MITIGASI RISIKO KEAMANAN

SISTEM INFORMASI

Pengertian Risiko

•

Sesuatu yang buruk (tidak diinginkan), baik yang sudah diperhitungkan maupun yang belum diperhitungkan, yang merupakan suatu akibat dari suatu tindakan atau kegiatan.

• Ketidakpastian (uncertainty)

• Perubahan

Pengertian Mitigasi Risiko

•

Mitigasi Risiko adalah suatu tindakan terencana dan

berkelanjutan yang dilakukan oleh pemilik risiko agar bisa

mengurangi dampak dari suatu kejadian yang berpotensi

atau telah merugikan atau membahayakan pemilik risiko

tersebut.

Jenis-jenis Risiko Dalam Bisnis

•

Risiko Murni

• Risiko hilang/rusaknya aset yang dimiliki

• Kecelakaan kerja

• Risiko akibat tuntutan hukum

• Risiko operasional lainnya

• Bencana alam

•

Risiko spekulatif

• Risiko Perubahan Harga

• Perubahan harga input

• Perubahan harga output

• Risiko Kredit

Bentuk Kerugian Akibat Risiko

•

Kerugian Langsung

• Nominal yang harus ditanggung akibat dampak langsung risiko yang terjadi

•

Kerugian Tidak Langsung

• Kemungkinan sales/profit yang gagal diterima

• Munculnya biaya operasional tambahan

• Kesempatan investasi yang hilang

• Kerugian lainnya

Bagaimana Mengkalkulasi Risiko

•

Tentukan seberapa sering risiko tersebut terjadi (frekuensi atau probability)

•

Tentukan dampak yang timbul dari risiko yang terjadi

•

Hitung kemungkinan prediksi kerugian, dengan formula:

Frekuensi x Dampak

Contoh Mengkalkulasi Risiko

•

Risiko terjadinya kehilangan data

•

Frekuensi : 1 bulan 5 kali

•

Dampak : dalam setiap kejadian rata-rata kerugian yang ditanggung adalah Rp.300.000

•

Kemungkinan prediksi kerugian:

5 x Rp.300.000 = Rp. 1.500.000

•

Artinya: dalam satu bulan terdapat risiko kehilangan data yang

berpotensi menyebabkan kerugian sebesar Rp1,5 juta

Metodologi Manajemen Resiko

Identifikasi Aset

Analisis Resiko

Tindak Lanjut

Penilaian Risiko

•

Penilaian Risiko adalah metode yang sistematis untuk

menentukan apakah suatu kegiatan/aset mempunyai resiko yang dapat diterima atau tidak.

•

Penilaian Risiko membantu menciptakan kesadaran tentang bahaya dan risiko yang didapatkan dari aset yang dimiliki.

•

Tujuan : untuk mengurangi kemungkinan bahaya dengan

menambahkan langkah-langkah pengendalian yang diperlukan dan tindakan pencegahan.

•

Penilaian memprioritaskan bahaya dan membantu menentukan

apakah tindakan pengendalian yang ada memadai.

Langkah-langkah Identifikasi Risiko Evaluasi Nilai Risiko

•

Identifikasi Opsi Penanganan Resiko

•

Penentuan Rencana Pengendalian Resiko

•

Penghitungan nilai resiko yang diharapkan

Identifikasi Resiko (1)

•

Aset informasi adalah hal yang bernilai bagi perusahaan terkait dengan penyediaan suatu informasi

•

Klasifikasi aset informasi :

SOFTWARE

• PL aplikasi,

• PL sistem,

• PL pengembangan, dan utilitas

INFORMASI

• database dan file data,

• kontrak dan perjanjian,

• dokumentasi system,

• penelitian informasi,

• buku petunjuk,

• jejak audit,

• dsb

Identifikasi Resiko (2)

•

Klasifikasi ....

FISIK

• peralatan komputer,

• peralatan komunikasi,

• removable media,

• peralatan lainnya

PEOPLE

• kualifikasi,

• keterampilan,

• pengalaman

JASA (SERVICE)

• komputasi dan layanan komunikasi,

• utilitas umum,

• pemanas,

• penerangan,

• listrik,

• telepon,

• pipa servis,

• pelayanan genset,

• fotokopi,

• dll INTENGIBLE

• reputasi

• citra organisasi

Jenis-jenis Penilaian Resiko

•

Ada dua jenis Penilaian Resiko :

•

Kualitatif

• Menetapkan risiko pada tingkat penilaian dari yang tinggi ke rendah

•

Kuantitatif.

• Memberikan nilai finansial ke tingkat risiko.

• Membutuhkan tingkat pengetahuan tentang operasi bisnis yang lebih tinggi untuk secara akurat mencerminkan data yang

dibutuhkan untuk melakukan penilaian risiko perhitungan.

•

Sebagian besar organisasi melakukan penilaian Kualitatif

terlebih dahulu.

