Pedoman Pengelolaan Resiko

Transkripsi

1 UNIVERSITAS TELKOM No. Dokumen Tel_U-UT-WR1-DSI-DI-PM-001 Jl. Telekomunikasi No. 1 Ters. Buah Batu Bandung No. Revisi 00 Pedoman Pengelolaan Resiko Berlaku Efektif 17 Oktober 2016 Pedoman Pengelolaan Resiko DIREKTORAT SISTEM INFORMASI TELKOM UNIVERSITY JANUARI 2018

2 Pedoman Pengelolaan Resiko (Risk Management Guidelines) PENGESAHAN Disusun oleh : Disahkan oleh : Maya Setyawati Kabag. LOPSI Kiki Maulana A. Kabag. INTEN Dahliar Ananda Kabag. RISBANGSI Bani Setiaji Direktur SISFO 2

3 Revisi (Revision) Tanggal (Date) Riwayat Revisi (Revision History) Ringkasan Perubahan (Summary of Changes) Oktober 2016 Terbitan pertama 01 2 Januari Perubahan penomoran dokumen - Perubahan Struktur Organisasi Pembuat (Author) Manajer Direktorat Sistem Informasi TW Direktorat Sistem Informasi Page 3 of 19

4 DAFTAR ISI DAFTAR ISI PENDAHULUAN Latar Belakang Tujuan Dan Sasaran Referensi KONSEP MANAJEMEN RISIKO Konsep Dasar Manajemen Resiko Definisi Tanggung Jawab Dalam Proses Pengelolaan Risiko TI PENETAPAN KONTEKS RISIKO Umum Penetapan Konteks Risiko Konteks Eksternal Konteks Internal Luaran Dari Penetapan Konteks IDENTIFIKASI RISIKO Komunikasi dan Konsultansi Identifikasi Risiko Identifikasi Ancaman Dan Kerawanan PENILAIAN RISIKO Analisa dan evaluasi risiko Analisa Kontrol Yang Ada Kriteria Pengukuran Tingkat Kemungkinan / Kecenderungan Terjadinya Risiko Kriteria Pengukuran Dampak Risiko Penentuan Nilai Risiko PENGENDALIAN RISIKO Kriteria Pengendalian Risiko Dan Penentuan Nilai Risiko Akhir Pembuatan Risk Treatment Plan Penentuan Rencana Penanganan Risiko, PIC, Target Waktu Pembuatan Jadwal Implementasi Rencana Penanganan Risiko PEMANTAUAN RISIKO Pelaporan, Monitoring, Dan Review Page 4 of 19

5 1. PENDAHULUAN 1.1. Latar Belakang Organisasi dari semua jenis dan ukuran menghadapi faktor internal dan eksternal dan pengaruh yang membuat ketidak pastian apakah dan kapan mereka akan mencapai tujuan mereka. Efek ketidakpastian ini pada tujuan organisasi adalah "risiko". Universitas Telkom dalam menjalankan fungsinya didukung layanan Teknologi Informasi (TI) yang mampu mendukung dan meningkatkan operasional organisasi. Pedoman pengelolaan risiko ini dimaksudkan untuk membantu pelaksanaan pengelolaan risiko di Universitas Telkom. Hasil yang diharapkan adalah Universitas Telkom dapat membuat keputusan yang tepat, menjalankan rencana dan proses TI yang efektif, dan yang terpenting adalah Pengelolaan Risiko dapat diimplementasikan oleh seluruh personil. Tujuan utama proses pengelolaan risiko di suatu organisasi adalah untuk melindungi proses bisnis, aset organisasi dan kemampuan pengelolaan system teknologi informasi tersebut berdasarkan tujuan dan sasaran TI suatu organisasi. Manajemen risiko TI di Universitas Telkom membantu untuk memastikan layanan TI yang diberikannya berjalan selaras dengan strategi dan sasaran perusahaan melalui pengendalian risiko operasional Tujuan Dan Sasaran Proses pengelolaan risiko TI ini dimaksudkan untuk mengendalikan risiko berdasarkan proses penetapan konteks risko, penilaian risiko, dan melaksanakan tindakan dalam rangka mengurangi tingkat risiko hingga pada tingkatan yang dapat diterima dengan komunikasi dan konsultansi serta pemantauan dan kajian berkala. Sasaran pengelolaan risiko di Universitas Telkom adalah: Untuk mengidentifikasi risiko yang mungkin terjadi pada setiap proses bisnis Universitas Telkom dalam memberikan layanan. Untuk merencanakan pengendalian risiko yang dibutuhkan dalam rangka melakukan tindakan penanganan dan eliminasi risiko. Peningkatan efektivitas dan pelaksanaan pengelolaan risiko yang berkelanjutan Referensi Kebijakan Teknologi Informasi ini mengacu kepada beberapa aturan dan standar sebagai berikut: 1. ISO 31000:2009, sebagai referensi kerangka pengelolaan risiko, 2. ISO/IEC :2011 dan ITIL 2011, sebagai referensi untul layanan TI, 3. ISO/IEC 27001:2013, sebagai referensi untuk keamanan teknologi informasi. Page 5 of 19

