Penerapan Manajemen Risiko Teknologi Informasi
April 8, 2020 | Author: Anonymous | Category: N/A
Short Description
Download Penerapan Manajemen Risiko Teknologi Informasi...
Description
Penerapan Manajemen Risiko Teknologi Informasi
Tujuan Pelatihan Kegiatan pelatihan ini dimaksudkan untuk memberikan bekal dan kecakapan kepada peserta dalam hal: 1.
Mempelajari dan memahami langkah-langkah untuk mengambil pendekatan proaktif untuk pengelolaan resiko pada pemanfaatan IT di perusahaan, sejalan dengan upaya tata kelola perusahaan.
2.
Memahami bagaimana mengidentifikasi dan menilai risiko yang terkait dengan teknologi informasi.
3.
Praktek menggunakan kerangka berbagai penilaian dan alat untuk memantau dan melaporkan TI organisasi Anda risiko.
4.
Mengembangkan Rencana Manajemen Risiko praktis.
RISK adalah suatu kemungkinan resiko yang terjadi dan menganalisa segala kemungkinan dampak terjadinya resiko tersebut. Dalam ilmu “Risk Management” dikenal dan dijabarkan : Risk : Segala kemungkinan potensi (positip/negatif ) kepada asset. Risiko adalah efek dari ketidakpastian terhadap tujuan (ISO guide 73:2009). == Dalam struktur organisasi, Information Technology Risk Officer berada pada Operational Risk Department dan memiliki tanggung
jawab melakukan identifikasi current risks dan potensi risiko yang berkaitan dengan penyelenggaraan teknologi informasi mencakup aspek sesuai yang digariskan dalam Peraturan Bank Indonesia Nomor 9/15/PBI/2007 tanggal 30 November 2007, tentang Pedoman bagi Bank dalam Penerapan dan Pelaksanaan Manajemen Risiko dibidang Teknologi Informasi Secara Terpadu. Dalam pedoman tersebut dicantumkan bagaimana melakukan identifikasi, pengukuran, pemantauan, serta pengendalian dan sistem manajemen risiko terkait dengan perencanaan, pengembangan, pengadaan, dan pengelolaan teknologi informasi yang menjadi satu kesatuan dengan fungsi dan organisasi manajemen risiko pada bank. Menegakkan prinsip Information Technology (IT) Governance agar investasi teknologi informasi dapat memberikan benefit kepada pencapaian bisnis. IT Governance meliputi: •
Strategic Alignment : IT Strategic Plan harus selaras dengan Business Strategic Plan
•
Value Delivery : Semua IT Project harus memberikan value kepada bisnis
•
Risk Management : Memastikan bahwa semua Inherent IT Risk telah dikelola secara baik
•
Resources Management : Memastikan bahwa Resources telah dikelola secara baik dan benar
•
Performance Measurement : Memastikan bahwa IT Performance KPI (Key Performance Indicator) telah dipenuhi secara baik dan benar
semua
IT
Melakukan IT Risk Assessment untuk : (1) Mengenali inherent risk maturity level, (2) Risk profile (3) Risk registry masing-masing aspek penyelenggaraan teknologi informasi yang meliputi : •
Manajemen
•
Pengembangan dan Pengadaan Sistem
•
Aktivitas Operasional
•
Jaringan Komunikasi
•
Pengamanan Informasi
•
BCP (Business Continuity Planning)
•
EUC (End User Computing)
•
Electronic Banking
•
Penggunaan Pihak Penyedia Jasa Teknologi Informasi
=============== IT Risk Management Seperti kita bersama-sama pahami, pemanfaatan Teknologi Informasi (TI) selain mendatangkan benefit bagi perusahaan juga menghadirkan risiko. Risiko ini tentunya dapat mengakibatkan kerugian baik materiil (seperti kerugian finansial) ataupun immateriil (hancurnya image, hilangnya loyalitas pelanggan dll.) bagi bisnis perusahaan. Bahkan tidak mustahil risiko tersebut bisa berdampak pada ditutupnya perusahaan. Risiko yang timbul akibat penggunaan TI ini seringkali tidak dapat dihindari atau ditiadakan sama sekali, sehingga yang dapat dilakukan adalah bagaimana kita mengelola risiko tersebut sehingga dampaknya masih dapat diterima oleh perusahaan. Di sini fokus dari IT Risk Management, dimana perusahaan berupaya mengelola setiap potensi risiko akibat penggunaan TI dengan mempertimbangkan cost and benefit dari setiap solusi terkait risiko tersebut. Berbagai macam risiko dapat timbul akibat dari penggunaan TI biasanya disebabkan karena adanya sumber ancaman, kesempatan/ancaman itu sendiri dan juga kerentanan (vulnerability) yang dimiliki TI yang diimplementasikan. =========
