MITIGASI RISIKO KEAMANAN SISTEM INFORMASI

dokumen-dokumen yang mirip
Bab 5 Pengambilan Risiko

PENGAMBILAN RESIKO. Kode Mata Kuliah : OLEH Endah Sulistiawati, S.T., M.T. Irma Atika Sari, S.T., M.Eng.

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

Pengambilan Risiko. Kuliah 5

BAB 2 TINJAUAN PUSTAKA

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

1. Ancaman yang dihadapi perusahaan adalah kehancuran karena bencana alam dan politik, seperti : Kebakaran atau panas yang berlebihan Banjir, gempa

Ferianto Raharjo - FT - UAJY 1

INFRASTRUCTURE SECURITY

Pengambilan Risiko. Widi Wahyudi,S.Kom, SE, MM. Modul ke: Fakultas Desain & Teknik Kreatif. Program Studi Desain Produk.

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

II. PERAN DAN TANGGUNG JAWAB DIREKSI

Bab 5 Pengambilan Risiko. Seseorang yang ingin menjadi entrepreneur harus risk taker atau berani menanggung resiko secara cermat.

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

Standar Internasional ISO 27001

Konsep Dasar Audit Sistem Informasi

BAB 4 EVALUASI SISTEM INFORMASI PADA PT CATRA NUSANTARA BERSAMA. 4.1 Hasil Evaluasi Terhadap Pengendalian Manajemen

ERWIEN TJIPTA WIJAYA, ST,. M.KOM

BAB I PENDAHULUAN. Bab I Pendahuluan. Teknologi Informasi (TI) maka ancaman terhadap informasi tidak saja

PERTEMUAN 10 AUDIT SISTEM INFORMASI AKUNTANSI

Asuransi Jiwa

ANALISA RESIKO KEAMANAN INFORMASI (INFORMATION SECURITY). STUDI KASUS: POLIKLINIK XYZ

Daftar Isi. Latar Belakang Implementasi Manajemen Risiko Tujuan Manajemen Risiko Definisi Model Manajemen Risiko Control Self Assessment

PASAL DEMI PASAL. Pasal 1 Cukup jelas.

Standar Audit SA 250. Pertimbangan atas Peraturan Perundang-Undangan dalam Audit atas Laporan Keuangan

BAB III ANALISIS METODOLOGI

Pengendalian Sistem Informasi Berdasarkan Komputer

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

PENENTUAN RISIKO DAN PENGENDALIAN INTERN-PERTIMBANGAN DAN KARAKTERISTIK SISTEM INFORMASI KOMPUTER

STIE DEWANTARA Pengelolaan Risiko Operasional

Chapter 10 PENGENDALIAN INTEGRITAS PEMROSESAN DAN KETERSEDIAAN

Disampaikan Oleh : Amanda Oktariyani, SE.,M.Si,Ak

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

III. KERANGKA PEMIKIRAN

BERITA NEGARA REPUBLIK INDONESIA

SISTEM INFORMASI ASURANSI. Materi 1 PENGENALAN ASURANSI

BAB III METODOLOGI PENELITIAN

INTERNATIONAL STANDARD

1.3. Ketentuan mengikat masing-masing Pelanggan PERUSAHAAN dari awal Pelanggan menerima ketentuan Perjanjian Pelanggan dengan PERUSAHAAN.

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

PERATURAN MENTERI PENDIDIKAN NASIONAL REPUBLIK INDONESIA

Penilaian Resiko dan Proses Pemeriksaan

RANCANGAN POJK TENTANG PENERAPAN MANAJEMEN RISIKO BAGI BANK PEMBIAYAAN RAKYAT SYARIAH

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG PADA PT. TIRATANA ELECTRIC

BAB IV PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI

Penetapan Konteks Komunikasi dan Konsultasi. Identifikasi Risiko. Analisis Risiko. Evaluasi Risiko. Penanganan Risiko

KEAMANAN SISTEM INFORMASI KONSEP SISTEM INFORMASI AKUNTANSI

STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH

Satu yang terkenal diantaranya adalah metode OCTAVE.

REKAYASA PERANGKAT LUNAK. Spesifikasi Sistem Kritis & Pengembangan Sistem Kritis

III KERANGKA PEMIKIRAN

KEAMANAN SISTEM INFORMASI

Standar Audit SA 540. Audit Atas Estimasi Akuntansi, Termasuk Estimasi Akuntansi Nilai Wajar, dan Pengungkapan yang Bersangkutan

BAB II TINJAUAN PUSTAKA. proses konstruksi untuk merusak proyek (Faber, 1979). yang diperkirakan (Lifson & Shaifer, 1982).