6 2. KONSEP MANAJEMEN RISIKO 2.1. Konsep Dasar Manajemen Risiko Aktivitas dalam proses pengelolaan risiko meliputi registrasi risiko dan rencana pengendalian risiko. Registrasi risiko dilakukan dengan mencatat informasi tentang risiko-risiko yang dinilai dapat mengganggu proses bisnis. Registrasi risiko tersebut berisi daftar risiko yang harus diperbaharui secara periodik, sedangkan rencana pengendalian risiko merupakan tindakan-tindakan penanganan risiko. Pelaksanaan Pengelolaan Risiko meliputi beberapa siklus dan tahapan seperti pada gambar 2.1 berikut ini. Penetapan Konteks Komunikasi dan Konsultansi Risiko Penilaian Risiko Identifikasi Risiko Analisa Risiko Evaluasi Risiko Pemantauan & Kajian Risiko Pengendalian Risiko Gambar 2.1. Proses Pengelolaan Risiko Secara garis besar, pelaksanaan proses Pengelolaan Risiko terbagi menjadi 3 tahap yaitu : 1. Proses identifikasi risiko, berdasarkan konteks organisasi yang bertujuan untuk mengetahui seluruh gambaran risiko yang mungkin terjadi terhadap setiap aset milik organisasi. 2. Analisis dan evaluasi risiko, yang bertujuan untuk menilai tingkat risiko yang telah teridentifikasi. 3. Pemeliharaan risiko, yang bertujuan untuk memonitor pelaksanaan pengendalian risiko berdasarkan kontrol yang ditetapkan sehingga dapat meminimalisasi terjadinya risiko tersebut Definisi Tabel berikut ini berisi definisi-definisi umum dari manual pengelolaan risiko TI yang diterapkan oleh Universitas Telkom. Page 6 of 19

7 Tabel 2.1 Definisi-definisi Umum dari Pedoman Pengelolaan Risiko TI Istilah Analisis risiko Dampak Evaluasi risiko Identifikasi risiko Kecenderungan Kontrol Pengelolaan risiko Definisi Suatu metode untuk menentukan kemungkinan terjadinya kecenderungan dan dampak pada risiko tersebut. Tingkatan kerusakan yang disebabkan oleh terjadinya risiko relatif terhadap objektif. Proses yang dilakukan untuk menentukan jenis risiko dengan mendefinisikan dan membandingkan dengan kriteria risiko. Suatu rangkaian kegiatan untuk mengenali, mencatat, dan memetakan risiko yang dihadapi atau berpotensi dihadapi. Potensi / frekuensi kemingkinan terjadinya kejadian risiko Suatu proses yang dilakukan untuk mengendalikan risiko yang teridentifikasi. Serangkaian proses yang mencakup identifikasi, pengukuran, pengendalian, dan pemantauan risiko secara menyeluruh dan terintegrasi. Mitigasi Suatu pengendalian yang dilakukan untuk mengurangi terjadinya ancaman. Pemantauan risiko Penerimaan risiko Pengendalian risiko Pengukuran risiko Penilaian risiko Risiko Risiko bawaan (Inherent Risk/IR) Proses membandingkan perkiraan risiko dengan kriteria risiko untuk menentukan signifikansi dari risiko. Risiko yang diputuskan untuk diterima oleh organisasi. Suatu rangkaian kegiatan yang mencakup perencanaan dan pelaksanaan strategi, metode dan/atau cara yang ditujukan untuk mengurangi, mengalihkan, menghindari, dan/atau penetapan menerima Risiko. Suatu rangkaian kegiatan penilaian tingkat risiko yang dilakukan dengan menggunakan metode pengukuran kualitatif dan/atau kuantitatif, berdasarkan kecenderungan dan dampak dari suatu risiko. Suatu proses untuk mengidentifikasi, menganalisis, dan mengevaluasi risiko. Suatu peristiwa yang terjadi dan mempunyai dampak terhadap kelangsungan proses bisnis. Nilai risiko ini merupakan kombinasi dari kecenderungan dan dampak yang terjadi. Nilai risiko yang teridentifikasi sebelum adanya kontrol pengendalian risiko Page 7 of 19