http://cobitindo.blogspot.com/2013/04/it-risk-management-frameworkby-cobit.html ==============
Contoh Risk Assessment http://www.jaringan-komputer.cv-sysneta.com/contoh-riskassessment By Ali Hariono Membuat penilaian resiko Salah satu tugas dalam membuat suatu Rencana kesinambungan bisnis dan penanggulangan bencana (business continuity and disaster recovery plan) dalam suatu corporate adalah membuat penilaian resiko (Risk assessment). Begitu informasi ini telah dikumpkan dan diberikan prioritas, maka organisasi anda bisa mulai mengimplementasikan ukuran-ukuran untuk mencegah atau melakukan recovery dari resiko tersebut andai kata hal atau bencana itu akan pernah terjadi. Pertama kali yang perlu anda lakukan adalah menggali sebanyakbanyaknya potensi / resiko bahaya yang sekiranya bisa mengancam bisnis atau organisasi anda. Mengidentifikasi resiko-resiko dalam suatu jaringan computer dalam organisasi / bisnis anda bukanlah suatu proses yang rumit, karena anda menghadapi technology computer yang bisa ditebak. Yang perlu anda lakukan adalah menentukan faktor-faktor / ancaman apa saja yang kira-kira bisa menyebabkan infrastructure system jaringan komputer anda menjadi terganggu ketersediannya dan bagaimana hal tersebut akan menyebabkan dampak pada bisnis anda. Scenario Paragraph-2 berikut menjelaskan contoh suatu penilaian resiko (risk
assessment) dalam suatu jaringan komputer dalam suatu organisasi. Sebelumnya perlu diketahui penjelasan-penjelasan tentang pertimbangan-pertimbangan systematis dalam melakukan risk assessment. Tingkat bahaya bisnis yang bisa saja terjadi sebagai akibat dari suatu kegagalan system, memasukkan semua konsekwensi2 potensi dari kehilangan kepercayaan, integritas atau ketersediaan dari system informasi dan juga asset-asset yang lainnya. Dengan adanya ancaman-ancaman dan kelemahan-2 serta system kendali yang sudah diterapkan sekarang, bisa saja kemungkinan terjadi suatu kegagalan. Hasil dari audit anda mengenai penilaian resiko / risk assessment ini harus deregister dengan rapi menggunakan form seperti gambar berikut ini yang kemudian diharapkan bisa membantu anda dalam menentukan tindakan management yang memadai dan juga menentuklan prioritas-prioritas dalam majemen resiko keamanan informasi anda, serta mengimplementasikan control yang dipilih untuk melindungi resiko-resiko ini. Proses risk assessment ini tidak hanya dilakukan sekali saja, anda bisa melakukannya berkali-kali agar bisa meng-cover semua bagian-bagian yang berbeda dalam organisasi anda. Gambar / diagram berikut ini adalah suatu studi kasus dalam suatu jaringan komputer yang ada disuatu lingkungan industry dimana ada dua gedung yang dipisahkan oleh jarak yang lumayan jauh yaitu sebuah Yard / Pelataran pabrik. network diagram mining office Identifikasi resiko Mengacu pada diagram ini anda perlu melakukan identifikasi semua kemungkinan resiko keamanan yang bisa saja terjadi yang menyebabkan dampak terganggunya kelangsungan bisnis anda. Semua resiko-resiko ini haruslah deregister kedalam form berikut ini. Risk assessment template Klik disini untuk memperbesar gambar.