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

BAB 2 LANDASAN TEORI. terjadinya beberapa ancaman yang mudah menyerang. untuk mengurangi risiko. Sedangkan, menurut Dorfman (2004, p.

BAB IV ANALISIS PENERAPAN MANAJEMEN RISIKO OPERASIONAL PADA BANK MANDIRI SYARIAH KCP BATANG

KEAMANAN DAN KONTROL. A. PENTINGNYA KONTROL Salah satu tujuan CBIS adalah untuk memberi dukungan kepada manajer dalam mengontrol area operasinya

Standar Audit SA 402. Pertimbangan Audit Terkait dengan Entitas yang Menggunakan Suatu Organisasi Jasa

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

Manajemen Sumber Daya Manusia dan Keamanan Personil

BAB 1 PENDAHULUAN Latar Belakang

BAB I PENDAHULUAN 1.1. Latar Belakang

PERENCANAAN MANAJEMEN RESIKO

SISTEM INFORMASI MANAJEMEN

PERATURAN MENTERI PARIWISATA DAN EKONOMI KREATIF REPUBLIK INDONESIA NOMOR : PM.106/PW.006/MPEK/ TENTANG SISTEM MANAJEMEN PENGAMANAN HOTEL

ETIKA & KEAMANAN SISTEM INFORMASI

Project Integration Management. Binsar Parulian Nababan Sutrisno Diphda Antaresada Adrian Kosasih

PERATURAN MENTERI PENDIDIKAN NASIONAL REPUBLIK INDONESIA NOMOR 38 TAHUN 2008 TENTANG

Mengelola Sistem Informasi Manajemen

PENDAHULUAN. Langkah-langkah Penanggulangan Risiko:

PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER

STANDARD OPERATING PROCEDURE

Aplikasi Teori Peluang dan Statistika dalam Pengambilan Keputusan

TUGAS KEAMANAN JARINNGAN KOMPUTER

BAB IV HASIL DAN PEMBAHASAN

12. PERKEMBANGAN / KEMAJUAN

PERTEMUAN 14 BUKU BESAR DAN PELAPORAN

III. KERANGKA PEMIKIRAN

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

PERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA

BAB II LANDASAN TEORI. 2.1 Konsep Dasar Sistem, Informasi Dan Akuntansi

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

RESUME SECURITY AND ETHICAL CHALLENGES

Chapter 7 MATERIALITY AND RISK

BAB 1 PENDAHULUAN. 1.1 Latar Belakang. Dalam menyambut era globalisasi, semua instansi berusaha untuk

PENGERTIAN INVESTASI

Tentang EthicsPoint. Tentang EthicsPoint Pelaporan Umum Keamanan & Kerahasiaan Pelaporan Kiat-kiat dan Praktik-praktik Terbaik

COSO ERM (Enterprise Risk Management)

Pedoman Perilaku dan Etika Bisnis

Standar Audit SA 530. Sampling Audit

Perencanaan Resiko Teknik Informatika S1 IST AKPRIND Yogyakarta

RISIKO AUDIT DAN MATERIALITAS DALAM PELAKSANAAN AUDIT

MANAJEMEN RESIKO. Aprilia Sulistyohati, S.Kom. Jurusan Teknik Informatika Universitas Islam Indonesia. Your Logo

MATERIALITAS DAN RISIKO AUDIT

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

TAMBAHAN LEMBARAN NEGARA R.I

Transkripsi:

MITIGASI RISIKO KEAMANAN SISTEM INFORMASI

Pengertian Risiko Sesuatu yang buruk (tidak diinginkan), baik yang sudah diperhitungkan maupun yang belum diperhitungkan, yang merupakan suatu akibat dari suatu tindakan atau kegiatan. Ketidakpastian (uncertainty) Perubahan

Pengertian Mitigasi Risiko Mitigasi Risiko adalah suatu tindakan terencana dan berkelanjutan yang dilakukan oleh pemilik risiko agar bisa mengurangi dampak dari suatu kejadian yang berpotensi atau telah merugikan atau membahayakan pemilik risiko tersebut.

