IT RISK MANAGEMENT

2021
Panduan Menguasai Ilmu IT Risk Management

Peran teknologi informasi (TI) bagi kita semua sudah sedemikian

penting baik untuk kebutuhan pribadi,Personal maupun bisnis. Oleh
karena itu, Insiden atau peristiwa penting dalam industry ini tentunya
akan mempengaruhi asset maupun bisnis perusahaan, termasuk
kehilangan penerimaan dan berakibat buruk bagi nama baik
perusahaan. Agar tercapai tata kelola teknologi (Technology
Govermance) dan program kepastian (Assurance Program) maka perlu
dirancang melalui kerangka manajmen risiko (I T Risk Manegement)
untuk memastikan manajemen pengenalian dan resiko berjalan efektif.

DARLINDA 2018120060
STMIK BI BALIKPAPAN
+6289 7975 0779
[email protected]
 KATA PENGANTAR

Puji syukur saya panjatkan kehadirat Tuhan Yang Maha Esa. Karena berkat limpahan
karunia-Nya, saya dapat menyelesaikan penulisan buku IT Risk Management. Didalam
penyusunan buku IT Risk Management penulis telah berusaha semaksimal mungkin sesuai
dengan kemampuan penulis demi penyelesaian buku panduan menguasai ilmu IT Risk
Management ini. Tetapi sebagai manusia biasa, penulis tak luput dari kesalahan ataupun
kekhilafan baik pada segi teknik penulisan ataupun tata bahasa itu sendiri.

Saya menyadari tanpa suatu arahan dari guru pembimbing serta masukan – masukan dari
berbagai pihak yang telah membantu, Mungkin saya tidak bisa menyelesaikan tugas IT Risk
Management ini tepat waktu. Buku IT Risk Management ini dibuat sedemikian rupa semata-
mata hanya untuk membangkitkan kembali minat baca siswa / siswi serta sebagai motivasi
dalam berkarya khususnya pada karya tulis.

Maka dengan kerendahan hati penulis hanya bisa menyampaikan ucapan terima kasih kepada
semua pihak yang terlibat dalam proses penyelesaian ini.

Sekian semoga karya tulis ini dapat bermanfaat dan mudah dipahami bagi penulis khususnya
serta para pembaca pada umumnya.

Penajam, 21 Maret 2021

Penulis

i
 DAFTAR ISI
KATA PENGANTAR ...................................................................................................................... i
DAFTAR ISI ................................................................................................................................... ii
BAB I SIKILAS TENTANG IT RISK MANAGEMENT ............................................................. 1
1.1 Deskripsi ......................................................................................................................... 1
1.2 Hambatan ........................................................................................................................ 1
1.3 Tujuan ............................................................................................................................. 2
1.4 Sistem IT Risk Management ............................................................................................. 2
1.5 Manajemen risiko IT sebagai bagian dari Manajemen risiko perusahaan .......................... 2
1.6 Proses Management resiko IT .......................................................................................... 3
1.7 Fungsi Management risiko IT .......................................................................................... 3
1.8 IT Risk Management meliputi .......................................................................................... 3
BAB II RESIKO MANAGEMENT ................................................................................................ 4
2.1 Pengertian Resiko .......................................................................................................... 4
2.2 Apa itu Manejemen risiko TI? ........................................................................................ 4
2.3 5 langkah dalam proses manajemen risiko Informasi ...................................................... 5
2.4 Teknik Manajemen Resiko ............................................................................................. 7
2.5 Praktek terbaik untuk manajemen risiko informasi ........................................................... 7
BAB III KERANGKA KERJA IT RISK MANAGEMENT ............................................ 8

3.1 Hubungan antar Entitas keamanan TI ........................................................................... 9

3.2 Manajemen Risiko sebagai bagian dari Manajemen Risiko Perusahaan ......................... 10
3.3 Metodologi Manajemen Risiko .................................................................................... 11
3.4 Penetapan Konteks ....................................................................................................... 12
BAB IV ORGANISASI UNTUK MANAJEMEN KEAMANAN .................................. 13

4.1 Tugas berisiko .............................................................................................................. 13

4.2 Kerangka kerja ISO 27005 ........................................................................................... 14
4.3 Identifikasi Risiko ....................................................................................................... 15
4.4 Estiminasi Risiko ......................................................................................................... 16
4.5 Evaluasi Risiko ............................................................................................................ 17
BAB V NISTSP 800 30 FRAMEWORK ......................................................................... 18

5.1 Mitigasi Risiko ............................................................................................................. 18