Identifikasi semua resiko dalam diagram jaringan komputer ini, dan masukkan dalam register form risk assessment. Resiko #1 Masalah Kabel Backbone Uplink Fungsi bisnis: satu kabel jaringan backbone yang menghubungkan gedung Mine Office dan gedung HR office. Resiko ancaman: kabel Backbone putus / gagal Konsekwensi: Semua komputer yang di Mine office akan terputus dari semua sumber daya jaringan termasuk aplikasi-aplikasi bisnis Tingkat Kemungkinan: Bisa Trejadi. Kendali / Control Yang ada: Melindungi kabel jaringan backbone ini dengan jalan memasukkannya kedalam pipa metal dan dikubur kedalam tanah sedalam 30 Cm dibawah permukaan tanah. Tingkat kendali ini kurang mencukupi mengingat diatasnya adalah jalanan yang biasa dilalui oleh kendaraa alat berat. Resiko #2 Router Rusak Fungsi bisnis: Pendukung Komunikasi Global. Resiko ancaman: Router rusak / terbakar Konsekwensi: Semua jaringan komunikasi ke Internet global akan terputus Tingkat Kemungkinan: Bisa Trejadi. Kendali / Control Yang ada: Menyediakan router cadangan dengan sudah dikonfigurasi yang sama dengan yang ada sekarang. Dan setiap terjadi perubahan konfigurasi selalu diupdate kedalam router backup ini. Tingkat kendali ini sangat memadai. Anda bisa mencari lagi resiko #3 dan seterusnya misal jika terjadi kerusakan / kegagalan dalam system file server anda, atau system email anda. Kolom berikutnya yang juga perlu anda masukkan datanya adalah: Consequence Ratings / Tingkat Konsequensi; Tingkat Kemungkinan (Likelihood ratings); Tingkat Resiko (Level of Risk); dan Prioritas
Resiko. Sesuai dengan skala bisnis anda, sebelumnya anda perlu mendefiniskan tingkat konsequency sesuai dengan lingkungan bisnis anda misal dalam contog dibawah ini untuk tingkat konsekwensi yang tinggi jika mempunyai tingkat kerugian Rp. 100 milyar keatas. Bisa saja dalam skala bisnis yang kecil anda meletakkan dampak kerugian sebesar 1 milyar untuk tingkat resiko tinggi. Consequence
Tingkat Kemungkinan (Likelihood) Tingkat Risk) Prioritas Resiko (Risk Priority)
Resiko (Level of
Tinggi (High): berdampak kerigian sampai Rp. 100 Milyar dalam organisasi anda atau dampak operasi yang sangat serius 1 Sangat mungkin (Highly possible) High Tingkat dampak sangat besar Resiko Tinggi (High Risk) Medium: Berdampak antara 50-100 Milyar Rp dalam kerugian bisbis anda atau ancaman organisasi yang serius. 2 Mungkin / Possible Medium Dampak menengah Resiko medium (Medium risk) Low: Dibawah Rp 50 Milyar atau dampak taktis dalam operasi bisnis organisasi anda 3 Kecil kemungkinan-nya / Likely Low Dampak Minimal Resiko rendah (Low Risks) 4 Jarang sekali terjadi /Not very likely 5 Tidak pernah terjadi / Never Dalam contoh risk assessment ini, resiko #1 untuk kolom Likelihood diisi dengan “Mungkin/Possible” dan untuk kolom Konsekwensi diisi dengan “Resiko medium / Medium risk”. Begitu seterusnya untuk resiko-resiko berikutnya. Untuk lebih jelas masalah Management resiko konsep dan petunjuk praktis, baca ebook saya tentang DR & Risk Management. Semoga bermanfa’at ============
IS Risk Management http://polairut.wordpress.com/2011/10/22/is-risk-management/ Resiko adalah potensial bahaya yang mungkin timbul dari beberapa proses saat ini dan atau dari beberapa peristiwa dimasa depan. Dari perspektif Sistem Informasi , management resiko adalah memahami dan menanggapi faktor- factor yang dapat menyebabkan terjadinya kegagalan dalam integrasi, kerahasiaan, dan keamanan system informasi. Resiko ini akan membahayakan proses atau informasi yang dihasilkan dari beberapa peristiwa, baik yang disengaja maupun tidak disengaja. Resiko ini juga bisa berasal dari internal diri kita sendiri atau pihak ekternal yang mencoba untuk mencuri data kita. Menurut G. Stoneburner 2002, IT risk management meliputi tiga proses: 1. Risk Assessment Penilaian