Manajemen Resiko | Pertemuan 2

Suryo Widiantoro, ST, MMSI, M.Com(IS)

Sub-CPMK 2 Mahasiswa mampu menggambarkan pembuatan

keputusan dalam manajemen resiko (C2)

1) Pembuatan keputusan

2) Komponen kunci resiko

3) Komunikasi resiko

Keputusan untuk mengelola resiko TI

adalah tanggung jawab perusahaan →

keputusan harus obyektif dan

berdasarkan pemahaman akan resiko

Keputusan akan berdampak pada

bisnis dan tujuan yang ingin dicapai

perusahaan

Contoh keputusan manajemen resiko terkait TI:

Persetujuan anggaran untuk merancang system

Persetujuan penggunaan infrastruktur system informasi

Keputusan harus diambil oleh orang yang tepat di waktu yang tepat, dengan saran dan dukungan yang tepat

Perlu memiliki pengetahuan dan keterampilan bisnis, teknologi, sekuriti untuk menghasilkan keputusan yang obyektif

Mengambil resiko adalah bagian dari melakukan bisnis untuk

menciptakan peluang dan membantu mencapai tujuan

bisnis → perusahaan harus waspada terhadap resiko yang

diambil untuk mencapai tujuannya

Untuk itu perlu konteks sebagai dasar melakukan manajemen

resiko dan penilaian resiko, misalnya

Apa yang ingin dicapai perusahaan?

Apa saja aset bisnis yang terlibat?

Struktur seperti apa yang mendukung

pengambilan keputusan manajemen resiko?

Penilaian resiko memiliki input dan output → resiko dianggap

sebagai konsekuensi dari input→ input harus dipahami dan

bermakna dalam konteks bisnis serta apa yang ingin dicapai

Apa saja inputnya..?

• Ancaman (threat)

• Kerentanan (vulnerability)

• Dampak (impact)Input utama

• Kemungkinan (likelihood)

• Nilai aset (asset value)

Input tambahan

1# Ancaman

Ancaman menggambarkan sumber dari resiko yang sedang

terjadi

Contoh ancaman terhadap sistem dan layanan:

Orang yang mau menghancurkan bisnis melalui

teknologi

Bahaya seperti bencana alam dan kecelakaan

Catatan:

Beberapa ancaman tidak dapat dikendalikan perusahaan → harus

ada prioritas resiko mana yang penting dan dapat dikendalikan

2# Kerentanan

Kerentanan adalah kelemahan yang dapat dimanfaatkan oleh ancaman untuk memberikan dampak

Sistem atau layanan dapat dijebol melalui pemanfaatan kerentanan pada orang, tempat, proses, atau teknologi

Saat menilai resiko, perusahaan harus memastikan bahwa mereka memahami dimana dan bagaimana sistem dan layanan terdapat kerentananPerusahaan mungkin tidak bisa mengendalikan ancaman, tapi perusahaan bisa mengurangi kerentanan

3# Dampak

Dampak menggambarkan konsekuensi dari resiko yang sedang terjadi

Untuk mengevaluasi resiko dan menyusun prioritas → maka dampak harus menentukan efek negatif dari terjadinya resiko, misalnya:

Kehilangan dalam hal finansial dan reputasi

Tujuan bisnis tidak tercapai

Perusahaan dapat berusaha mengendalikan dampak negatif dengan membuat perencanaan sebelum resiko terjadi

4# Kemungkinan

Kemungkinan adalah estimasi apakah ancaman akan terjadi atau tidak

Ini bisa dihitung dengan memeriksa catatan riwayat peristiwa kebobolan untuk memperkirakan bagaimana sejarah akan terulang

Catatan:

Pengukuran kejadian lampau tidak harus menjadi penentu apa yang akan terjadi di masa depan

5# Nilai aset

Nilai aset digunakan untuk menyediakan pemahaman terhadap sistem, layanan, informasi atau aset lain apa yang menjadi perhatian utama perusahaan

Pemahaman ini akan memberikan perusahaan pandangan apa yang harus benar2 dilindungi

Penilaian aset adalah kunci pertimbangan saat menentukan dampak input untuk tujuan penilaian resiko

Output harus:

Memiliki makna

Dapat dipahami

Realistis

Dalam konteks

Sehingga dapat digunakan untuk keputusan manajemen resiko

INPUT

• Ancaman

• Kerentanan

• Dampak

• Kemungkinan

• Nilai aset

PENILAIAN

RESIKO

OUTPUT

• Teknis

• Non-teknis

Input harus selalu dipantau dan diperbarui setiap 6 bulan (bila

diperlukan) atau saat perubahan terjadi pada ancaman atau

lingkungan teknologi → kerentanan teknologi diketahui, ada

penyerang baru yang mengincar perusahaan

Diperlukan komunikasi yang konsisten sehingga setiap

perubahan dapat segera diketahui untuk dilakukan

penilaian resiko kembali

UNTUK ITU

Hal-hal yang harus dapat dikomunikasikan antara lain:

Ancaman dalam konteks penilaian resiko yang telah

dilakukan

Kesediaan perusahaan untuk menerima resiko

Status resiko yang sedang dikendalikan

Pengukuran pengendalian yang diambil

Perusahaan harus membuat keputusan yang obyektif

mengenai apa yang perlu dilakukan untuk mengelola resiko

yang telah teridentifikasi → ini harus berdasarkan pemahaman

yang jelas terhadap resiko

Keputusan harus didukung oleh

informasi, para ahli dibidangnya,

dan bukti-bukti

Contoh informasi dan bukti untuk mendukung keputusan

manajemen resiko:

Pernyataan perusahaan mengenai resiko yang diambil dan

tidak diambil untuk mencapai tujuannya

Output penilaian resiko dalam konteks tujuan perusahaan

Biaya yang diperlukan untuk mengelola resiko

Bukti bahwa keamanan telah diterapkan untuk mengelola

resiko yang teridentifikasi

Status resiko yang telah dikelola/dikendalikan

Namun demikian tidak ada satupun sistem atau layanan yang benar2 “bebas resiko” atau 100% aman → selalu ada resiko yang tertinggal setelah tindakan manajemen resiko

Perusahaan sebaiknya memahami dan mengomunikasikan:

Resiko2 apa yang sedang dikelola secara aktif?

Bagaimana cara mereka dikelola?

Apakah perusahaan yakin tindakan yang dilakukan sudah efektif?

Apa ada resiko yang tidak dikelola sama sekali?

OLEH SEBAB ITU