5.2 ISO 27005 Framework ................................................................................................. 19
5.3 NIST SP 800 30 Framework........................................................................................... 19
5.4 Komunikasi Risiko ....................................................................................................... 20
5.5 Pemantauan dan Penjaminan Risiko ............................................................................. 20

ii
BAB VI EVALUASI DAN PENILAIAN IT ................................................................... 21

6.1 Mengintegrasikan manajemen risiko kedalam siklus hidup pengembangan sistem ........ 21
Mengintegrasikan manajemen risiko kedalam siklus hidup pengembangan sistem ........ 22
Mengintegrasikan manajemen risiko kedalam siklus hidup pengembangan sistem ........ 23
Mengintegrasikan manajemen risiko kedalam siklus hidup pengembangan sistem ........ 24
Mengintegrasikan manajemen risiko kedalam siklus hidup pengembangan sistem ........ 24
BAB VII KRITIK MANAJEMEN RISIKO SEBAGAI METODOLOGI .................... 25

7.1 Metode Manajemen Risiko ............................................................................................ 26

DAFTAR PUSTAKA .................................................................................................................... 27

iii
 BAB I
SEKILAS TENTANG IT RISK MANAGEMENT

Peran Teknologi Informasi (TI)

bagi kita semua sudah sedemikian
penting baik untuk kebutuhan
pribadi, personal, maupun bisnis.
Oleh karena itu, insiden atau
peristiwa penting dalam industri
ini tentunya akan mempengaruhi
aset maupun bisnis perusahaan,
termasuk kehilangan penerimaan
dan berakibat buruk bagi nama
baik perusahaan. Sehingga tata
kelola teknologi (Technology
Governance) dan program kepastian (Assurance Program) perlu dirancang melalui
kerangka manajemen resiko untuk memastika manajemen pengendalian dan resiko berjalan
efektif. Sebagai catatan tambahan, kerangka diatas akan membuat departemen TI lebih
memahami resiko operasional apa saja yang paling penting dan pengaruhnya terhadap
kepentingan perusahaan secara umum. Peserta akan menguasai berbagai cara untuk
mengelola resiko terkait secara berhati-hati sehingga tata kelola dan proses kepastian audit TI
dapat dilakukan secara menyeluruh di perusahaan menggunakan kerangka manajemen resiko
TI atau IT Risk Management bagi perusahaan (IT enterprise risk management (ERM)
framework) dari ISACA yaitu Risk IT.

1.1 DESKRIPSI
Manajemen risiko sangat penting dalam sebuah organisasi perusahaan. Tanpa manajemen
risiko, sebuah perusahaan akan sulit menentukan tujuan di massa datang. Jika perusahaan
menentukan tujuan masa datang tanpa memeperhitungkan risiko yang akan terjadi,
kemungkinan besar perusahaan akan mengalami kesulitan ketika risiko itu terjadi. IT Risk
Management adalah penerapan dari prinsip-prinsip manajemen risiko terhadap perusahaan
yang memanfaatkan Teknologi Informasi dengan tujuan agar dapat mengidentifikasi
kerentanan dan risiko-risiko yang berhubungan dengan berlangsungnya perusahaan. Risiko-
risiko yang dikelola meliputi kepemilikan, operasional, keterkaitan, dampak, dan penggunaan
dari teknologi informasi.

1.2 HAMBATAN
Hambatan umum terhadap data dan sistem teknologi informasi meliputi :
 Kerusakan perangkat keras dan perangkat lunak
 Malware
 Virus komputer
 Spam, scams, and phishing
 Human error

1
 Selain hambatan umum, dalam IT Risk Management juga mengelola hambatan criminal
terhadap teknologi informasi suatu perusahaan, antara lain :
 Hackers, yaitu orang-orang yang secara tidak sah menerobos ke dalam sistem
computer
 Fraud, yaitu penggunaan computer untuk memanipulasi data untuk kepentingan
yang melanggar hukum
 Denial-of-service, yaitu serangan online yang membuat pengguna tidak dapat
mengakses situs tertentu
 Staff dishonesty, yaitu pencurian data atau informasi penting oleh karyawan internal.

1.3 TUJUAN
- Mempelajari dan memahami langkah-langkah untuk mengambil pendekatan
proaktif untuk pengelolaan resiko pada pemanfaatan IT di perusahaan, sejalan
dengan upaya tata kelola perusahaan.
- Memahami bagaimana mengidentifikasi dan menilai risiko yang terkait dengan
teknologi informasi.
- Praktek menggunakan kerangka berbagai penilaian dan alat untuk memantau dan
melaporkan TI organisasi Anda risiko.
- Mengembangkan Rencana Manajemen Risiko praktis.