8 Fasilitas & Monitoring Inputan Risiko Pelaporan Istilah Risiko residual (Residual Risk/RR) Rencana mitigasi risiko (Risk Treatment Plan/RTP) Definisi Nilai risiko sisa yang teridentifikasi setelah dilakukan kontrol pengendalian risiko. Upaya mitigasi risiko pada risiko-risiko yang tidak dapat diterima dengan melakukan pengendalian dengan cara avoid, control, transfer, dan accept 2.3. Tanggung Jawab Dalam Proses Pengelolaan Risiko TI Manajemen risiko TI dilaksanakan dan diintegrasikan dalam peran, tugas dan tanggung-jawab seluruh bagian kerja Universitas Telkom, mulai dari pimpinan sampai staf Universitas Telkom. Untuk proses pemantauan dan pelaporan, akan dibentuk suatu unit khusus yaitu Risk Officer (RO), dalam hal ini menjadi tanggung jawab dari Manager di Direktorat Sistem Informasi. Unit tersebut bertanggung jawab kepada penanggung jawab pengelolaan risiko TI di lingkungan kerja Universitas Telkom. Struktur tanggung jawab dan peran dalam pengelolaan risiko dapat dilihat seperti pada gambar 2.2 berikut. Penanggung Jawab Risiko Monitoring & Rekomendasi Direktur Sistem Informasi Risk Officer Manager Riset dan Pengembangan Sistem Informasi Manager Layanan Operasional Sistem Informasi Manager Infrastruktur dan Konten Personil Tel U Personil Tel U Personil Tel U Operasional Organisasi Gambar 2.2 Struktur Tanggung Jawab dan Peran dalam Pengelolaan Risiko Berikut ini penjelasan dari Gambar 2.2 tentang pembagian tanggung jawab dan peran Universitas Telkom dalam pengelolaan risiko TI. Direktur Sistem Informasi sebagai penanggung jawab proses pengelolaan risiko di Universitas Telkom mempunyai peran untuk : 1. Mendukung dan memonitor pelaksanaan proses pengelolaan risiko. Page 8 of 19

9 2. Mengambil keputusan dan tindakan yang diperlukan dalam pelaksanaan pengendalian risiko. 3. Memastikan sumber daya yang diperlukan dalam proses pengelolaan risiko tersedia dan mencukupi kebutuhan. Manager di Direktorat Sistem Informasi sebagai Risk Officer mempunyai tanggung jawab : 1. Melakukan review terhadap profil risiko untuk memastikan rencana pengendalian sudah dibuat. 2. Memastikan sumber daya, sistem, dan kontrol yang diperlukan dalam meminimalkan risiko yang teridentifikasi. 3. Memastikan adanya peningkatan pemahaman dan kompetensi melalui pelatihan bagi seluruh staf terkait dengan Pengelolaan Risiko TI dan kontrol pengendaliannya. 4. Mengidentifikasi, menganalisis, dan mengevaluasi risiko. 5. Memastikan adanya tindakan pengendalian yang tepat terhadap risiko. 6. Melaporkan hasil evaluasi risiko terkait dengan nilai risiko yang telah dievaluasi dan dianalisis serta menentukan rencana tindakan pengendalian yang diperlukan. 7. Memastikan proses Pengelolaan Risiko TI dilaksanakan sesuai jadwal pelaksanaan secara periodik berdasarkan pembagian tugas dan tanggung jawab. Personil Universitas Telkom yang mempunyai tanggung jawab: 1. Mengidentifikasi risiko yang ada dalam lingkup kerjanya dan melaporkan kepada Risk Officer secepatnya untuk dapat ditangani. 2. Mengelola dan mengendalikan risiko tersebut berdasarkan rencana pengendalian yang telah ditetapkan. Peran Risk Officer dapat diganti secara periodik melalui pendelegasian terhadap staf yang ditunjuk untuk menjalankan proses pengelolaan risiko di lingkungan Universitas Telkom. 3. PENETAPAN KONTEKS RISIKO 3.1. Umum Organisasi yang menetapkan konteks dalam pengelolaan risiko, dapat mengartikulasikan tujuannya, mendefinisikan parameter eksternal dan internal untuk diperhitungkan ketika mengelola risiko, dan menetapkan kriteria lingkup dan resiko untuk proses yang tersisa. Organisasi perlu perlu mempertimbangkan secara lebih rinci dan khususnya bagaimana organisasi berhubungan lingkungan internal dan eksternal yang sesuai dengan lingkup proses pengelolaan risiko yang ditetapkan. Page 9 of 19