Penilaian Resiko Kualitatif (1)

Proses untuk menyelesaikan Penilaian Risiko Kualitatif dirinci dan mengharuskan penilai untuk mempertimbangkan langkah berikutnya.

1. Sistem bisnis harus dicirikan sepenuhnya

• Sistem harus sepenuhnya dipahami oleh asesor.

• Semua aspek sistem harus didokumentasikan oleh petugas bisnis yang bertanggung jawab atas bagian sistem tersebut .

• Asesor harus mengevaluasi dokumentasi ini terhadap pengamatan sistem untuk menyelesaikan deskripsi sistem

Penilaian Resiko Kualitatif (2)

2. Identifikasi semua potensi kerentanan terhadap sistem

• Kerentanan didefinisikan sebagai kelemahan yang secara tidak sengaja dipicu atau sengaja dieksploitasi terhadap sistem bisnis

• Tujuan utama dari Proses Penilaian Resiko adalah mengidentifikasi, untuk menghilangkan atau mengurangi potensi kerentanan terhadap sistem.

• Kerentanan dapat berkisar dari menonaktifkan akun pengguna atau kerentanan kode pemrograman yang memungkinkan hacker untuk menembus sistem untuk penggunaan berbahaya.

Penilaian Resiko Kualitatif (3)

3. Identifikasi semua ancaman potensial terhadap sistem

• Sumber ancaman didefinisikan sebagai metode yang memicu kerentanan, entah secara kebetulan atau dengan maksud jahat.

• Sumber ancaman :

• Ancaman alam : banjir, gempa bumi, badai berat, kebakaran, dll.

• Ancaman manusia : akses tidak sah ke sistem keamanan, entri data yang salah, dll.

• Ancaman lingkungan : pencemaran kimia, polusi, kegagalan daya, dll.

Penilaian Resiko Kualitatif (4)

4. Detil tindakan pencegahan yang telah ditetapkan untuk ancaman yang diketahui

• Langkah ini mengharuskan penilai meninjau penanggulangan yang ada untuk mengetahui ancaman yang diketahui dan menjelaskannya penanggulangan

• Kontrol penanggulangan keduanya bersifat teknis (perangkat keras komputer / kontrol perangkat lunak) dan kontrol non teknis (manajemen dan

operasional).

• Kontrol harus dikategorikan sebagai:

• Kontrol Pencegahan - bekerja secara preemptif untuk menghentikan ancaman dari pemanfaatan kerentanan sistem

• Kontrol Detektif - memperingatkan pelanggaran kebijakan keamanan melalui pemantau checksum, gangguan metode pendeteksian atau jalur audit.

Penilaian Resiko Kualitatif (5)

5. Menentukan tingkat risiko (impact analysis)

• Menentukan dampak buruk dari ancaman terhadap sistem.

• Misi sistem, kekritisan dan sensitivitas data dipertimbangkan dalam analisis dampak.

• Banyak organisasi menyebut ini sebagai Dampak Bisnis

• Analisis, dimana tingkat dampak diprioritaskan berdasarkan sensitivitas dan kekritisan aset jika terjadi kompromi terjadi.

• Analisis dampak disebut juga sebagai analisis kerugian, karena secara kualitatif kerugian bisa diakibatkan karena : integritas, ketersediaan dan kerahasiaan.

Penilaian Resiko Kualitatif (6)

• Kehilangan integritas data dapat menyebabkan ketidakakuratan, kecurangan atau pengambilan keputusan operasi bisnis yang buruk.

• Kehilangan Ketersediaan : Jika sistem tidak dapat diakses oleh pengguna, produktivitas dan / atau penjualan bisnis dapat terjadi terkena dampak. Hal ini mempengaruhi pendapatan, loyalitas pelanggan dan kehadiran bisnis.

• Kehilangan Kerahasiaan: Jika kerahasiaan data sistem dikompromikan, bisnis mungkin memiliki konsekuensi peraturan hukum dan industri, selain hilangnya kepercayaan masyarakat dan hilangnya pendapatan.

• Tingkat dampak / risiko ditetapkan sebagai Tinggi, Sedang atau Rendah untuk setiap area risiko untuk aset tertentu.

Penilaian Resiko Kualitatif (7)

6. Menentukan kemungkinan terjadinya kejadian pada sistem

• Kemungkinan insiden dievaluasi dengan mempertimbangkan faktor-faktor berikut: Motivasi sumber ancaman,karakterisasi kerentanan, dan efektivitas penanggulangan yang ada.

• Kemungkinannya dikategorikan sebagai rating tinggi, menengah atau rendah:

• Tinggi: sumber ancaman sangat termotivasi dan tindakan penanggulangan tidak efektif melawan ancaman tersebut.

• Sedang: sumber ancaman dimotivasi dan tindakan pencegahan mungkin efektif terhadap ancaman tersebut.

• Rendah: sumber ancaman tidak termotivasi dan tindakan penanggulangannya efektif terhadap ancaman tersebut.