1.4 SISTEM IT RISK MANAGEMENT

Manajemen Resiko dirancang untuk melakukan lebih dari sekedar mengidentifikasi
resiko. Sistem juga harus mampu mengukur resiko dan memprediksi dampak dari resiko
pada proyek. Hasilnya adalah resiko yang dapat diterima atau tidak dapat diterima.
Persetujuan atau tidak dari suatu resiko biasanya tergantung pada tingkat
toleransi manajer proyek untuk resiko.

1.5 MANAJEMEN RISIKO IT SEBAGAI BAGIAN DARI MANAJEMEN RISIKO

PERUSAHAAN
Beberapa organisasi memiliki sebuah manajemen resiko perusahaan.
(Enterprise Risk Management/ERM). Ada empat kategori, menurut Committee of
Sponsoring Organization of Treadway Commission(COSO), yaitu :
- Strategi
- Operasi/pengerjaan
- Laporan Pengeluaran
- Pemenuhan/Penyesuian

1.6 PROSES MANAGEMENT RISIKO IT

- Mengidentifikasi Resiko
Perusahaan mengungkap, mengenali dan menggambarkan resiko yang mungkin
mempengaruhi proyek
- Menganalisis Resiko
Ketika resiko sudah diidentifikasi, perusahaan menentukan kemungkinan dan
konsekuensi dari setiap resiko yang ada. Perusahaan lalu mengembangkan sebuah

2
 pemahaman tentang sifat resiko dan potensi untuk mempengaruhi tujuan dan sasaran
proyek .
- Mengevaluasi Resiko
Perusahaan mengevalusi resiko dengan menentukan besarnya resiko, yang merupakan
kombinasi dari kemungkinan dan konsekuensi. Lalu Perusahaan membuat keputusan
apakah resiko itu diterima atau tidak.
- Memantau dan Mempertimbangkan Resiko
Ini adalah tahap dimana perusahaan memantau setiap resiko yang ada untuk
menghindari resiko yang lebih besar.

1.7 FUNGSI MANAJEMEN RESIKO IT

- Memberikan panduan untuk membantu para eksekutif dan manajemen mengajukan
pertanyaan kunci, membuat lebih baik, keputusan risiko-disesuaikan lebih banyak
informasi dan membimbing perusahaan mereka sehingga risiko dikelola secara
efektif.
- Membantu menghemat waktu, biaya dan tenaga dengan alat untuk mengatasi risiko
bisnis
- Mengintegrasikan manajemen TI terkait risiko bisnis menjadi manajemen risiko
perusahaan secara keseluruhan
- Membantu kepemimpinan memahami risiko perusahaan dan toleransi risiko
- Memberikan panduan praktis didorong oleh kebutuhan kepemimpinan perusahaan di
seluruh dunia

1.8 IT RISK MANAGEMENT MELIPUTI TIGA PROSES :

1. Risk Assessment
Penilaian resiko (risk assessment) merupakan proses awal di dalam metodologi
manajemen resiko. Secara lebih spesifik sejak dikeluarkannya COSO Internal Control
Integrated Framework, risk assessment dengan tegas dianggap sebagai salah satu
komponen dari sistem internal control (Woods; 2007). Organisasi menggunakan risk
assessment untuk menentukan tingkat ancaman yang potensial dan resiko yang
berhubungan dengan suatu sistem IT seluruh System Development Life Cycle (SDLC).
2. Risk Mitigation
Risk mitigation adalah satu langkah yang melibatkan usaha-usaha untuk
memprioritaskan, mengevaluasi dan menjalankan kontrol atau pengendalian yang
dapat mengurangi resiko yang tepat yang direkomendasikan dari proses risk
assessment (Stoneburner; 2002). Risk mitigation biasanya dilakukan dengan
memenuhi pendekatan biaya terendah (least-cost approach) dan melaksanakan
kontrol atau pengendalian yang paling tepat (the most appropriate controls) sehingga
dapat mengurangi resiko ke dalam tingkat yang dapat diterima dengan resiko yang
paling minim (minimal adverse impact) terhadap sumber daya dan tujuan organisasi.
3. Evaluation and assessment
Pada umumnya, di dalam suatu organisasi, jaringan secara terus menerus akan
diperluas dan diperbaharui, komponen diubah dan aplikasi software-nya diganti atau
diperbaharui dengan versi yang lebih baru. Perubahan ini berarti bahwa, resiko baru
akan timbul dan resiko yang sebelumnya dikurangi, akan menjadi suatu perhatian.
Demikian seterusnya, sehingga manajemen resiko akan berkembang.