resiko (risk assessment) merupakan tahapan awal dalam pengendalian resiko. Manager menggunakan risk assessment untuk mengetahui tingkat ancaman yang potensial dan resiko yang berhubungan dengan seluruh proses system informasi. Hasil dari proses ini, diharapkan semua potensi ancaman dapat dinilai sesuai dengan kategorinya. Yang mempunyai tingkat resiko yang paling tinggi akan mendapat prioritas dalam hal pencegahan, yang nantinya akan membantu para manager dalam mengendalikan resiko yang ada. 2. Risk Mitigation Risk Mitigation adalah proses atau langkah- langkah yang untuk mengendalikan, mengevaluasi, pencegahan kembali dan control terhadap resiko yang terjadi. Dengan pengendalian yang tepat, dapat mengurangi tingkat resiko yang terjadi ke tingkaan paling minim sehingga tidak berpengaruh terhadap sumber daya dan bisnis yang berjalan, ehingga resiko yang terjadi tidak berulang. 3. Evaluation and assessment Evaluasi terhadap management resiko harus terus dilakukan dan
diperbaharui. Perkembangan teknologi yang pesat memungkinkan terjadinya serangan serangan (resiko- resiko) baru yang dapat mengancam sumber daya yang sebelumnya tidak mempunyai tingkat resiko. Umumnya yang terjadi adalah setelah Risk Assessment dan Risk Mitigation dilakukan, evaluasi terhadap hasil kegiatan tersebut jarang dilakukan, sehingga tingkat resiko tetap tinggi. Misalnya, tidak ada evaluasi tahunan terhadap resiko resiko yang sudah ditentukan sebelumnya. Salah satu tools untuk membantu Information System Risk management adalah OCTAVE-S. Para manager dapat menggunakan OCTAVE-S dalam penghitungan tingkatan resiko yang ada di perusahaan. OCTAVE-S digunakan jika perusahaan tsb terdiri kurang dari 100 orang yang terlibat langsung dalam IT. OCTAVE-S mempunyai 3 phase: Phase 1: Membangun/ menentukan asset berdasarkan profile ancaman Pada phase ini akan memilih asset asset perusahaan dan memberikan peringkat berdasarkan tingkat resiko. Asset asset yang mempunyai nilai tingkat resiko yang paling besar akan menjadi prioritas utama dalam hal penanganan. Juga, pada tahap ini akan diidentifikasi kebutuhan keamanan yang dibutuhkan terhadap asset asset penting. Aktivitas aktivitas pada proses ini antara lain: •
Menerapkan kriteria dampak evaluasi
•
Mengidentifikasi asset penting perusahaan
•
Memilih asset penting perusahaan
•
Identifikasi keamanan yang dibutuhkan terjadap asset- asset penting
Phase 2: Mengidentifikasi kerentanan Infrastruktur
Tahapan ini akan menguji semua tingkata infrastruktur terhadap asset asset penting, Semua jalur akses terhadap asset asset penting akan diuji untuk mengetahui tingkat kerentanan terhadap resiko serangan. Begitu juga dengan teknologi yang digunakan, akan diaudit apakah teknologi tersebut rentan terhadap serangan baik yang berasal dari pihak internal maupun external. Seiring dengan perkembangan teknologi yang semakin canggih, tingkat kerentanan teknologi menjadi masalah baru dalam IS Risk. Contoh kasusnya adalah maraknya SQLInjection pada website tertentu. Aktivitas aktivitas pada proses ini antara lain: •
Pemeriksaan jalur akses
•
Menganalisa teknologi yang dihubungkan dengan proses
Phase 3: Membangun rencana Strategi Keamanan Tahapan ini akan menggabungkan temuan dari phase 1 dan phase 2 untuk dibentuk rencana strategi keamanan yang baik. Pada tingkatan ini juga akan mengidentifikasi tingkat kemungkinan resiko yang akan terjadi, bagaimana cara penanganannya, Output dari tahapan ini adalah pendekatan dan rencana pencegahan resiko, protection strategy dan rencana strategi kedepannya secara keseluruhan. Aktivitas aktivitas pada proses ini antara lain: •
Mengevaluasi dampak dari serangan
•
Mengevaluasi kemungkinan terjadinya serangan
•
Menentukan rencana pencegahan terhadap resiko
•
menentukan rencana kedepannya terkain risk management.