10 3.2. Penetapan Konteks Risiko Konteks Eksternal Konteks eksternal adalah lingkungan eksternal di mana organisasi berusaha untuk mencapai tujuannya. Memahami konteks untuk memastikan bahwa tujuan dan harapan dari para pemangku kepentingan eksternal yang dipertimbangkan saat mengembangkan kriteria risiko. Hal ini didasarkan pada konteks organisasi yang luas, tapi dengan rincian spesifik persyaratan hukum dan peraturan, persepsi pemangku kepentingan dan aspek lain dari risiko khusus untuk lingkup proses pengelolaan risiko Konteks eksternal dapat meliputi, tetapi tidak terbatas pada: o sosial dan budaya, politik, hukum, peraturan, keuangan, teknologi, ekonomi, alam dan lingkungan yang kompetitif, apakah internasional, nasional, regional atau lokal; o pendorong utama dan tren memiliki dampak pada tujuan organisasi; dan o hubungan dengan, persepsi dan nilai-nilai dari para pemangku kepentingan eksternal. Konteks Internal Konteks internal lingkungan internal di mana organisasi berusaha untuk mencapai tujuannya. Proses pengelolaan risiko harus selaras dengan budaya, proses, struktur dan strategi organisasi. Konteks internal apapun dalam organisasi yang dapat mempengaruhi cara di mana sebuah organisasi akan mengelola risiko Konteks internal dapat mencakup, tetapi tidak terbatas pada: o Tata kelola, struktur organisasi, peran dan akuntabilitas; o Kebijakan, tujuan, dan strategi yang berada di tempat untuk mencapainya; o Kemampuan, terkait dalam hal sumber daya dan pengetahuan (misalnya modal, waktu, orang, proses, sistem dan teknologi); o Hubungan dengan dan persepsi dan nilai-nilai dari stakeholder internal; o Budaya organisasi; o Sistem informasi, arus informasi dan proses pengambilan keputusan (baik formal maupun informal); o Standar, pedoman dan model yang diadopsi oleh organisasi; dan o Bentuk dan hubungan kontraktual Luaran Dari Penetapan Konteks Luaran yang dihasilkan dari penetapan lingkup proses pengelolaan risiko di Universitas Telkom adalah bahwa organisasi dapat: o Mendefinisikan tujuan dan sasaran dari kegiatan manajemen risiko; o Mendefinisikan tanggung jawab untuk dan dalam proses manajemen risiko; o Mendefinisikan ruang lingkup, serta kedalaman dan luasnya kegiatan manajemen risiko yang akan dilakukan, termasuk inklusi dan pengecualian tertentu; o Mendefinisikan aktivitas, proses, fungsi, proyek, produk, layanan atau aset dalam hal waktu dan lokasi; Page 10 of 19

11 o Mendefinisikan hubungan antara proyek tertentu, proses atau kegiatan dan proyek-proyek lainnya, proses atau kegiatan organisasi; o Mendefinisikan metodologi penilaian risiko; o Mendefinisikan kinerja cara dan efektivitas dievaluasi dalam pengelolaan risiko; o Mengidentifikasi dan menentukan keputusan yang harus dibuat; dan o Mengidentifikasi, ruang lingkup atau kerangka yang dibutuhkan, luas dan tujuan organisasi, dan sumber daya yang diperlukan. 4. IDENTIFIKASI RISIKO 4.1. Komunikasi dan Konsultansi Identifikasi Risiko Rencana untuk komunikasi dan konsultasi harus dikembangkan pada tahap awal identifikasi risiko. Hal ini harus dapat mengidentifikasi kemungkinan masalahmasalah yang berkaitan dengan risiko itu sendiri, penyebabnya, konsekuensinya (jika diketahui), dan langkah-langkah yang diambil untuk memitigasinya. Komunikasi yang efektif eksternal dan internal dan konsultasi harus dilakukan untuk memastikan bahwa mereka bertanggung jawab untuk melaksanakan proses manajemen risiko dan pemangku kepentingan memahami dasar dimana keputusan dibuat, dan alasan mengapa tindakan tertentu yang diperlukan. Komunikasi dan konsultansi identifikasi risiko dapat: o membantu membangun konteks tepat; o memastikan bahwa kepentingan stakeholder dipahami dan dipertimbangkan; o membantu memastikan bahwa risiko diidentifikasi secara memadai; o membawa berbagai bidang keahlian bersama-sama untuk menganalisis risiko; o memastikan bahwa pandangan yang berbeda secara tepat dipertimbangkan ketika menentukan kriteria risiko dan dalam mengevaluasi risiko; o dukungan pemangku kepentingan untuk pengelolaan risiko; o meningkatkan manajemen perubahan yang tepat selama proses manajemen risiko; dan o mengembangkan komunikasi dan konsultasi rencana eksternal dan internal yang sesuai Identifikasi Ancaman Dan Kerawanan Proses identifikasi ancaman dan kerawanan ini sebaiknya dilakukan oleh personil Universitas Telkom. Proses identifikasi berhubungan dengan pengamanan teknologi informasi sehingga seluruh personil memahami kondisi risiko yang dapat terjadi dalam pelaksanaan proses bisnis Universitas Telkom. Proses identifikasi ancaman merupakan proses awal dalam mengidentifikasi risiko. Ancaman merupakan suatu peristiwa yang berpotensi mengkibatkan dampak negatif. Suatu ancaman belum dapat dikatakan sebagai risiko jika tidak disertai dengan kerawanan yang terjadi. Untuk mengidentifikasi ancaman tersebut. Proses mengidentifikasi kerawanan merupakan proses lanjutan setelah sumber ancaman telah diidentifikasi. Suatu kerawanan merupakan kelemahan terhadap Page 11 of 19