3
 BAB II
RISIKO MANAGEMEN

Saat perusahaan Anda menerapkan strategi transformasi digitalnya, Anda meningkatkan

ketergantungan pada penyedia layanan cloud (CSP). Dengan lebih banyak vendor yang
mengakses informasi Anda, Anda meningkatkan kompleksitas program manajemen risiko
perusahaan Anda. Vendor yang disusupi bahkan tidak perlu menjadi perusahaan tempat Anda
berbisnis. Selain vendor pihak ketiga, penyedia layanan pihak keempat atau kelima yang
mengalami pelanggaran data dapat membuat informasi organisasi Anda rentan terhadap pihak
yang berniat jahat. Memahami manajemen risiko informasi dan cara memitigasi risiko ini
dapat menjadi langkah pertama untuk melindungi diri Anda dan pelanggan Anda.

2.1 PENGERTIAN RISIKO IT

Risiko IT adalah perhitungan berdasarkan kemungkinan bahwa pengguna yang tidak sah
akan berdampak negatif pada kerahasiaan, integritas, dan ketersediaan data yang Anda
kumpulkan, kirimkan, atau simpan. Lebih khusus lagi, Anda perlu meninjau semua aset
data untuk memastikan :
- Kerahasiaan
Buat dan terapkan kontrol otorisasi yang sesuai sehingga hanya pengguna yang
membutuhkan akses yang memiliki akses
- Integritas
Buat dan terapkan kontrol yang mencegah perubahan informasi tanpa izin pemilik
data
- Ketersediaan
Tetapkan dan terapkan kontrol yang mencegah sistem, jaringan, dan perangkat lunak
keluar dari layanan

2.2 APA ITU MANAJEMEN RISIKO TEKNOLOGI INFORMASI (TI)?

Manajemen risiko TI, juga disebut "manajemen risiko keamanan informasi," terdiri dari
kebijakan, prosedur, dan teknologi yang digunakan perusahaan untuk mengurangi
ancaman dari pelaku jahat dan mengurangi kerentanan teknologi informasi yang
berdampak negatif pada kerahasiaan, integritas, dan ketersediaan data.

2.3 5 LANGKAH DALAM PROSES MANAJEMEN RISIKO INFORMASI

Apa lima langkah dalam proses manajemen risiko informasi?
Langkah-langkah penting yang perlu dilakukan oleh organisasi yang terlibat dalam
program manajemen risiko TI (IRM) termasuk, mengidentifikasi lokasi informasi,
menganalisis jenis informasi, memprioritaskan risiko, menetapkan toleransi risiko untuk
setiap aset data, dan terus memantau jaringan TI perusahaan. Mari kita pelajari seperti
apa setiap langkah ini, dan mengapa masing-masing relevan untuk program manajemen
risiko TI yang efektif:

4
1. Identifikasi titik-titik potensial kerentanan
Secara konseptual, mengidentifikasi lokasi tempat data Anda berada tampaknya
cukup sederhana. Sebagian besar organisasi memulai dengan database atau aplikasi
kolaboratif mereka. Namun, karena semakin banyak perusahaan yang menggunakan
strategi cloud-first atau cloud-only, data menjadi lebih tersebar dan rentan terhadap
ancaman dunia maya. Organisasi tidak lagi hanya menyimpan data di server lokal.
Banyak yang sekarang menggunakan tanpa server atau lokasi penyimpanan berbasis
cloud lainnya seperti drive bersama. Selain itu, banyak organisasi mengumpulkan data
dengan cara baru seperti melalui portal web yang berhubungan dengan pelanggan.
Saluran transmisi data baru, seperti layanan email dan pesan, juga mengubah cara
organisasi berbagi informasi dengan pemangku kepentingan internal dan eksternal.
Lokasi pengumpulan, transmisi, dan penyimpanan data berbasis cloud menimbulkan
risiko pencurian yang lebih tinggi karena organisasi sering kali kurang dapat melihat
keefektifan kontrol mereka. Dengan demikian, perangkat keras server di lokasi lokal
mungkin berisiko lebih rendah daripada server berbasis Internet. Saat terlibat dalam
penilaian risiko informasi, Anda perlu mengidentifikasi banyak sekali lokasi dan
pengguna yang "menyentuh" informasi Anda.
2. Analisis Tipe Data
Anda tidak hanya perlu mengetahui di mana data Anda berada, tetapi Anda juga perlu
mengetahui data apa yang Anda kumpulkan. Tidak semua jenis data dibuat sama.
Informasi identitas pribadi (PII) mencakup data seperti nama, tanggal lahir, nomor
jaminan sosial, atau bahkan alamat IP. Karena pelaku jahat sering menargetkan PII
karena mereka dapat menjualnya di Web Gelap, informasi tersebut merupakan aset
berisiko tinggi. Sementara itu, Anda juga menyimpan informasi berisiko rendah,
seperti teks pemasaran. Misalnya, jika pelaku kejahatan mendapatkan salinan entri
blog, mereka tidak dapat menjualnya secara online. Mengidentifikasi jenis data yang
disimpan organisasi Anda dan menyelaraskannya dengan lokasi tempat Anda
menyimpan informasi bertindak sebagai dasar untuk analisis risiko Anda.
3. Evaluasi dan prioritaskan risiko informasi
Sekarang setelah Anda meninjau semua aset data dan mengklasifikasikannya, Anda
perlu menganalisis risikonya. Setiap jenis aset data berada di lokasi tertentu. Anda
perlu menentukan bagaimana risiko yang ditimbulkan masing-masing tumpang tindih
dan memengaruhi potensi aktor jahat untuk menyerang. Cara terbaik untuk
melakukannya adalah dengan menghitung:

Tingkat Risiko = Kemungkinan pelanggaran data X Dampak finansial dari

pelanggaran data

Misalnya, aset data berisiko rendah, seperti salinan pemasaran, mungkin di lokasi
berisiko tinggi seperti alat berbagi file. Namun, dampak finansial pada perusahaan
Anda jika aktor jahat mencuri informasi tersebut minimal. Dengan demikian, ini
mungkin dikategorikan sebagai risiko rendah atau sedang. Sementara itu, aset data
berisiko tinggi, seperti file medis konsumen, di lokasi berisiko sedang, seperti cloud

5
 pribadi, akan menimbulkan dampak finansial yang besar. Dengan demikian, ini
hampir selalu dianggap sebagai risiko tinggi bagi organisasi Anda.
4. Tetapkan toleransi risiko dan tetapkan proses manajemen risiko TI
Menetapkan toleransi risiko Anda berarti memutuskan apakah akan menerima,
mentransfer, mengurangi, atau menolak risiko. Contoh kontrol untuk mentransfer
risiko mungkin membeli asuransi kewajiban risiko cyber. Contoh kontrol untuk
mengurangi risiko mungkin dengan memasang firewall untuk mencegah akses ke
lokasi tempat data berada. Kontrol yang meringankan, seperti firewall atau enkripsi,
bertindak sebagai penghalang bagi aktor jahat. Namun, bahkan kontrol yang
meringankan bisa gagal.
5. Terus pantau risiko anda
Aktor jahat tidak pernah berhenti mengembangkan metodologi ancaman mereka.
Ketika perusahaan menjadi lebih baik dalam mengidentifikasi dan melindungi dari
jenis ransomware baru, aktor jahat telah merespons dengan lebih fokus pada
cryptocurrency dan phishing. Dengan kata lain, kontrol efektif hari ini mungkin
menjadi kelemahan di masa depan.

2.4 TEKNIK MANAJEMEN RISIKO

- Risiko akan mempengaruhi kemampuan proyek untuk memberikan hasil yang tepat
waktu dan sesuai anggaran, pada tingkat kualitas yang ditentukan.
- Risiko yang mempengaruh dalam implementasi SAP adalah risiko organisasional dan
risiko teknika
- Tindakan proaktif untuk mengurangi ketidakpastian, akan meningkatkan keberhasilan
implementasi.

2.5 PRAKTIK TERBAIK UNTUK MANAJEMEN RISIKO INFORMASI

Program manajemen risiko TI yang efektif harus menggunakan kombinasi kebijakan dan
strategi yang berbeda, karena serangan dapat datang dalam berbagai bentuk dan apa yang
berhasil untuk satu aset data mungkin tidak berhasil untuk yang lain. Namun, ada
tindakan menyeluruh yang dapat dilakukan semua organisasi untuk mulai memperkuat
postur keamanan siber mereka. Yang terpenting, sangat penting bahwa tim keamanan
perusahaan memiliki pemantauan berkelanjutan untuk memastikan bahwa upaya
keamanan siber mengikuti lanskap ancaman yang terus berkembang. Lihat 3 praktik
terbaik untuk mengelola program manajemen risiko TI organisasi Anda:
1. Pantau lingkungan TI anda
Memantau lingkungan TI Anda secara terus-menerus dapat membantu organisasi
Anda mendeteksi kelemahan, dan membantu Anda memprioritaskan aktivitas
perbaikan Anda. Misalnya, banyak organisasi kesulitan dengan konfigurasi resource
cloud. Laporan berita sering menyebutkan bucket "AWS S3". Lokasi penyimpanan
cloud publik ini tidak secara inheren berisiko, tetapi kegagalan untuk
mengonfigurasinya dengan tepat membuat mereka terbuka untuk publik, termasuk
penyerang. Memantau lingkungan TI Anda secara terus-menerus dapat membantu
mendeteksi basis data yang salah konfigurasi dan lokasi penyimpanan untuk
mengamankan informasi dengan lebih baik.