========= Risk Assessment untuk Teknologi Informasi
http://qualityolife.blogspot.com/2011/05/risk-assessment-untukteknologi.html Risk Assessment untuk Teknologi Informasi Penilaian resiko (Risk Assesment) merupakan proses yang pertama di dalam metodologi manajemen resiko. Organisasi menggunakan penilaian resiko untuk menentukan tingkat ancaman yang potensial dan resiko yang berhubungan dengan suatu sistem IT seluruh SDLCnya (System Development Life Cycle). Hasil dari proses ini membantu ke arah mengidentifikasi kendali yang sesuai untuk mengurangi atau menghapuskan resiko ketika proses risk mitigation. Metodologi Penilaian Resiko meliputi sembilan langkah-langkah utama: •
System Characterization Di dalam memperkirakan penilaian resiko untuk suatu sistem IT, langkah yang pertama adalah menggambarkan scope of the effort. Pada langkah ini, batasan-batasan dari IT mulai diidentifikasi, bersama dengan sumber daya dan informasi yang menjadi dasar sistemnya. Karakter suatu sistem IT dikenali, untuk menetapkan ruang lingkup usaha penilaian resiko, menggambarkan batasanbatasan otorisasi operasional, dan menyediakan informasi yang penting untuk menjelaskan resiko.
•
Threat Identification Melakukan identifikasi terhadap ancaman-ancaman yang ada maupun akan ada. Identifikasi dilakukan pada sumber ancaman (threat-source) yang dapat dibagi atas 3 macam ancaman, yaitu: 5. Natural Threats, seperti banjir, gempa bumi, tornado dan
lainnya. 6. Human Threats, seperti akses tidak terotorisasi pada informasi
rahasia. 7. Environmental Threats, seperti kegagalan suplai listrik pada
waktu yang lama. •
Vulnerability Identification Melakukan identifikasi kelemahan-kelemahan yang ada dalam
sistem yang dapat digunakan oleh orang luar melakukan ancaman. Identifikasi dilakukan dengan melihat asal dari kelemahan tersebut dengan melihat informasi mengenai identifikasi sistem informasi. Kelemahan-kelemahan dapat berupa isu keamanan pada aplikasi maupun sistem operasi yang digunakan dalam sistem informasi tersebut. •
Control Analysis Tujuan dari langkah ini adalah melakukan analisa terhadap kontrol-kontrol atau pengendalian-pengendalian yang telah dipasang ataupun yang direncanakan untuk dipasangkan pada sistem dengan tujuan untuk meminimalkan atau menghilangkan ancaman-ancaman terhadap kelemahan sistem.
5 Likelihood Determination Proses ini memberikan rating terhadap kemungkinan-kemungkinan yang nampak yang ditentukan oleh motivasi sumber ancaman dan kemampuannya, kelemahan-kelemahan dan kontrol atau pengendalian yang ada saat ini. 6 Impact Analysis Pada langkah ini dilakukan analisa akibat yang mungkin dihasilkan oleh ancaman terhadap kelemahan sistem. Beberapa akibat-akibat yang terlihat dapat diukur secara kualitatif dengan hilangnya pendapatan, biaya perbaikan atau tingginya usaha yang harus dikeluarkan untuk memperbaiki masalah tersebut. 7 Risk Determination Tujuan dari langkah ini adalah untuk melakukan penilaian berjenjang kepada resiko-resiko yang ada dalam sistem informasi menjadi bentuk daftar prioritas. Dengan daftar ini, penanggulangan resiko dengan pengendalian-pengendalian dapat dilakukan sesuai dengan prioritasnya. Untuk mengukur resiko maka suatu skala resiko dan matrik resiko harus dikembangkan. 8 Control Recommendations Pada langkah ini, kontrol-kontrol yang dapat mengurangi maupun menghilangkan resiko-resiko yang berhasil diidentifikasikan akan direkomendasikan. Tujuannya adalah untuk mengurangi nilai resiko
terhadap sistem informasi ke level yang dapat diterima. 9. Results Documentation Proses dokumentasi terhadap seluruh proses pengerjaan risk assessment yang berbentuk laporan-laporan yang berisikan hasil identifikasi, analisa dan rekomendasi. =============
View more...
Comments