12 prosedur, sistem pengamanan organisasi, desain dan implementasi sistem, dan kontrol internal terkait operasional organisasi. Hal yang dapat diperbaiki dalam identifikasi ancaman dan kerawanan, antara lain: o Adanya perubahan sistem yang signifikan terhadap proses bisnis utama. o Insiden-insiden yang terjadi selama proses bisnis dijalakan. Aktivitas Kritikal Tabel yang dipergunakan dalam memetakan ancaman, dampak dan kecenderungan terhadap setiap proses bisnis kritikal dapat dilihat di tabel 4.1 berikut : Peristiwa Detail Peristiwa Dampak Langsung Tabel 4.1 Identifikasi Resiko Dampak Akhir MTPD Penjelasan Max Down Time Severity Probability Criticality level 5. PENILAIAN RISIKO 5.1. Analisa dan evaluasi risiko Analisa dan evaluasi risiko dilakukan dengan menilai tingkat risiko pada proses bisnis dari kemungkinan terjadinya risiko yang telah teridentifikasi. Dalam melakukan analisis risiko mengacu kepada: o Kontrol yang ada : proses dan prosedur, alat, dan kontrol lain yang telah ada dan dilakukan saat ini oleh organisasi untuk meminimalkan ancaman. o Dampak : suatu gambaran dan tingkatan pengaruh / akibat dari risiko yang mengindikasikan kerugian yang dialami, baik secara finansial maupun operasional ketika risiko tersebut terjadi. o Kecenderungan : suatu gambaran dan tingkat kemungkinan / probabilitas terjadinya risiko pada organisasi. Kriteria pengukuran kecenderungan dan dampak mengacu pada konsensus yang telah disesuaikan dengan kebutuhan di Universitas Telkom. Diagram alir analisa, evaluasi, dan penentuan rencana penanganan risiko dapat dilihat pada Gambar 4.1 berikut ini. Page 12 of 19

13 Identifikasi Tingkat Risiko Identifikasi Kriteria Pengukuran Identifikasi tingkat kecenderungan dan dampak atas terjadinya risiko Penentuan Nilai Risiko Dasar Identifikasi kontrol yang sudah ada Identifikasi tingkat kecenderungan dan dampak atas terjadinya risiko dengan mempertimbangkan kontrol yang sudah ada Penentuan Nilai Risiko Akhir Gambar 5.1 Proses Evaluasi Risiko 5.2. Analisa Kontrol Yang Ada Kontrol dalam proses bisnis merupakan alat yang digunakan pada suatu layanan atau proses bisnis yang berjalan saat ini yang meliputi keberadaan proses, prosedur, perangkat organisasi, dan sumber daya organisasi lainnya. Kontrol tersebut dinyatakan efektif apabila dapat mencegah terjadinya risiko di Universitas Telkom. Contoh kontrol yang telah diimplementasikan di Universitas Telkom antara lain: o Firewall software pada server. o Update anti-virus dan patch. o Prosedur. o Pemeliharaan rutin. o Kunci akses ke ruangan. Penentuan Nilai Risiko yang Diharapkan 5.3. Kriteria Pengukuran Tingkat Kemungkinan / Kecenderungan (Probability) Terjadinya Risiko Kemungkinan / kecenderungan terjadinya risiko dikategorikan ke dalam lima tingkatan. Semakin besar tingkatan maka semakin besar pula kemungkinan risiko tersebut tejadi. Tabel 5.1 di bawah ini adalah keterangan lengkap mengenai tingkatan kemungkinan / kecenderungan yang berlaku di Universitas Telkom beserta penjelasannya masing-masing. Page 13 of 19

14 Tabel 5.1 Kriteria Pengukuran Tingkat Kemungkinan / Kecenderungan (probability) SKALA KATEGORI FREKUENSI TERJADI KRITERIA PENGUKURAN KEMUNGKINAN POTENSI TERJADI 1 Sangat Jarang Sangat jarang terjadi, Misal hanya terjadi dalam kondisi sangat tak biasa/normal, atau terjadi sekali dalam kurun waktu 3 tahun Kecil kemungkinan terjadi atau hanya sesekali terjadi dalam kondisi yang di luar kebiasaan atau di luar kondisi normal Kemungkinan terjadi dalam jangka waktu yang cukup lama (> 5 tahun) 2 Jarang Jarang terjadi, Misal terjadi di luar kondisi kenormalan, atau sesekali terjadi dalam kurun waktu antara 1-3 tahun Kecil kemungkinan terjadi dalam kondisi normal atau hanya terjadi dalam kondisi yang di luar kebiasaan/normal Kemungkinan terjadi dalam jangka waktu yang relatif lama (misal 3-5 tahun) 3 Mungkin Mungkin terjadi, Misal kejadian cukup sering terulang terjadi kejadian selama kondisi Cukup besar kemungkinan terjadi dalamberbagai kondisi Kemungkinan terjadi dalam jangka waktu 1-3 tahun 4 Sering Sering terjadi, Misal kejadian cukup sering terulang terjadi kejadian selama kondisi biasa antara 6-15 kali dalam setahun Besar kemungkinan terjadi dalam berbagai kesempatan/kondisi normal Dipastikan kemungkinan terjadi dalam jangka waktu tertentu (3-12 bulan) atau sebagian besar terjadi pada setiap pelaksanaan kegiatan 5 Sangat Sering Sangat sering terjadi, Slalu terjadi pada setiap kejadian 3-5 kali dalam tiap2 bulan Dipastikan terjadi setiap saat dalam berbagai kondisi/terjadi setiap kali pelaksanaan kegiatan Kemungkinan terjadi dalam jangka waktu yang sangat pendek (<3 bulan) khususnya untuk kejadian non-rutin 5.4. Kriteria Pengukuran Dampak Risiko Pengukuran dampak merupakan pengukuran terhadap seberapa besar dampak yang ditimbulkan oleh sebuah risiko apabila risiko tersebut terjadi (tereksploitasi). Kriteria dampak ini dikategorikan dalam tiga tingkatan. Semakin besar tingkatannya, maka akibat / dampak (cakupannya atau besar kerugian yang ditimbulkannya) juga semakin besar. Pelaksanaan analisa dampak ini mengacu pada tujuan pengamanan semua aset yang berkaitan dengan layanan atau proses bisnis dan akibat yang ditimbulkan berdasarkan kerugian dari aspek seperti berikut: o Proses bisnis yang dikelola dalam menunjang operasional TI. o Kinerja dan fungsi operasional dari proses bisnis organisasi. o Biaya atau kerugian yang ditimbulkan terkait tindakan perbaikan yang dilakukan. Berdasarkan analisa dampak dari ketiga aspek tersebut maka kriteria evaluasi dampak risiko yang digunakan oleh Universitas Telkom dapat dilihat pada tabel 5.2 berikut. Page 14 of 19

15 Tabel 5.2 Kriteria Pengukuran Tingkat Dampak (severity) SKALA 1 KATEGORI Sangat Rendah KRITERIA DAMPAK KINERJA OPERASIONAL FINANSIAL Menimbulkan penundaan aktivitas akibat gangguan pada proses hingga 1 2 hari Menimbulkan gangguan kecil pada fungsi sistem terhadap proses namun insignifikan Kerugian/biaya sampai dengan < Rp 5 juta Tidak terdapat penambahan biaya secara signifikan 2 Rendah Menimbulkan penundaan aktivitas akibat gangguan pada proses hingga 1 minggu Menimbulkan penurunan performa (penundaan) antara 25 50% fungsi operasional untuk salah satu proses bisnis organisasi Kerugian/biaya sampai dengan < Rp 5 juta 10 juta Upaya penambahan biaya untuk tindakan perbaikan sebesar 5 10 % 3 Sedang Menimbulkan penundaan aktivitas akibat gangguan pada proses hingga dalam jangka waktu antara 1 2 minggu Menimbulkan penurunan performa (penundaan) antara 25 50% fungsi operasional untuk beberapa bisnis utama organisasi Kerugian/biaya sampai dengan < Rp 10 juta 25 juta Upaya penambahan biaya untuk tindakan perbaikan sebesar % 4 Tinggi Menimbulkan penundaan aktivitas akibat gangguan pada proses hingga 1 bulan Menimbulkan kegagalan sebagian besar atau > 60% fungsi operasional untuk salah satu proses bisnis organisasi Kerugian/biaya sampai dengan < Rp 25 juta 50 juta Upaya penambahan biaya untuk tindakan perbaikan sebesar % 5 Sangat Tinggi Menimbulkan penundaan aktivitas akibat gangguan pada proses hingga dalam jangka waktu > 1 Bulan Menimbulkan kegagalan sebagian besar atau > 60% fungsi operasional untuk beberapa bisnis utama organisasi Kerugian/biaya sampai dengan > Rp 50 juta Upaya penambahan biaya untuk tindakan perbaikan sebesar 50% 5.5. Penentuan Nilai Risiko Setelah tingkat kecenderungan dan dampak dari tiap risiko diidentifikasi, selanjutnya dilakukan penentuan nilai risiko dasar. Nilai risiko bawaan (Inherent Risk/IR) adalah tingkatan risiko yang timbul apabila tidak adanya kontrol. Nilai risiko dasar diperoleh dari hasil perhitungan antara tingkat kecenderungan dan juga dampak dari risiko sebagai berikut ini, serta kriteria penerimaan risiko dapat dilihat pada Tabel 5.3 dibawah ini. Kriteria perhitungan tingkat nilai risiko : Nilai risiko = Kemungkinan (Probability) x Dampak (Severity) Tabel 5.3 Kriteria nilai risiko dan kriteria resiko yang diterima Nilai Risiko Level Kritikalitas Penerimaan Risiko 1 4 Low Diterima 5 14 Medium Diterima High Tidak diterima Page 15 of 19