6
2. Pantau aliran suplai anda
Mitigasi risiko vendor pihak ketiga juga bertindak sebagai bagian penting dari strategi
manajemen risiko TI Anda. Meskipun Anda dapat mengontrol vendor Anda, Anda
mungkin tidak dapat menegaskan kewajiban kontrak yang sama terhadap vendor mereka.
Sebagai bagian dari strategi manajemen risiko informasi holistik, Anda memerlukan
visibilitas ke dalam postur keamanan siber di seluruh ekosistem Anda.
Misalnya, jika vendor vendor Anda menggunakan database cloud dan menyimpan data
sebagai teks biasa, maka informasi Anda berisiko. Terus memantau aliran pasokan Anda
untuk enkripsi, cara untuk membuat data tidak dapat dibaca bahkan jika penyerang
mengaksesnya, memberikan visibilitas ke kesehatan dunia maya ekosistem Anda.
3. Pantau Kepatuhan
Karena pelanggaran data memerintahkan lebih banyak berita utama baru, badan
legislatif, dan organisasi standar industri telah merilis persyaratan kepatuhan yang lebih
ketat. Beberapa undang-undang baru seperti Peraturan Perlindungan Data Umum
(GDPR), Undang-Undang Privasi Konsumen California (CCPA), dan Undang-Undang
Berhenti Meretas dan Meningkatkan Keamanan Data Elektronik New York (NY
SHIELD) memerlukan pemantauan berkelanjutan sebagai bagian dari program keamanan
siber kepatuhan.
Untuk membuat program manajemen risiko TI yang sesuai, Anda perlu memantau dan
mendokumentasikan aktivitas Anda untuk memberikan jaminan kepada auditor internal
dan eksternal. Saat Anda terus memantau ekosistem TI perusahaan, Anda perlu
memprioritaskan tindakan remediasi dan mendokumentasikan aktivitas Anda,
memberikan bukti tata kelola kepada auditor Anda.

7
 BAB III
KERANGKA KERJA IT RISK MANAGEMENT

Menurut kerangka kerja TI Risiko, IT Risiko tidak hanya mencakup dampak negatif dari
operasi dan penyampaian layanan yang dapat membawa kehancuran atau pengurangan nilai
organisasi, tetapi juga manfaat yang memungkinkan risiko terkait dengan hilangnya peluang
untuk menggunakan teknologi untuk memungkinkan atau meningkatkan bisnis atau
manajemen proyek TI untuk aspek-aspek seperti pengeluaran berlebih atau pengiriman
terlambat dengan dampak bisnis yang merugikan. Karena risiko sangat terkait dengan
ketidakpastian, teori keputusan harus diterapkan untuk mengelola risiko sebagai ilmu, yaitu
secara rasional membuat pilihan di bawah ketidakpastian. Secara umum, risiko adalah hasil
dari kemungkinan waktu dampak (Risiko = Kemungkinan * Dampak). Ukuran risiko TI
dapat ditentukan sebagai produk dari ancaman, kerentanan, dan nilai aset:

Risiko = Ancaman * Kerentanan * Aset}

Kerangka kerja manajemen Risiko yang lebih baru untuk Risiko TI adalah kerangka kerja
TIK:
Risiko = ((Kerentanan * Ancaman) / CounterMeasure) * AssetValueatRisk}

Proses manajemen risiko adalah proses berulang yang berkelanjutan. Itu harus diulang tanpa
batas. Lingkungan bisnis terus berubah dan ancaman serta kerentanan baru muncul setiap
hari. Pilihan tindakan penanggulangan (kontrol) yang digunakan untuk mengelola risiko
harus mencapai keseimbangan antara produktivitas, biaya, efektivitas tindakan
penanggulangan, dan nilai aset informasi yang dilindungi.

The Certified Information Systems Auditor Review Manual 2006 yang dibuat oleh ISACA,
asosiasi profesional internasional yang berfokus pada Tata Kelola TI, memberikan definisi
manajemen risiko berikut: "Manajemen risiko adalah proses mengidentifikasi kerentanan dan
ancaman terhadap sumber daya informasi yang digunakan oleh organisasi dalam mencapai
tujuan bisnis, dan memutuskan tindakan pencegahan apa, jika ada, yang harus diambil dalam
mengurangi risiko ke tingkat yang dapat diterima, berdasarkan nilai sumber daya informasi
bagi organisasi.

Kepala unit organisasi harus memastikan bahwa organisasi memiliki kemampuan yang
dibutuhkan untuk menyelesaikan misinya. Pemilik misi ini harus menentukan kemampuan
keamanan yang harus dimiliki oleh sistem TI mereka untuk memberikan tingkat dukungan
misi yang diinginkan dalam menghadapi ancaman dunia nyata. Sebagian besar organisasi
memiliki anggaran yang ketat untuk keamanan TI; oleh karena itu, pengeluaran keamanan TI
harus ditinjau selengkap keputusan manajemen lainnya. Metodologi manajemen risiko yang
terstruktur dengan baik, bila digunakan secara efektif, dapat membantu manajemen
mengidentifikasi kontrol yang sesuai untuk menyediakan kemampuan keamanan yang
penting bagi misi.

8
3.1 HUBUNGAN ANTARA ENTITAS KEAMANAN TI

Manajemen risiko dalam dunia

IT merupakan aktivitas yang
cukup kompleks, multi-face,
dengan banyak keterkaitan
dengan aktivitas kompleks
lainnya. Gambar di samping
menunjukkan hubungan antara
istilah terkait yang berbeda.
Pusat Pendidikan dan Pelatihan
Jaminan Informasi Nasional
Amerika mendefinisikan
manajemen risiko di bidang TI
sebagai:
1. Proses total untuk mengidentifikasi, mengontrol, dan meminimalkan dampak dari
peristiwa yang tidak pasti. Tujuan dari program manajemen risiko adalah untuk
mengurangi risiko dan memperoleh serta mempertahankan persetujuan DAA. Proses
tersebut memfasilitasi manajemen risiko keamanan oleh setiap tingkat manajemen di
sepanjang siklus hidup sistem. Proses persetujuan terdiri dari tiga elemen: analisis
risiko, sertifikasi, dan persetujuan.
2. Unsur ilmu manajerial yang berkaitan dengan identifikasi, pengukuran, pengendalian,
dan minimalisasi kejadian yang tidak pasti. Program manajemen risiko yang efektif
mencakup empat tahap berikut:
a. Penilaian risiko, yang berasal dari evaluasi ancaman dan kerentanan.
b. Keputusan manajemen.
c. Implementasi kontrol.
d. Tinjauan efektivitas.
3. Proses total untuk mengidentifikasi, mengukur, dan meminimalkan kejadian tidak
pasti yang mempengaruhi sumber daya SIA. Ini mencakup analisis risiko, analisis
manfaat biaya, pemilihan pengamanan, pengujian dan evaluasi keamanan,
implementasi pengamanan, dan tinjauan sistem.
4. Proses total untuk mengidentifikasi, mengendalikan, dan menghilangkan atau
meminimalkan kejadian tidak pasti yang dapat mempengaruhi sumber daya sistem.
Ini termasuk analisis risiko, analisis manfaat biaya, pemilihan, implementasi dan
pengujian, evaluasi keamanan pengamanan, dan tinjauan keamanan secara
keseluruhan.

9
3.2 MANAJEMEN RISIKO SEBAGAI BAGIAN DARI MANAJEMEN RISIKO
PERUSAHAAN
Beberapa organisasi memiliki, dan banyak lainnya harus memiliki, manajemen risiko
Perusahaan (ERM) yang komprehensif. Empat kategori obyektif yang dibahas, menurut
Committee of Sponsoring Organizations of the Treadway Commission (COSO) adalah:
 Strategi - tujuan tingkat tinggi, selaras dengan dan mendukung misi organisasi
 Operasi - penggunaan sumber daya yang efektif dan efisien
 Pelaporan Keuangan - keandalan pelaporan operasional dan keuangan
 Kepatuhan - kepatuhan terhadap hukum dan peraturan yang berlaku
Menurut kerangka kerja Risiko TI oleh ISACA, Risiko TI bersifat transversal ke
keempat kategori. Risiko TI harus dikelola dalam kerangka manajemen risiko
Perusahaan: Selera risiko dan sensitivitas Risiko seluruh perusahaan harus memandu
proses manajemen risiko TI. ERM harus memberikan konteks dan tujuan bisnis untuk
manajemen risiko TI