Jenis-jenis Risiko Dalam Bisnis Risiko Murni Risiko hilang/rusaknya aset yang dimiliki Kecelakaan kerja Risiko akibat tuntutan hukum Risiko operasional lainnya Bencana alam Risiko spekulatif Risiko Perubahan Harga Perubahan harga input Perubahan harga output Risiko Kredit

Bentuk Kerugian Akibat Risiko Kerugian Langsung Nominal yang harus ditanggung akibat dampak langsung risiko yang terjadi Kerugian Tidak Langsung Kemungkinan sales/profit yang gagal diterima Munculnya biaya operasional tambahan Kesempatan investasi yang hilang Kerugian lainnya

Bagaimana Mengkalkulasi Risiko Tentukan seberapa sering risiko tersebut terjadi (frekuensi atau probability) Tentukan dampak yang timbul dari risiko yang terjadi Hitung kemungkinan prediksi kerugian, dengan formula: Frekuensi x Dampak

Contoh Mengkalkulasi Risiko Risiko terjadinya kehilangan data Frekuensi : 1 bulan 5 kali Dampak : dalam setiap kejadian rata-rata kerugian yang ditanggung adalah Rp.300.000 Kemungkinan prediksi kerugian: 5 x Rp.300.000 = Rp. 1.500.000 Artinya: dalam satu bulan terdapat risiko kehilangan data yang berpotensi menyebabkan kerugian sebesar Rp1,5 juta

Metodologi Manajemen Resiko Identifikasi Aset Analisis Resiko Tindak Lanjut

Penilaian Risiko Penilaian Risiko adalah metode yang sistematis untuk menentukan apakah suatu kegiatan/aset mempunyai resiko yang dapat diterima atau tidak. Penilaian Risiko membantu menciptakan kesadaran tentang bahaya dan risiko yang didapatkan dari aset yang dimiliki. Tujuan : untuk mengurangi kemungkinan bahaya dengan menambahkan langkah-langkah pengendalian yang diperlukan dan tindakan pencegahan. Penilaian memprioritaskan bahaya dan membantu menentukan apakah tindakan pengendalian yang ada memadai.

Langkah-langkah Identifikasi Risiko Evaluasi Nilai Risiko Identifikasi Opsi Penanganan Resiko Penentuan Rencana Pengendalian Resiko Penghitungan nilai resiko yang diharapkan

Identifikasi Resiko (1) Aset informasi adalah hal yang bernilai bagi perusahaan terkait dengan penyediaan suatu informasi Klasifikasi aset informasi : INFORMASI database dan file data, kontrak dan perjanjian, dokumentasi system, penelitian informasi, buku petunjuk, jejak audit, dsb SOFTWARE PL aplikasi, PL sistem, PL pengembangan, dan utilitas

Identifikasi Resiko (2) Klasifikasi... FISIK peralatan komputer, peralatan komunikasi, removable media, peralatan lainnya PEOPLE kualifikasi, keterampilan, pengalaman INTENGIBLE reputasi citra organisasi JASA (SERVICE) komputasi dan layanan komunikasi, utilitas umum, pemanas, penerangan, listrik, telepon, pipa servis, pelayanan genset, fotokopi, dll

Jenis-jenis Penilaian Resiko Ada dua jenis Penilaian Resiko : Kualitatif Menetapkan risiko pada tingkat penilaian dari yang tinggi ke rendah Kuantitatif. Memberikan nilai finansial ke tingkat risiko. Membutuhkan tingkat pengetahuan tentang operasi bisnis yang lebih tinggi untuk secara akurat mencerminkan data yang dibutuhkan untuk melakukan penilaian risiko perhitungan. Sebagian besar organisasi melakukan penilaian Kualitatif terlebih dahulu.

Penilaian Resiko Kualitatif (1) Proses untuk menyelesaikan Penilaian Risiko Kualitatif dirinci dan mengharuskan penilai untuk mempertimbangkan langkah berikutnya. 1. Sistem bisnis harus dicirikan sepenuhnya Sistem harus sepenuhnya dipahami oleh asesor. Semua aspek sistem harus didokumentasikan oleh petugas bisnis yang bertanggung jawab atas bagian sistem tersebut. Asesor harus mengevaluasi dokumentasi ini terhadap pengamatan sistem untuk menyelesaikan deskripsi sistem

Penilaian Resiko Kualitatif (2) 2. Identifikasi semua potensi kerentanan terhadap sistem Kerentanan didefinisikan sebagai kelemahan yang secara tidak sengaja dipicu atau sengaja dieksploitasi terhadap sistem bisnis Tujuan utama dari Proses Penilaian Resiko adalah mengidentifikasi, untuk menghilangkan atau mengurangi potensi kerentanan terhadap sistem. Kerentanan dapat berkisar dari menonaktifkan akun pengguna atau kerentanan kode pemrograman yang memungkinkan hacker untuk menembus sistem untuk penggunaan berbahaya.