16 Kemungkinan (Probability) Matriks yang digunakan dalam melihat nilai risiko yang dibagi menjadi tiga tingkatan, yaitu High, Medium, dan Low seperti pada Tabel 5.4 berikut ini. Matriks Kritikalitas Tabel 5.4. Matriks Kritikalitas Dampak (Severity) Medium Medium High High High 4 Low Medium Medium High High 3 Low Medium Medium Medium High 2 Low Low Medium Medium Medium 1 Low Low Low Low Medium 6. PENGENDALIAN RISIKO 6.1. Kriteria Pengendalian Risiko Dan Penentuan Nilai Risiko Akhir Tindakan-tindakan pengendalian risiko dapat dikembangkan dari proses identifikasi dan evaluasi risiko berdasarkan matriks penilaian risiko di bagian 4.4. Selanjutnya tindakan pengendalian tersebut dapat diindentifikasi sebagai berikut 1. Lemah : Pelaksanaan kontrol tidak berjalan baik dan tidak dimonitor sehingga tidak mempengaruhi tingkat risiko. 2. Sedang : Pelaksanaan kontrol tidak berjalan konsisten dan terjadi berulang kembali sehingga tidak sepenuhnya mampu mengurangi atau meminimalkan tingkat risiko 3. Kuat : Penerapan kontrol sudah cukup baik dan konsisten sehingga dapat mengurangi / meminimalkan tingkat risiko. Setelah Nilai risiko bawaan (Inherent Risk/IR) diketahui, selanjutnya dilakukan penentuan Nilai risiko akhir (Residual Risk/RR) yaitu adalah tingkatan risiko yang masih ada setelah diterapkannya kontrol. Nilai risiko akhir diperoleh dari hasil perhitungan antara Nilai risiko bawaan dengan mempertimbangkan nilai pengendalian Pembuatan Risk Treatment Plan Organisasi harus memprioritaskan pengendalian risiko dengan mempertimbangkan ketersediaan dan keterbatasan sumber daya, baik sumber daya waktu, teknologi, uang, maupun manusia. Dalam pembuatan Risk Treatment Plan (RTP) terdapat 4 (empat) pilihan jenis pengendalian risiko, yaitu avoid, control, transfer, dan accept. Tahapan yang dilakukan dalam RTP meliputi hal-hal berikut: Page 16 of 19

17 1. Penentuan Penerimaan Risiko Proses ini bertujuan untuk menentukan apakah suatu risiko akan diterima atau tidak. Suatu risiko dapat diterima apabila RR adalah low. Penerimaan risiko juga dapat dilakukan apabila RR dari suatu risiko bernilai medium atau high, dengan catatan tidak ada kontrol lain yang dapat diterapkan terhadap risiko tersebut. Penentuan penerimaan risiko dengan RR bernilai medium atau high harus diketahui dan disetujui oleh pimpinan organisasi, dalam hal ini Direktorat Sistem Informasi Universitas Telkom. 2. Penentuan Pengendalian Risiko Untuk risiko yang memiliki dampak di luar dari batas penerimaan risiko, perlu dilaksanakan tindakan pengendalian risiko sebagai berikut: Avoid merupakan tindakan pengendalian risiko dengan tidak melakukan suatu aktivitas atau memilih aktivitas lain dengan output yang sama untuk menghindari terjadinya risiko. Contoh Penghindaran terhadap risiko : Password administrator tidak diberikan pada user sehingga user tidak bisa merubah konfigurasi dan menginstall software pada PC. Control atau mitigate merupakan tindakan pengendalian risiko dengan mengurangi dampak maupun kemungkinan terjadinya risiko melalui menerapkan suatu sistem atau aturan. Contoh Pengontrolan terhadap risiko : Pemasangan fasilitas firewall untuk mencegah akses yang tidak terotorisasi. Transfer merupakan tindakan pengendalian risiko dengan mengalihkan seluruh atau sebagian tanggung jawab pelaksanaan suatu proses kepada pihak ketiga. Contoh Transfer terhadap risiko : Pengembangan aplikasi dipindahkan kepada pihak external. Penyediaan asuransi kebakaran Penentuan Rencana Penanganan Risiko, PIC, Target Waktu Tindakan pengendalian harus direncanakan dan dilaksanakan secara tepat pada setiap risiko. Kebutuhan sumber daya, target waktu, penanggung jawab, dan proses monitoring dan pelaporan harus diidentifikasi. Langkah-langkah yang harus dilakukan pada penentuan rencana penanganan risiko adalah: 1. Menyusun rencana tindak lanjut untuk mengurangi nilai risiko. 2. Menetapkan personil yang bertanggung jawab dan tenggat waktu pelaksanaan penanganan risiko tersebut. Rencana penanganan risiko dapat berupa penentuan kebijakan, prosedur dan pedoman, pengadaan teknologi, pengadaan sumber daya, dan pelaksanaan proses Page 17 of 19

