase 1:

Membangun/ menentukan asset berdasarkan profile ancaman

Pada phase ini akan memilih asset asset perusahaan dan memberikan peringkat berdasarkan tingkat resiko. Asset asset yang mempunyai nilai tingkat resiko yang paling besar akan menjadi prioritas utama dalam hal penanganan. Juga, pada tahap ini akan diidentifikasi kebutuhan keamanan yang dibutuhkan terhadap asset asset penting.

Aktivitas aktivitas pada proses ini antara lain:

• Menerapkan kriteria dampak evaluasi

• Mengidentifikasi asset penting perusahaan

• Memilih asset penting perusahaan

• Identifikasi keamanan yang dibutuhkan terjadap asset- asset penting

Phase 2:

(10)

Tahapan ini akan menguji semua tingkata infrastruktur terhadap asset asset penting, Semua jalur akses terhadap asset asset penting akan diuji untuk mengetahui tingkat kerentanan terhadap resiko serangan. Begitu juga dengan teknologi yang digunakan, akan diaudit apakah teknologi tersebut rentan terhadap serangan baik yang berasal dari pihak internal maupun external. Seiring dengan perkembangan teknologi yang semakin canggih, tingkat kerentanan teknologi menjadi masalah baru dalam IS Risk. Contoh kasusnya adalah maraknya SQLInjection pada website tertentu.

Aktivitas aktivitas pada proses ini antara lain:

• Pemeriksaan jalur akses

• Menganalisa teknologi yang dihubungkan dengan proses Phase 3:

Membangun rencana Strategi Keamanan

Tahapan ini akan menggabungkan temuan dari phase 1 dan phase 2 untuk dibentuk rencana strategi keamanan yang baik. Pada tingkatan ini juga akan mengidentifikasi tingkat kemungkinan resiko yang akan terjadi, bagaimana cara penanganannya,

Output dari tahapan ini adalah pendekatan dan rencana pencegahan resiko, protection strategy dan rencana strategi kedepannya secara keseluruhan.

Aktivitas aktivitas pada proses ini antara lain:

• Mengevaluasi dampak dari serangan

• Mengevaluasi kemungkinan terjadinya serangan

• Menentukan rencana pencegahan terhadap resiko

• menentukan rencana kedepannya terkain risk management.

=========

(11)

http://qualityolife.blogspot.com/2011/05/risk-assessment-untuk-teknologi.html

Risk Assessment untuk Teknologi Informasi

Penilaian resiko (Risk Assesment) merupakan proses yang pertama di dalam metodologi manajemen resiko. Organisasi menggunakan penilaian resiko untuk menentukan tingkat ancaman yang potensial dan resiko yang berhubungan dengan suatu sistem IT seluruh SDLC-nya (System Development Life Cycle). Hasil dari proses ini membantu ke arah mengidentifikasi kendali yang sesuai untuk mengurangi atau menghapuskan resiko ketika proses risk mitigation. Metodologi Penilaian Resiko meliputi sembilan langkah-langkah utama:

• System Characterization

Di dalam memperkirakan penilaian resiko untuk suatu sistem IT, langkah yang pertama adalah menggambarkan scope of the effort. Pada langkah ini, batasan-batasan dari IT mulai diidentifikasi, bersama dengan sumber daya dan informasi yang menjadi dasar sistemnya. Karakter suatu sistem IT dikenali, untuk menetapkan ruang lingkup usaha penilaian resiko, menggambarkan batasan-batasan otorisasi operasional, dan menyediakan informasi yang penting untuk menjelaskan resiko.

• Threat Identification

Melakukan identifikasi terhadap ancaman-ancaman yang ada maupun akan ada. Identifikasi dilakukan pada sumber ancaman (threat-source) yang dapat dibagi atas 3 macam ancaman, yaitu:

5. Natural Threats, seperti banjir, gempa bumi, tornado dan

lainnya.

6. Human Threats, seperti akses tidak terotorisasi pada informasi

rahasia.

7. Environmental Threats, seperti kegagalan suplai listrik pada

waktu yang lama.

• Vulnerability Identification

(12)

sistem yang dapat digunakan oleh orang luar melakukan ancaman. Identifikasi dilakukan dengan melihat asal dari kelemahan tersebut dengan melihat informasi mengenai identifikasi sistem informasi. Kelemahan-kelemahan dapat berupa isu keamanan pada aplikasi maupun sistem operasi yang digunakan dalam sistem informasi tersebut.

• Control Analysis

Tujuan dari langkah ini adalah melakukan analisa terhadap kontrol-kontrol atau pengendalian-pengendalian yang telah dipasang ataupun yang direncanakan untuk dipasangkan pada sistem dengan tujuan untuk meminimalkan atau menghilangkan ancaman-ancaman terhadap kelemahan sistem.