Penilaian Resiko Kualitatif (3) 3. Identifikasi semua ancaman potensial terhadap sistem Sumber ancaman didefinisikan sebagai metode yang memicu kerentanan, entah secara kebetulan atau dengan maksud jahat. Sumber ancaman : Ancaman alam : banjir, gempa bumi, badai berat, kebakaran, dll. Ancaman manusia : akses tidak sah ke sistem keamanan, entri data yang salah, dll. Ancaman lingkungan : pencemaran kimia, polusi, kegagalan daya, dll.

Penilaian Resiko Kualitatif (4) 4. Detil tindakan pencegahan yang telah ditetapkan untuk ancaman yang diketahui Langkah ini mengharuskan penilai meninjau penanggulangan yang ada untuk mengetahui ancaman yang diketahui dan menjelaskannya penanggulangan Kontrol penanggulangan keduanya bersifat teknis (perangkat keras komputer / kontrol perangkat lunak) dan kontrol non teknis (manajemen dan operasional). Kontrol harus dikategorikan sebagai: Kontrol Pencegahan - bekerja secara preemptif untuk menghentikan ancaman dari pemanfaatan kerentanan sistem Kontrol Detektif - memperingatkan pelanggaran kebijakan keamanan melalui pemantau checksum, gangguan metode pendeteksian atau jalur audit.

Penilaian Resiko Kualitatif (5) 5. Menentukan tingkat risiko (impact analysis) Menentukan dampak buruk dari ancaman terhadap sistem. Misi sistem, kekritisan dan sensitivitas data dipertimbangkan dalam analisis dampak. Banyak organisasi menyebut ini sebagai Dampak Bisnis Analisis, dimana tingkat dampak diprioritaskan berdasarkan sensitivitas dan kekritisan aset jika terjadi kompromi terjadi. Analisis dampak disebut juga sebagai analisis kerugian, karena secara kualitatif kerugian bisa diakibatkan karena : integritas, ketersediaan dan kerahasiaan.

Penilaian Resiko Kualitatif (6) Kehilangan integritas data dapat menyebabkan ketidakakuratan, kecurangan atau pengambilan keputusan operasi bisnis yang buruk. Kehilangan Ketersediaan : Jika sistem tidak dapat diakses oleh pengguna, produktivitas dan / atau penjualan bisnis dapat terjadi terkena dampak. Hal ini mempengaruhi pendapatan, loyalitas pelanggan dan kehadiran bisnis. Kehilangan Kerahasiaan: Jika kerahasiaan data sistem dikompromikan, bisnis mungkin memiliki konsekuensi peraturan hukum dan industri, selain hilangnya kepercayaan masyarakat dan hilangnya pendapatan. Tingkat dampak / risiko ditetapkan sebagai Tinggi, Sedang atau Rendah untuk setiap area risiko untuk aset tertentu.

Penilaian Resiko Kualitatif (7) 6. Menentukan kemungkinan terjadinya kejadian pada sistem Kemungkinan insiden dievaluasi dengan mempertimbangkan faktor-faktor berikut: Motivasi sumber ancaman,karakterisasi kerentanan, dan efektivitas penanggulangan yang ada. Kemungkinannya dikategorikan sebagai rating tinggi, menengah atau rendah: Tinggi: sumber ancaman sangat termotivasi dan tindakan penanggulangan tidak efektif melawan ancaman tersebut. Sedang: sumber ancaman dimotivasi dan tindakan pencegahan mungkin efektif terhadap ancaman tersebut. Rendah: sumber ancaman tidak termotivasi dan tindakan penanggulangannya efektif terhadap ancaman tersebut.