Penilaian Resiko Kualitatif (8)

7. Identifikasi penanganan tambahan untuk mengimbangi risiko yang ditentukan

• Karena tindakan penanggulangan yang ada yang dievaluasi sebelumnya dalam proses Penilaian Resiko mungkin tidak efektif terhadap ancaman yang diidentifikasi selama proses Penilaian Resiko, tindakan pencegahan

tambahan disarankan sebagai bagian dari prosesnya

• Semua tindakan pencegahan harus dievaluasi berdasarkan biaya-manfaat sebelumnya pengembangan / implementasi

Penilaian Resiko Kualitatif (9)

8. Hasil Penilaian Resiko didokumentasikan oleh asesor dan didistribusikan ke semua petugas bisnis

• Asesor menyiapkan Laporan Penilaian Risiko untuk

mendokumentasikan semua temuan dan menghasilkan rating atau nilai akhir.

• Laporan penilaian dapat mengandung unsur analisis risiko kualitatif dan kuantitatif.

• Semakin rinci yang dilaporkan, semakin baik sebuah organisasi dapat melindungi terhadap ancaman potensial.

Penilaian Resiko Kuantitatif (1)

• Proses Penilaian Resiko Kuantitatif serupa dengan penilaian Kualitatif, hanya berbeda pada langkah # 5 dan # 6, di mana nilai moneter

dihitung untuk kemungkinan insiden dan tingkat risiko menghadapi organisasi

• Untuk menghitung kerugian risiko dalam bentuk uang, diperlukan tiga perhitungan sbb :

1. Menentukan SLE (Single Loss Expectancy) untuk aset tertentu.

2. Menentukan ARO (Annual Rate of Occurrence) untuk aset sebagai persentase.

3. Menentukan ALE (Annualized Loss Expectancy) untuk aset sebagai nilai moneter.

Penilaian Resiko Kuantitatif (2)

Menentukan SLE (Single Loss Expectancy) untuk aset tertentu.

• SLE adalah perbedaan antara nilai asli aset dan taksiran nilai yang tersisa setelah satu eksploitasi ke aset tersebut.

• SLE ($) = nilai aset ($) * Faktor Eksposur (%), dimana faktor paparan adalah perkiraan kehilangan ketersediaan dari aset bisnis karena eksploitasi.

• Eksploitasi bisa berupa kehilangan data, bencana alam, pencurian, perubahan atau data berbahaya yang dieksploitasi ke sistem TI.

• (Ini adalah Langkah 5 dalam Penilaian Resiko Kualitatif.)

Penilaian Resiko Kuantitatif (3)

Menentukan ARO (Annual Rate of Occurrence) untuk aset sebagai persentase.

• ARO adalah kemungkinan kejadian ancaman akan berhasil dalam kurun waktu satu tahun.

• Misalnya, jika bisnis terletak di wilayah geografis yang rentan terhadap gempa bumi, ARO bisa 20%, berdasarkan analisis kecenderungan tingkat gempa tahun sebelumnya.

• (Ini adalah Langkah 6 di Penilaian Resiko Kualitatif.)

Penilaian Resiko Kuantitatif (4)

Menentukan ALE (Annualized Loss Expectancy) untuk aset sebagai nilai moneter.

• ALE adalah perkiraan nilai yang harus diinvestasikan entitas bisnis untuk tindakan penanggulangan risiko terhadap aset.

• ALE ($) = ARO (%) * SLE ($) untuk aset tertentu.

• Dengan total ALE untuk setiap aset yang ditentukan bisnis sangat penting untuk dijaga, organisasi dapat melakukannya tentukan biaya untuk mengamankan sumber daya kelangsungan bisnis ATAU tentukan mitigasi biaya yang paling efektif strategi mungkin diperlukan

Contoh Perhitungan Penilaian Resiko Kuantitatif

(1)

Bob dan Jane telah membeli rumah baru seharga $ 100.000,00 di pantai. Bob memperkirakan jika terjadi badai, maka rumah mengalami kerugian sampai 50%.

 SLE = $ 100,000.00 * 50%

 SLE = $ 50,000.00

Tingkat rata-rata aktivitas badai untuk wilayah mereka adalah 2,2%, berdasarkan 22 badai di daerah itu selama 10 tahun terakhir. (ARO).

Jane ingin memastikan bahwa tabungan mereka dapat digunakan untuk menutupi kerusakan rumah jika terjadi sebuah badai, jadi dia

menghitung tingkat kerugian tahunan jika rumah mereka 50% hancur oleh badai.

Contoh Perhitungan Penilaian Resiko Kuantitatif

(2)

 ALE = 2,2% * $ 50,000.00

 ALE = $ 1,100.00

Hasil tersebut (ALE = $ 1,100.00) membuat Jane dan Bob harus melakukan strategi mitigasi dengan menambahkan $ 1,100.00 ke rekening tabungan mereka setiap tahun sebagai mitigasi jika terjadi bencana di rumah mereka.

Kuantitatif vs Kualitatif