Mengalami Bencana yang
Berakibat Gangguan pada
Operasi Bisnis
Pernah
74%
Tidak
26%
Apakah perusahaan
pernah mengalami disaster
(gangguan/bencana) yang
mengganggu
beroperasinya bisnis
perusahaan?
Sumber:
SHARING VISION
TM, DRP/BCP Survey,
n = 20 (dari 10 perusahaan), Mei-Juni 2009
Pernah
Sedikit Perusahaan di Indonesia
Melakukan Risk Assessment
Dalam kaitannya dengan
pengelolaan bencana,
apakah perusahaan
pernah melakukan risk
assessment terhadap aset
perusahaan ?
Pernah
53%
Tidak
47%
Sumber: SHARING VISIONTM, DRP/BCP Survey,
n = 20 (dari 10 perusahaan), Mei-Juni 2009
Pernah
1
2
3
Risk
Assessment
Business
Impact
Analysis
Mitigasi Risiko
Risk Assessment
Analisis
Kritikal Aset
Analisis
Ancaman
Analisis Risiko
1
Analisis Aset Kritikal (1)
Identifikasi
aset
Identifikasi
nilai dari
aset
Analisis Aset
Kritikal
Identifikasi
aset
Berdasarkan PBI No. 09/15/PBI/2007
aset TI terbagi menjadi 5 kategori :
•Perangkat Keras
•Perangkat Lunak
•Jaringan Telekomunikasi
•Data/Informasi
•Sumber Daya Manusia
Identifikasi
nilai dari
aset
Analisis Aset Kritikal (3)
Nilai –nilai yang dijadikan kriteria adalah :
• Nilai bagi organisasi (Value to Organization)
•Cost to Replace
•Threat likelihood
•Vulnerability
•Maximum Acceptable Outage Time
Analisis Aset
Kritikal
Analisis Aset Kritikal (4)
Perhitungannya dilakukan dengan
menggunakan kategori nilai sebagai
berikut :
• Severity of Threat
• Kategori nilai vulnerability
Contoh Analisis Aset Kritikal - 1
No Asset Name Kode Asset Value to Org. Index Cost to Change Index Assessment MAOT Value Severity of Consequence value x cost x MAOT scaled to 100 Ave rage (of LxV) Threat Average of Likelihood x Vulnerability scaled to 1 Risk Rating Severity x Threat Risk Category
1 Proxy Server
ATI001
4
4
12
0.9
72
0.32
0.44
31.89
MEDIUM2 SMTP Server
ATI003
3
4
24
0.9
63
0.32
0.44
27.90
MEDIUM3 RCO Server
ATI004
3
3
24
0.9
54
0.32
0.44
23.91
MEDIUM4 DSM Server
ATI005
3
3
24
0.9
54
0.32
0.44
23.91
MEDIUM5 OPICS Server
ATI016
5
5
2
1
100
0.42
0.57
57.14
HIGH6
Primary SKN
Server
ATI017
5
5
2
1
100
0.42
0.57
57.14
HIGH7
Secondary SKN
Server
ATI018
5
5
2
1
100
0.42
0.57
57.14
HIGH8 SID Server
ATI020
4
4
12
0.9
72
0.32
0.44
31.89
MEDIUM9 SMF Server
ATI021
3
3
24
0.9
54
0.32
0.44
23.91
MEDIUM10 AIMS Server
ATI022
3
3
150
0.75
45
0.32
0.44
19.93
LOWAnalisis Ancaman
Identifikasi
ancaman
Identifikasi aksi
dari ancaman
Identifikasi
risiko dari
ancaman
Contoh Register Ancaman
ID RISIKO
RISIKO
KATEGORI RISIKO
DESKRIPSI RISIKO
RISIKO
INHEREN
RTI004
Kesalahan sistem TI dalam
melakukan pengolahan data.
Sistem Teknologi
Informasi
Sistem TI yang digunakan untuk
mengolah data dan informasi mengalami
kesalahan.
High
RTI010
Kehilangan historis data
Sistem Teknologi
Informasi
Bank tidak dapat melakukan penelusuran
apabila ada kesalahan dalam proses
bisnis yang dilakukan.
High
RTI011
Kehilangan aset
Sistem Teknologi
Informasi
Perusahaan kehilangan aset yang dimiliki.
High
RTI030
Kebocoran data dan informasi
perusahaan.