5 Likelihood Determination

Proses ini memberikan rating terhadap kemungkinan-kemungkinan yang nampak yang ditentukan oleh motivasi sumber ancaman dan kemampuannya, kelemahan-kelemahan dan kontrol atau pengendalian yang ada saat ini.

6 Impact Analysis

Pada langkah ini dilakukan analisa akibat yang mungkin dihasilkan oleh ancaman terhadap kelemahan sistem. Beberapa akibat-akibat yang terlihat dapat diukur secara kualitatif dengan hilangnya pendapatan, biaya perbaikan atau tingginya usaha yang harus dikeluarkan untuk memperbaiki masalah tersebut.

7 Risk Determination

Tujuan dari langkah ini adalah untuk melakukan penilaian berjenjang kepada resiko-resiko yang ada dalam sistem informasi menjadi bentuk daftar prioritas. Dengan daftar ini, penanggulangan resiko dengan pengendalian-pengendalian dapat dilakukan sesuai dengan prioritasnya. Untuk mengukur resiko maka suatu skala resiko dan matrik resiko harus dikembangkan.

8 Control Recommendations

Pada langkah ini, kontrol-kontrol yang dapat mengurangi maupun menghilangkan resiko-resiko yang berhasil diidentifikasikan akan direkomendasikan. Tujuannya adalah untuk mengurangi nilai resiko

(13)

terhadap sistem informasi ke level yang dapat diterima. 9. Results Documentation

Proses dokumentasi terhadap seluruh proses pengerjaan risk assessment yang berbentuk laporan-laporan yang berisikan hasil identifikasi, analisa dan rekomendasi.

Referensi

Unduh sekarang ( PDF - 13 Halaman - 62.35 KB )

Dokumen terkait

Pengaruh Kepemilikan Keluarga, Kontrol Keluarga Pemilik, dan Manajemen Keluarga Pemilik terhadap Tindakan Pajak Agresif pada Perusahaan Manufaktur yang Terdaftar di Bei Periode 2013-2015

Lanis and Richardson (2011) menemukan bahwa kehadiran dewan direksi internal maupun yang memiliki saham berpengaruh positif terhadap tindakan pajak agresif, hal ini

BAB III METODE DAN TEKNIK PENELITIAN. Bab ini membahas beberapa hal yang berkaitan dengan metode dan teknik

Sumber data atau informasi penelitian diambil dari informan atau responden yang berhubungan dengan studi pengembangan KTSP Mata Pelajaran Al-Qur’an Hadits pada MTs

BAB II TINJAUAN PUSTAKA. berbeda akan mengartikannya secara berlainan, seperti kesesuaian dengan

1) Reliability, mencakup dua hal pokok, yaitu konsistensi kerja (performance) dan kemampuan untuk dipercaya (dependbility).. berarti perusahaan memberikan jasanya secara

BAB III KERANGKA KONSEPTUAL DAN HIPOTESIS PENELITIAN. dan loyalitas secara teoritis mengadopsi model penggolongan manfaat relasional

Terdapat banyak penelitian sebelumnya yang juga mencari pengaruh bentuk-bentuk manfaat relasional (manfaat kepercayaan, manfaat sosial, dan manfaat perlakuan istimewa)

RED LIGHT VIOLATION BY MOTORCYCLISTS AT A SIGNALIZED INTERSECTION IN JAKARTA

On the other hand the higher the Q/C, the higher the percentage of motorcyclists those move earlier than the beginning of green period (type 2 violation). Higher Q/C

The effect of artificial and natural baits on the capture of tuna hand line around the Molucca Sea | Tauladani | AQUATIC SCIENCE & MANAGEMENT (Jurnal Ilmu dan Manajemen Perairan) 2279 4150 1 SM

Berdasarkan perbandingan jumlah hasil tangkapan antara umpan buatan yang terbuat dari kantong plastik mengkilat dengan umpan alami, terlihat bahwa umpan buatan

BAB II. TINJAUAN PUSTAKA

Salim (1999), dalam penelitian tentang analisis faktor – faktor yang mempengaruhi tingkat pendapatan nelayan di Kecamatan Syiah Kuala Banda Aceh, menyatakan bahwa variabel

PENGARUH PARTISIPASI PENYUSUNAN ANGGARAN,KEJELASAN SASARAN ANGGARAN TERHADAP KINERJA BADAN PENDAPATAN DAERAH KABUPATEN OGAN ILIR -

Hasil penelitian dalam hal besamya pengamh terhadap penetapan anggaran membuktikan bahwa pegawai yang tidak terlibat dalam menetapkan besamya anggaran yang akan dicapai tidak selalu

Image