18 yang dideskripsikan dalam dokumen kebijakan, prosedur dan pedoman. Rencana penanganan harus feasible dan cost-effective, membandingkan keuntungan dan biaya dari implementasi rencana penanganan (benefit-cost analysis). Benefit > Cost maka dilakukan Control risk Benefit < Cost maka dilakukan Avoid / Transfer Risk Aktivitas Kritikal Melalui pemantauan implementasi Risk Treatment Plan maka PIC dapat dimonitor pelaksanaannya dengan menggunakan tabel 6.2 di bawah ini. Tabel 6.2 Tabel Risk Treatment Plan Peristiwa MTPD PIC Severity Probability Criticality Level Penilaian Resiko Pengendalian yang Dilakukan Pihak yang bertanggung jawab adalah sebagai berikut: Risk Officers sebagai koordinator, personil Universitas Telkom sebagai pihak yang melakukan implementasi kontrol, dan Kepala Universitas Telkom sebagai pihak yang menyetujui implementasi kontrol Pembuatan Jadwal Implementasi Rencana Penanganan Risiko Berdasarkan hasil rencana pengendalian risiko, dapat dibuat jadwal implementasi kontrol yang telah ditentukan pada rencana penanganan risiko. Implementasi kontrol tersebut dapat dilakukan secara bertahap dimana perlu dideskripsikan: 1. Waktu implementasi kontrol. 2. Aktivitas detail dalam implementasi kontrol termasuk penyediaan sumber daya untuk mendukung terlaksananya aktivitas tersebut. 3. Personil yang bertanggung jawab dalam implementasi kontrol. Tabel yang digunakan untuk monitoring implementasi RTP ini serupa dengan tabel 6.2. Form Monitoring Tindakan Pengendalian Risiko TI. Berdasarkan jadwal implementasi rencana penanganan risiko, Risk Officers mengkoordinasikan implementasi kontrol yang telah ditentukan. Pelaksanaan implementasi kontrol dapat melibatkan seluruh personil Univer sitas Telkom. Hasil dari finalisasi risk assessment dan risk treatment harus disetujui oleh Kepala Universitas Telkom. Status progress dari pelaksanaan RTP harus dimonitoring dan dicatat secara berkelanjutan. Page 18 of 19

19 7. PEMANTAUAN RISIKO 7.1. Pelaporan, Monitoring, Dan Review Proses pengelolaan risiko TI harus terus menerus dimonitor dan dievaluasi untuk memastikan bahwa layanan TI masih sejalan dengan strategi dan sasaran perusahaan. Proses monitoring dan evaluasi ini dilakukan secara berkala. Frekuensi pelaporan aktivitas pengelolaan risiko TI di Universitas Telkom mengacu pada tabel 7.1 berikut: Tabel 7.1. Frekuensi Pelaporan dan Monitoring terhadap Risiko TI Review Risk Register Level Pelaporan Risiko (Monitoring) Risk Officer Setiap 6 bulan - Penanggung Jawab Risiko (Direktur Sistem Informasi Universitas Telkom) Setiap Tahun Setiap Tahun Pelaporan identifikasi, evaluasi, dan penanganan risiko dilakukan oleh Risk Officer dengan mengacu kepada beberapa hal yaitu: Daftar risiko yang signifikan. Proses penilaian risiko. Risk Treatment Plan yang dibutuhkan. Proses pengelolaan risiko dalam kegiatan review risk assessment harus dievaluasi secara berkala, yaitu satu tahun sekali oleh seluruh personil Universitas Telkom. Pengkajian ulang proses risk assessment juga dilakukan apabila terjadi perubahan pada: Organisasi. Teknologi. Objektif dan proses bisnis. Ancaman yang teridentifikasi. Efektivitas dari kontrol yang telah diimplementasikan. Kejadian eksternal, seperti perubahan dari lingkungan hukum dan peraturan, perubahan obligasi kontraktual, dan perubahan dari lingkungan sosial. Page 19 of 19