IT Risk Management
Definisi:
1. Ancaman (threat):
Suatau ancaman dapat terjadi disebabkan oleh karena adanya kelemahan (internal maupun eksternal).
2. Kerawanan (vulnerability):
Kerawanan yang berhasil diekspolitasi akan menjadi sebuah ancaman.
3. Dampak (impact):
Dampak adalah efek yang terjadi karena kerawanan atau kelemahan yang berhasil dieksploitasi.
Jenis Risiko
1. Strategic Risk: risiko yang berada pada level tertinggi organisasi, dapat berpengaruh kepada visi & misi organisasi. Apabila risiko berhasil dieksploitasi dapat menyebabkan kerugian finansial, reputasi atau denda finansial. Contoh: pencurian data/informasi perusahaan, fraud, business interruption
2. Operational Risk: risiko yang bersifat 'daily' atau rutin yang dihadapi oleh organisasi dalam melakukan aktivitas keseharian. Dapat mengganggu dan menyebabkan kerugian vital jika tidak ditanggapi. Contoh: Virus, Worm
3. (Tactical Risk): risiko yang berada diantara strategic dan operational risk atau yang menjembatani antara strategic dan operational risk.Umumnya yang menghadapi risiko ini adalah middle tier management.
Ruang Lingkup Keamanan Informasi:
1. People
Contoh: untuk menjamin keamanan informasi maka orang-orang harus diberikan awareness akan pentingnya menjaga kerahasiaan informasi
2. Process
Contoh: untuk menjamin keamanan informasi maka untuk mengakses sebuah dokumen rahasia harus melalui proses validasi atau otentikasi.
3. Technology
Contoh: untuk menjamin keamanan informasi maka diharuskan untuk menggunakan teknologi enkripsi untuk password agar tidak dapat diketahui oleh orang lain
Response Global terhadap Pengendalian Risiko
1. Standardisasi: dikeluarkan oleh badan sertifikasi internasional atau organisasi lokal dengan tujuan manajemen risiko untuk terciptanya "Good IT governance" (tatakelola TI yang baik)
Dibuat agar organisasi internasional dan lokasi memiliki satu standard baku
Dimonitor oleh divisi kepatuhan/compliance dan audit internal
Audit berkala perlu dilakukan oleh auditor eksternal untuk mendapatkan opini independen
Contoh standardisasi yang berkaitan dengan keamanan informasi: ISO27001 (untuk any organization), SCADA (untuk gas & oil company), SAS70 (untuk auditing), PCI-DSS (kartu kredit), Sarbanes-Oxley (untuk akuntansi)
2. Regulasi: dikeluarkan oleh pemerintah/regulator lokal demi terciptanya good governance
Sanksi berupa pidana dapat diterapkan oleh negara/regulator jika terjadi pelanggaran regulasi
Contoh regulasi yang berkaitan dengan keamanan informasi: UU ITE (Informasi dan Transasksi Elektronik),
UU 14/2008 tentang Keterbukaan Informasi Publik,
PBI 9/15/2007 tentang Penerapan Manajemen Risiko TI oleh Bank Umum.
Prinsip Keamanan Informasi:
Confidentiality = keamanan informasi harus mampu menjaga kerahasiaan sebuah informasi sehingga tidak mudah diketahui oleh orang yang tidak berhak.
Integrity = keamanan informasi harus mampu menjaga integritas (keutuhan) sebuah informasi, terutama pada saat pengiriman informasi tsb. sehingga informasi yang diterima sama dengan yang dikirimkan
Availability = keamanan informasi harus mampu menjaga ketersediaan informasi sehingga para pengguna dapat mendapatkan informasi tsb. ketika membutuhkannya
Accountability = keamanan informasi harus mampu menjaga akuntabilitas pihak-pihak yang menerima informasi tersebut.
Risk Management Process
Risk Mitigation = langkah-langkah yang dilakukan untuk mengidentifikasi risiko terhadap aset TI
Risk Assessment = langkah-langkah yang dilakukan untuk memperkecil risiko yang teridentifikasi melalui proses Risk Mitigation
Continuous Evaluation = langkah-langkah continuity untuk memperkecil risiko dalam TI
Risk Mitigation
Accept: Risiko diterima dengan menerapkan kontrol untuk memperkecil efek dari risiko tsb.
Transfer: Risiko ditransfer ke pihak ketiga
Ignore: Risiko diabaikan atau tidak ditindaklanjuti karena tidak berpengaruh kepada bisnis
Success Factor Keamanan Informasi
1. Adanya komitmen dari manajemen senior
2. Adanya full support dan partisipasi dari tim TI
3. Adanya komitmen dalam menjalankan program manajemen risiko (kontrol)
4. Adanya awareness (kesadaran) dan kerjasama dari user TI
5. Adanya proses monitoring terhadap risiko secara continual dan menurunkan ke tingkat yang dapat diterima
4 comments
Bagaimana caranya mengukur secara kuantitatif besarnya suatu ancaman thd suatu sistem berbasis IT?
Untuk menghitung nilai risiko terhadap suatu sistem informasi berbasis IT maka terlebih dahulu kita harus mengetahui, dengan cara melakukan asesmen, terhadap kecenderungan ancaman dan besarnya dampak yang ditimbulkan.
Menurut standar NIST SP800-30, kecenderungan ancaman dikategorikan menjadi 3 (tiga), yakni jarang (0.1), sedang (0.5) dan sering (1.0). Besarnya dampak juga dikategorikan 3 (tiga), yakni rendah/kecil (10), Sedang (50) dan tinggi/besar (100).
Jadi nilai risiko = kecenderungan ancaman x dampak.
Skala untuk nilai risiko:
Rendah: 1-10
Sedang: >10-50
Tinggi: >50-100
Contoh:
Besarnya kecenderungan ancaman peretasan (hacking) terhadap situs online perbankan adalah sedang, namun jika telah berhasil diretas maka dampaknya akan menjadi besar.
Secara kualitatif, berapakah nilai risiko sistem atau situs online perbankan tsb.?
Jawab:
Kecenderungan ancaman: Sedang = 0.5
Dampak: Besar= 100
Maka nilai risiko = 0.5 x 100 = 50.
Sesuai kategori risiko, maka nilai 50 masih dalam ambang batas SEDANG.
Semoga penjelasan yang cukup panjang ini dapat mencerahkan.
Terima kasih atas penjelasannya. Bagaimana cara utk menurunkan tingkat risiko tsb.? Apakah bisa dg cara mengurangi kecenderungan ancaman atau mengurangi dampak atau dua-duanya? Mohon pencerahannya? Trims...
Bisa kedua-duanya dengan cara melakukan kontrol terhadap kecenderungan dan dampak. Kecenderungan bisa dikurangi misalnya dengan melakukan maintenance regular terhadap sistem berbasis IT. Dampak bisa dikurangi misalnya dengan penyediaan backup system IT. Jika kecenderungan dan dampak dapat dikurangi maka secara keseluruhan tingkat risiko juga bisa dikurangi. Tingkat risiko sisa setelah dilakukan kontrol disebut "residual risk".
EmoticonEmoticon