Penilaian Resiko Kualitatif (8) 7. Identifikasi penanganan tambahan untuk mengimbangi risiko yang ditentukan Karena tindakan penanggulangan yang ada yang dievaluasi sebelumnya dalam proses Penilaian Resiko mungkin tidak efektif terhadap ancaman yang diidentifikasi selama proses Penilaian Resiko, tindakan pencegahan tambahan disarankan sebagai bagian dari prosesnya Semua tindakan pencegahan harus dievaluasi berdasarkan biaya-manfaat sebelumnya pengembangan / implementasi

Penilaian Resiko Kualitatif (9) 8. Hasil Penilaian Resiko didokumentasikan oleh asesor dan didistribusikan ke semua petugas bisnis Asesor menyiapkan Laporan Penilaian Risiko untuk mendokumentasikan semua temuan dan menghasilkan rating atau nilai akhir. Laporan penilaian dapat mengandung unsur analisis risiko kualitatif dan kuantitatif. Semakin rinci yang dilaporkan, semakin baik sebuah organisasi dapat melindungi terhadap ancaman potensial.

Penilaian Resiko Kuantitatif (1) Proses Penilaian Resiko Kuantitatif serupa dengan penilaian Kualitatif, hanya berbeda pada langkah # 5 dan # 6, di mana nilai moneter dihitung untuk kemungkinan insiden dan tingkat risiko menghadapi organisasi Untuk menghitung kerugian risiko dalam bentuk uang, diperlukan tiga perhitungan sbb : 1. Menentukan SLE (Single Loss Expectancy) untuk aset tertentu. 2. Menentukan ARO (Annual Rate of Occurrence) untuk aset sebagai persentase. 3. Menentukan ALE (Annualized Loss Expectancy) untuk aset sebagai nilai moneter.

Penilaian Resiko Kuantitatif (2) Menentukan SLE (Single Loss Expectancy) untuk aset tertentu. SLE adalah perbedaan antara nilai asli aset dan taksiran nilai yang tersisa setelah satu eksploitasi ke aset tersebut. SLE ($) = nilai aset ($) * Faktor Eksposur (%), dimana faktor paparan adalah perkiraan kehilangan ketersediaan dari aset bisnis karena eksploitasi. Eksploitasi bisa berupa kehilangan data, bencana alam, pencurian, perubahan atau data berbahaya yang dieksploitasi ke sistem TI. (Ini adalah Langkah 5 dalam Penilaian Resiko Kualitatif.)

Penilaian Resiko Kuantitatif (3) Menentukan ARO (Annual Rate of Occurrence) untuk aset sebagai persentase. ARO adalah kemungkinan kejadian ancaman akan berhasil dalam kurun waktu satu tahun. Misalnya, jika bisnis terletak di wilayah geografis yang rentan terhadap gempa bumi, ARO bisa 20%, berdasarkan analisis kecenderungan tingkat gempa tahun sebelumnya. (Ini adalah Langkah 6 di Penilaian Resiko Kualitatif.)

Penilaian Resiko Kuantitatif (4) Menentukan ALE (Annualized Loss Expectancy) untuk aset sebagai nilai moneter. ALE adalah perkiraan nilai yang harus diinvestasikan entitas bisnis untuk tindakan penanggulangan risiko terhadap aset. ALE ($) = ARO (%) * SLE ($) untuk aset tertentu. Dengan total ALE untuk setiap aset yang ditentukan bisnis sangat penting untuk dijaga, organisasi dapat melakukannya tentukan biaya untuk mengamankan sumber daya kelangsungan bisnis ATAU tentukan mitigasi biaya yang paling efektif strategi mungkin diperlukan

Contoh Perhitungan Penilaian Resiko Kuantitatif (1) Bob dan Jane telah membeli rumah baru seharga $ 100.000,00 di pantai. Bob memperkirakan jika terjadi badai, maka rumah mengalami kerugian sampai 50%. SLE = $ 100,000.00 * 50% SLE = $ 50,000.00 Tingkat rata-rata aktivitas badai untuk wilayah mereka adalah 2,2%, berdasarkan 22 badai di daerah itu selama 10 tahun terakhir. (ARO). Jane ingin memastikan bahwa tabungan mereka dapat digunakan untuk menutupi kerusakan rumah jika terjadi sebuah badai, jadi dia menghitung tingkat kerugian tahunan jika rumah mereka 50% hancur oleh badai.

Contoh Perhitungan Penilaian Resiko Kuantitatif (2) ALE = 2,2% * $ 50,000.00 ALE = $ 1,100.00 Hasil tersebut (ALE = $ 1,100.00) membuat Jane dan Bob harus melakukan strategi mitigasi dengan menambahkan $ 1,100.00 ke rekening tabungan mereka setiap tahun sebagai mitigasi jika terjadi bencana di rumah mereka.

Kuantitatif vs Kualitatif

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan