Penerapan Manajemen Risiko Teknologi Informasi
If you can't read please download the document
Transcript of Penerapan Manajemen Risiko Teknologi Informasi
Penerapan Manajemen Risiko Teknologi Informasi
Tujuan Pelatihan
Kegiatan pelatihan ini dimaksudkan untuk memberikan bekal dan kecakapan kepada peserta dalam hal:
1.Mempelajari dan memahami langkah-langkah untuk mengambil pendekatan proaktif untuk pengelolaan resiko pada pemanfaatan IT di perusahaan, sejalan dengan upaya tata kelola perusahaan.
2.Memahami bagaimana mengidentifikasi dan menilai risiko yang terkait dengan teknologi informasi.
3.Praktek menggunakan kerangka berbagai penilaian dan alat untuk memantau dan melaporkan TI organisasi Anda risiko.
4.Mengembangkan Rencana Manajemen Risiko praktis.
RISK adalah suatu kemungkinan resiko yang terjadi dan menganalisa segala kemungkinan dampak terjadinya resiko tersebut.
Dalam ilmu Risk Management dikenal dan dijabarkan :
Risk : Segala kemungkinan potensi (positip/negatif ) kepada asset.
Risiko adalah efek dari ketidakpastian terhadap tujuan (ISO guide 73:2009).
==
Dalam struktur organisasi, Information Technology Risk Officer berada pada Operational Risk Department dan memiliki tanggung jawab melakukan identifikasi current risks dan potensi risiko yang berkaitan dengan penyelenggaraan teknologi informasi mencakup aspek sesuai yang digariskan dalam Peraturan Bank Indonesia Nomor 9/15/PBI/2007 tanggal 30 November 2007, tentang Pedoman bagi Bank dalam Penerapan dan Pelaksanaan Manajemen Risiko dibidang Teknologi Informasi Secara Terpadu. Dalam pedoman tersebut dicantumkan bagaimana melakukan identifikasi, pengukuran, pemantauan, serta pengendalian dan sistem manajemen risiko terkait dengan perencanaan, pengembangan, pengadaan, dan pengelolaan teknologi informasi yang menjadi satu kesatuan dengan fungsi dan organisasi manajemen risiko pada bank.
Menegakkan prinsip Information Technology (IT) Governance agar investasi teknologi informasi dapat memberikan benefit kepada pencapaian bisnis. IT Governance meliputi:
Strategic Alignment : IT Strategic Plan harus selaras dengan Business Strategic Plan
Value Delivery : Semua IT Project harus memberikan value kepada bisnis
Risk Management : Memastikan bahwa semua Inherent IT Risk telah dikelola secara baik
Resources Management : Memastikan bahwa semua IT Resources telah dikelola secara baik dan benar
Performance Measurement : Memastikan bahwa IT Performance KPI (Key Performance Indicator) telah dipenuhi secara baik dan benar
Melakukan IT Risk Assessment untuk : (1) Mengenali inherent risk maturity level, (2) Risk profile (3) Risk registry masing-masing aspek penyelenggaraan teknologi informasi yang meliputi :
Manajemen
Pengembangan dan Pengadaan Sistem
Aktivitas Operasional
Jaringan Komunikasi
Pengamanan Informasi
BCP (Business Continuity Planning)
EUC (End User Computing)
Electronic Banking
Penggunaan Pihak Penyedia Jasa Teknologi Informasi
===============
IT Risk Management
Seperti kita bersama-sama pahami, pemanfaatan Teknologi Informasi (TI) selain mendatangkan benefit bagi perusahaan juga menghadirkan risiko.
Risiko ini tentunya dapat mengakibatkan kerugian baik materiil (seperti kerugian finansial) ataupun immateriil (hancurnya image, hilangnya loyalitas pelanggan dll.) bagi bisnis perusahaan. Bahkan tidak mustahil risiko tersebut bisa berdampak pada ditutupnya perusahaan.
Risiko yang timbul akibat penggunaan TI ini seringkali tidak dapat dihindari atau ditiadakan sama sekali, sehingga yang dapat dilakukan adalah bagaimana kita mengelola risiko tersebut sehingga dampaknya masih dapat diterima oleh perusahaan. Di sini fokus dari IT Risk Management, dimana perusahaan berupaya mengelola setiap potensi risiko akibat penggunaan TI dengan mempertimbangkan cost and benefit dari setiap solusi terkait risiko tersebut.
Berbagai macam risiko dapat timbul akibat dari penggunaan TI biasanya disebabkan karena adanya sumber ancaman, kesempatan/ancaman itu sendiri dan juga kerentanan (vulnerability) yang dimiliki TI yang diimplementasikan.
=========
http://cobitindo.blogspot.com/2013/04/it-risk-management-framework-by-cobit.html
==============
Contoh Risk Assessment
http://www.jaringan-komputer.cv-sysneta.com/contoh-risk-assessment
By Ali Hariono
Membuat penilaian resiko
Salah satu tugas dalam membuat suatu Rencana kesinambungan bisnis dan penanggulangan bencana (business continuity and disaster recovery plan) dalam suatu corporate adalah membuat penilaian resiko (Risk assessment). Begitu informasi ini telah dikumpkan dan diberikan prioritas, maka organisasi anda bisa mulai mengimplementasikan ukuran-ukuran untuk mencegah atau melakukan recovery dari resiko tersebut andai kata hal atau bencana itu akan pernah terjadi.
Pertama kali yang perlu anda lakukan adalah menggali sebanyak-banyaknya potensi / resiko bahaya yang sekiranya bisa mengancam bisnis atau organisasi anda. Mengidentifikasi resiko-resiko dalam suatu jaringan computer dalam organisasi / bisnis anda bukanlah suatu proses yang rumit, karena anda menghadapi technology computer yang bisa ditebak. Yang perlu anda lakukan adalah menentukan faktor-faktor / ancaman apa saja yang kira-kira bisa menyebabkan infrastructure system jaringan komputer anda menjadi terganggu ketersediannya dan bagaimana hal tersebut akan menyebabkan dampak pada bisnis anda.
Scenario
Paragraph-2 berikut menjelaskan contoh suatu penilaian resiko (risk assessment) dalam suatu jaringan komputer dalam suatu organisasi. Sebelumnya perlu diketahui penjelasan-penjelasan tentang pertimbangan-pertimbangan systematis dalam melakukan risk assessment.
Tingkat bahaya bisnis yang bisa saja terjadi sebagai akibat dari suatu kegagalan system, memasukkan semua konsekwensi2 potensi dari kehilangan kepercayaan, integritas atau ketersediaan dari system informasi dan juga asset-asset yang lainnya.
Dengan adanya ancaman-ancaman dan kelemahan-2 serta system kendali yang sudah diterapkan sekarang, bisa saja kemungkinan terjadi suatu kegagalan.
Hasil dari audit anda mengenai penilaian resiko / risk assessment ini harus deregister dengan rapi menggunakan form seperti gambar berikut ini yang kemudian diharapkan bisa membantu anda dalam menentukan tindakan management yang memadai dan juga menentuklan prioritas-prioritas dalam majemen resiko keamanan informasi anda, serta mengimplementasikan control yang dipilih untuk melindungi resiko-resiko ini. Proses risk assessment ini tidak hanya dilakukan sekali saja, anda bisa melakukannya berkali-kali agar bisa meng-cover semua bagian-bagian yang berbeda dalam organisasi anda.
Gambar / diagram berikut ini adalah suatu studi kasus dalam suatu jaringan komputer yang ada disuatu lingkungan industry dimana ada dua gedung yang dipisahkan oleh jarak yang lumayan jauh yaitu sebuah Yard / Pelataran pabrik.
network diagram mining office
Identifikasi resiko
Mengacu pada diagram ini anda perlu melakukan identifikasi semua kemungkinan resiko keamanan yang bisa saja terjadi yang menyebabkan dampak terganggunya kelangsungan bisnis anda. Semua resiko-resiko ini haruslah deregister kedalam form berikut ini.
Risk assessment template
Klik disini untuk memperbesar gambar.
Identifikasi semua resiko dalam diagram jaringan komputer ini, dan masukkan dalam register form risk assessment.
Resiko #1 Masalah Kabel Backbone Uplink
Fungsi bisnis: satu kabel jaringan backbone yang menghubungkan gedung Mine Office dan gedung HR office.
Resiko ancaman: kabel Backbone putus / gagal
Konsekwensi: Semua komputer yang di Mine office akan terputus dari semua sumber daya jaringan termasuk aplikasi-aplikasi bisnis
Tingkat Kemungkinan: Bisa Trejadi.
Kendali / Control Yang ada: Melindungi kabel jaringan backbone ini dengan jalan memasukkannya kedalam pipa metal dan dikubur kedalam tanah sedalam 30 Cm dibawah permukaan tanah. Tingkat kendali ini kurang mencukupi mengingat diatasnya adalah jalanan yang biasa dilalui oleh kendaraa alat berat.
Resiko #2 Router Rusak
Fungsi bisnis: Pendukung Komunikasi Global.
Resiko ancaman: Router rusak / terbakar
Konsekwensi: Semua jaringan komunikasi ke Internet global akan terputus
Tingkat Kemungkinan: Bisa Trejadi.
Kendali / Control Yang ada: Menyediakan router cadangan dengan sudah dikonfigurasi yang sama dengan yang ada sekarang. Dan setiap terjadi perubahan konfigurasi selalu diupdate kedalam router backup ini. Tingkat kendali ini sangat memadai.
Anda bisa mencari lagi resiko #3 dan seterusnya misal jika terjadi kerusakan / kegagalan dalam system file server anda, atau system email anda.
Kolom berikutnya yang juga perlu anda masukkan datanya adalah: Consequence Ratings / Tingkat Konsequensi; Tingkat Kemungkinan (Likelihood ratings); Tingkat Resiko (Level of Risk); dan Prioritas Resiko. Sesuai dengan skala bisnis anda, sebelumnya anda perlu mendefiniskan tingkat konsequency sesuai dengan lingkungan bisnis anda misal dalam contog dibawah ini untuk tingkat konsekwensi yang tinggi jika mempunyai tingkat kerugian Rp. 100 milyar keatas. Bisa saja dalam skala bisnis yang kecil anda meletakkan dampak kerugian sebesar 1 milyar untuk tingkat resiko tinggi.
Consequence
Tingkat Kemungkinan (Likelihood) Tingkat Resiko (Level of Risk) Prioritas Resiko (Risk Priority)
Tinggi (High): berdampak kerigian sampai Rp. 100 Milyar dalam organisasi anda atau dampak operasi yang sangat serius 1 Sangat mungkin (Highly possible) High Tingkat dampak sangat besar Resiko Tinggi (High Risk)
Medium: Berdampak antara 50-100 Milyar Rp dalam kerugian bisbis anda atau ancaman organisasi yang serius. 2 Mungkin / Possible Medium Dampak menengah Resiko medium (Medium risk)
Low: Dibawah Rp 50 Milyar atau dampak taktis dalam operasi bisnis organisasi anda 3 Kecil kemungkinan-nya / Likely Low Dampak Minimal Resiko rendah (Low Risks)
4 Jarang sekali terjadi /Not very likely
5 Tidak pernah terjadi / Never
Dalam contoh risk assessment ini, resiko #1 untuk kolom Likelihood diisi dengan Mungkin/Possible dan untuk kolom Konsekwensi diisi dengan Resiko medium / Medium risk. Begitu seterusnya untuk resiko-resiko berikutnya.
Untuk lebih jelas masalah Management resiko konsep dan petunjuk praktis, baca ebook saya tentang DR & Risk Management.
Semoga bermanfaat
============
IS Risk Management
http://polairut.wordpress.com/2011/10/22/is-risk-management/
Resiko adalah potensial bahaya yang mungkin timbul dari beberapa proses saat ini dan atau dari beberapa peristiwa dimasa depan. Dari perspektif Sistem Informasi , management resiko adalah memahami dan menanggapi faktor- factor yang dapat menyebabkan terjadinya kegagalan dalam integrasi, kerahasiaan, dan keamanan system informasi. Resiko ini akan membahayakan proses atau informasi yang dihasilkan dari beberapa peristiwa, baik yang disengaja maupun tidak disengaja. Resiko ini juga bisa berasal dari internal diri kita sendiri atau pihak ekternal yang mencoba untuk mencuri data kita.
Menurut G. Stoneburner 2002, IT risk management meliputi tiga proses:
1. Risk Assessment
Penilaian resiko (risk assessment) merupakan tahapan awal dalam pengendalian resiko. Manager menggunakan risk assessment untuk mengetahui tingkat ancaman yang potensial dan resiko yang berhubungan dengan seluruh proses system informasi.
Hasil dari proses ini, diharapkan semua potensi ancaman dapat dinilai sesuai dengan kategorinya. Yang mempunyai tingkat resiko yang paling tinggi akan mendapat prioritas dalam hal pencegahan, yang nantinya akan membantu para manager dalam mengendalikan resiko yang ada.
2. Risk Mitigation
Risk Mitigation adalah proses atau langkah- langkah yang untuk mengendalikan, mengevaluasi, pencegahan kembali dan control terhadap resiko yang terjadi. Dengan pengendalian yang tepat, dapat mengurangi tingkat resiko yang terjadi ke tingkaan paling minim sehingga tidak berpengaruh terhadap sumber daya dan bisnis yang berjalan, ehingga resiko yang terjadi tidak berulang.
3. Evaluation and assessment
Evaluasi terhadap management resiko harus terus dilakukan dan diperbaharui. Perkembangan teknologi yang pesat memungkinkan terjadinya serangan serangan (resiko- resiko) baru yang dapat mengancam sumber daya yang sebelumnya tidak mempunyai tingkat resiko.
Umumnya yang terjadi adalah setelah Risk Assessment dan Risk Mitigation dilakukan, evaluasi terhadap hasil kegiatan tersebut jarang dilakukan, sehingga tingkat resiko tetap tinggi. Misalnya, tidak ada evaluasi tahunan terhadap resiko resiko yang sudah ditentukan sebelumnya.
Salah satu tools untuk membantu Information System Risk management adalah OCTAVE-S. Para manager dapat menggunakan OCTAVE-S dalam penghitungan tingkatan resiko yang ada di perusahaan. OCTAVE-S digunakan jika perusahaan tsb terdiri kurang dari 100 orang yang terlibat langsung dalam IT. OCTAVE-S mempunyai 3 phase:
Phase 1:
Membangun/ menentukan asset berdasarkan profile ancaman
Pada phase ini akan memilih asset asset perusahaan dan memberikan peringkat berdasarkan tingkat resiko. Asset asset yang mempunyai nilai tingkat resiko yang paling besar akan menjadi prioritas utama dalam hal penanganan. Juga, pada tahap ini akan diidentifikasi kebutuhan keamanan yang dibutuhkan terhadap asset asset penting.
Aktivitas aktivitas pada proses ini antara lain:
Menerapkan kriteria dampak evaluasi
Mengidentifikasi asset penting perusahaan
Memilih asset penting perusahaan
Identifikasi keamanan yang dibutuhkan terjadap asset- asset penting
Phase 2:
Mengidentifikasi kerentanan Infrastruktur
Tahapan ini akan menguji semua tingkata infrastruktur terhadap asset asset penting, Semua jalur akses terhadap asset asset penting akan diuji untuk mengetahui tingkat kerentanan terhadap resiko serangan. Begitu juga dengan teknologi yang digunakan, akan diaudit apakah teknologi tersebut rentan terhadap serangan baik yang berasal dari pihak internal maupun external. Seiring dengan perkembangan teknologi yang semakin canggih, tingkat kerentanan teknologi menjadi masalah baru dalam IS Risk. Contoh kasusnya adalah maraknya SQLInjection pada website tertentu.
Aktivitas aktivitas pada proses ini antara lain:
Pemeriksaan jalur akses
Menganalisa teknologi yang dihubungkan dengan proses
Phase 3:
Membangun rencana Strategi Keamanan
Tahapan ini akan menggabungkan temuan dari phase 1 dan phase 2 untuk dibentuk rencana strategi keamanan yang baik. Pada tingkatan ini juga akan mengidentifikasi tingkat kemungkinan resiko yang akan terjadi, bagaimana cara penanganannya,
Output dari tahapan ini adalah pendekatan dan rencana pencegahan resiko, protection strategy dan rencana strategi kedepannya secara keseluruhan.
Aktivitas aktivitas pada proses ini antara lain:
Mengevaluasi dampak dari serangan
Mengevaluasi kemungkinan terjadinya serangan
Menentukan rencana pencegahan terhadap resiko
menentukan rencana kedepannya terkain risk management.
=========
Risk Assessment untuk Teknologi Informasi
http://qualityolife.blogspot.com/2011/05/risk-assessment-untuk-teknologi.html
Risk Assessment untuk Teknologi Informasi
Penilaian resiko (Risk Assesment) merupakan proses yang pertama di dalam metodologi manajemen resiko. Organisasi menggunakan penilaian resiko untuk menentukan tingkat ancaman yang potensial dan resiko yang berhubungan dengan suatu sistem IT seluruh SDLC-nya (System Development Life Cycle). Hasil dari proses ini membantu ke arah mengidentifikasi kendali yang sesuai untuk mengurangi atau menghapuskan resiko ketika proses risk mitigation. Metodologi Penilaian Resiko meliputi sembilan langkah-langkah utama:
System Characterization
Di dalam memperkirakan penilaian resiko untuk suatu sistem IT, langkah yang pertama adalah menggambarkan scope of the effort. Pada langkah ini, batasan-batasan dari IT mulai diidentifikasi, bersama dengan sumber daya dan informasi yang menjadi dasar sistemnya. Karakter suatu sistem IT dikenali, untuk menetapkan ruang lingkup usaha penilaian resiko, menggambarkan batasan-batasan otorisasi operasional, dan menyediakan informasi yang penting untuk menjelaskan resiko.
Threat Identification
Melakukan identifikasi terhadap ancaman-ancaman yang ada maupun akan ada. Identifikasi dilakukan pada sumber ancaman (threat-source) yang dapat dibagi atas 3 macam ancaman, yaitu:
a.Natural Threats, seperti banjir, gempa bumi, tornado dan lainnya.
b.Human Threats, seperti akses tidak terotorisasi pada informasi rahasia.
c.Environmental Threats, seperti kegagalan suplai listrik pada waktu yang lama.
Vulnerability Identification
Melakukan identifikasi kelemahan-kelemahan yang ada dalam sistem yang dapat digunakan oleh orang luar melakukan ancaman. Identifikasi dilakukan dengan melihat asal dari kelemahan tersebut dengan melihat informasi mengenai identifikasi sistem informasi. Kelemahan-kelemahan dapat berupa isu keamanan pada aplikasi maupun sistem operasi yang digunakan dalam sistem informasi tersebut.
Control Analysis
Tujuan dari langkah ini adalah melakukan analisa terhadap kontrol-kontrol atau pengendalian-pengendalian yang telah dipasang ataupun yang direncanakan untuk dipasangkan pada sistem dengan tujuan untuk meminimalkan atau menghilangkan ancaman-ancaman terhadap kelemahan sistem.
5 Likelihood Determination
Proses ini memberikan rating terhadap kemungkinan-kemungkinan yang nampak yang ditentukan oleh motivasi sumber ancaman dan kemampuannya, kelemahan-kelemahan dan kontrol atau pengendalian yang ada saat ini.
6 Impact Analysis
Pada langkah ini dilakukan analisa akibat yang mungkin dihasilkan oleh ancaman terhadap kelemahan sistem. Beberapa akibat-akibat yang terlihat dapat diukur secara kualitatif dengan hilangnya pendapatan, biaya perbaikan atau tingginya usaha yang harus dikeluarkan untuk memperbaiki masalah tersebut.
7 Risk Determination
Tujuan dari langkah ini adalah untuk melakukan penilaian berjenjang kepada resiko-resiko yang ada dalam sistem informasi menjadi bentuk daftar prioritas. Dengan daftar ini, penanggulangan resiko dengan pengendalian-pengendalian dapat dilakukan sesuai dengan prioritasnya. Untuk mengukur resiko maka suatu skala resiko dan matrik resiko harus dikembangkan.
8 Control Recommendations
Pada langkah ini, kontrol-kontrol yang dapat mengurangi maupun menghilangkan resiko-resiko yang berhasil diidentifikasikan akan direkomendasikan. Tujuannya adalah untuk mengurangi nilai resiko terhadap sistem informasi ke level yang dapat diterima.
9. Results Documentation
Proses dokumentasi terhadap seluruh proses pengerjaan risk assessment yang berbentuk laporan-laporan yang berisikan hasil identifikasi, analisa dan rekomendasi.
=============