Keamanan
Informasi
Data dan informasi mengenai
perusahaan diketahui oleh pihak yang
tidak bertanggungjawab.
High
RTI005
Kegagalan penerapan sistem TI.
Sistem Teknologi
Informasi
Penerapan sistem TI dalam perusahaan
mengalami kesalahan.
Medium
RTI007
Kegagalan migrasi sistem.
Sistem Teknologi
Informasi
Migrasi sistem yang dilakukan
mengalami kegagalan.
Medium
RTI027
Penambahan biaya perawatan.
Sistem Teknologi
Informasi
Biaya perawatan aset yang dilmiliki oleh
perusahaan bertambah.
Low
RTI045
Penurunan tingkat kepercayaan
mitra usaha.
Sumber Daya
Manusia
Tingkat kepercayaan mitra usaha
kepada perusahaan menurun.
Low
RTI048
Penurunan produktivitas kinerja
karyawan.
Sumber Daya
Manusia
Produktivitas kerja karyawan
Analisis Risiko (1)
• Kesalahan sistem TI dalam melakukan
pengolahan data
• Kegagalan sistem TI yang mendukung
produk/proses bisnis
• Kehilangan historis data
• Kehilangan aset
Analisis Risiko (2)
• Kebocoran data dan informasi perusahaan
• Kebocoran data dan informasi nasabah
• Pemadaman listrik
• Kegagalan jaringan komunikasi
• Kerusakan jaringan komunikasi
Contoh Register Risiko
ID
RISIKO
RISIKO
KATEGORI RISIKO
DESKRIPSI RISIKO
RISIKO
INHEREN
RTI001
Ketidaksesuaian persepsi dan
ekspektasi dalam penyusunan
kebutuhan pembuatan sistem TI.
Sistem Teknologi
Informasi
Ketidaksesuaian antara persepsi pembuat
sistem TI dan ekspektasi dari pengguna sistem
TI dalam masa pembuatannya.
Medium
RTI002
Penambahan biaya perawatan.
Sistem Teknologi
Informasi
Biaya perawatan aset yang dilmiliki oleh
perusahaan bertambah.
Low
RTI003
Kehilangan data dan informasi.
Keamanan Informasi
Data dan informasi yang dimiliki perusahaan
hilang.
Medium
RTI004
Kehilangan integritas data dan
informasi.
Keamanan Informasi
Data dan informasi perusahaan tidak
terintegrasi.
Medium
RTI005
Kebakaran
Sumber Daya Tenaga
Kebakaran.
Medium
RTI006
Pemadaman listrik
Sumber Daya Tenaga
Pemadaman listrik.
High
RTI007
Opini publik yang negatif.
Kepatuhan
Opini publik kepada perusahaan yang negatif
karena ada suatu hal yang berakibat buruk
bagi perusahaan.
Medium
RTI008
Sanksi dari pemerintah karena
tidak mematuhi peraturan.
Kepatuhan
Sanksi yang diberikan pemerintah kepada
perusahaan karena tidak mematuhi peraturan
yang berlaku.
Matriks Peta Risiko
BENCANA
RISIKO YANG DIAKIBATKAN DARI BENCANA
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Kebakaran
x x x x x x x x
Banjir
x x x x x x x x
Petir
x x x x x x x x
Gempa bumi
x x x x x x x x
Tsunami
x x x x x x x x
Asap
x x x
x
x x
Gunung meletus
x x x x x
x x
Pandemik
x
x
x
Chemical or Biological Hazard
x
x
x
Gangguan listrik
x x x
x x
x x x
Gangguan jaringan komunikasi
x
x x x x
Hacker
x x
x x
Cracker
x
x
x x
Virus
x
x x x
Kelompok massa
x x x x x x x x
x
Keterangan :
1 : Kerusakan aset 2 : Kerusakan infrastruktur 3 : Kerusakan data center 4 : Kerusakan jaringan komunikasi 5 : Kecelakaan karyawan6 : Kebakaran
7 : Pemadaman aliran listrik 8 : Pemadaman pelayanan
kepada pelanggan
9 : Penambahan biaya perawatan 10: Kehilangan aset
11: Kehilangan data dan informasi 12: Kerusakan sistem aplikasi 13: Kebocoran data & informasi
perusahaan
14: Kehilangan integritas data & informasi
15: Pencurian data dan informasi 16: Kegagalan sistem