3.3 METODOLOGI MANAJEMEN RISIKO

Sedangkan metodologi
tidak menjelaskan metode
tertentu; meskipun
demikian, ia menentukan
beberapa proses
(merupakan kerangka
umum) yang perlu
diikuti. Proses ini dapat
dipecah dalam sub-
proses, mungkin
digabungkan, atau
urutannya dapat berubah.
Latihan manajemen risiko
harus melaksanakan
proses ini dalam satu
bentuk atau lainnya,
Tabel berikut
membandingkan proses
yang diperkirakan oleh
tiga standar terkemuka Kerangka kerja TI Risiko ISACA lebih baru. Panduan Praktisi TI
Risiko membandingkan TI Risiko dan ISO 27005. Istilah metodologi berarti seperangkat
prinsip dan aturan terorganisir yang mendorong tindakan dalam bidang pengetahuan
tertentu. Perbandingan keseluruhan diilustrasikan dalam tabel berikut.

10
 PROSES PENYUSUSNAN MANAJEMEN RISIKO

ISO/IEC BS NIST
27005:2008 7799-3:2006 SP 800-39 RISK IT
RG dan RE Domains lebih
tepatnya
 RG1.2 Mengusulkan
toleransi risiko TI,
 RG2.1 Menetapkan dan
memelihara akuntabilitas
manajemen risiko TI
Penetapan Konteks Konteks Frame  RG2.3 Menyesuaikan
Organisasi praktik risiko TI dengan
praktik risiko perusahaan,
 RG2.4 Menyediakan sumber
daya yang memadai untuk
manajemen risiko TI,
 RE2.1 Tentukan ruang
lingkup analisis risiko TI.
Proses RE2 meliputi:
 RE2.1 Tentukan ruang
lingkup analisis risiko TI.
 RE2.2 Perkirakan risiko TI.
 RE2.3 Mengidentifikasi opsi
respons risiko.
 RE2.4 Lakukan tinjauan
Tugas Berisiko Tugas Berisiko Menilai sejawat atas analisis risiko
TI.
Secara umum, elemen-elemen
yang dijelaskan dalam proses
ISO 27005 semuanya termasuk
dalam IT Risiko; namun,
beberapa terstruktur dan diberi
nama berbeda.
Perlakuan risiko  RE 2.3 Mengidentifikasi
dan pengambilan opsi respons risiko
Perawatan Risiko keputusan Menanggapi  RR2.3 Menanggapi
manajemen eksposur risiko dan peluang
yang ditemukan
Penerimaan Risiko RG3.4 Terima risiko TI
Komunikasi Risiko Aktivitas  RG1.5 Mempromosikan
manajemen budaya sadar risiko TI
risiko yang  RG1.6 Mendorong
sedang komunikasi risiko TI yang
berlangsung efektif
 RE3.6 Mengembangkan
indikator risiko TI.

11
 Pemantauan dan Monitor  RG2 Terintegrasi dengan
peninjauan risiko ERM.
 RE2.4 Lakukan tinjauan
sejawat atas analisis risiko
TI.
 RG2.5 Memberikan jaminan
independen atas manajemen
risiko TI

Karena sifat probabilistik dan kebutuhan analisis manfaat biaya, risiko TI dikelola mengikuti
proses yang menurut NIST SP 800-30 dapat dibagi dalam langkah-langkah berikut:
1. Penilaian risiko,
2. Mitigasi risiko, dan
3. Evaluasi dan penilaian.
Manajemen risiko yang efektif harus diintegrasikan sepenuhnya ke dalam Siklus Hidup
Pengembangan Sistem. Analisis risiko informasi yang dilakukan pada aplikasi, instalasi
komputer, jaringan dan sistem yang sedang dikembangkan harus dilakukan dengan
menggunakan metodologi terstruktur

3.4 PENETAPAN KONTEKS

Langkah ini adalah langkah pertama dalam kerangka ISO ISO / IEC 27005. Sebagian
besar kegiatan dasar diramalkan sebagai sub proses pertama dari penilaian Risiko
menurut NIST SP 800-30. Langkah ini menyiratkan perolehan semua informasi yang
relevan tentang organisasi dan penetapan kriteria dasar, tujuan, ruang lingkup dan
batasan kegiatan manajemen risiko dan organisasi yang bertanggung jawab atas
kegiatan manajemen risiko. Tujuannya biasanya untuk memenuhi persyaratan hukum
dan memberikan bukti uji tuntas yang mendukung SMKI yang dapat disertifikasi.
Ruang lingkupnya dapat berupa rencana pelaporan insiden, rencana kesinambungan
bisnis. Area aplikasi lain dapat menjadi sertifikasi suatu produk. Kriteria meliputi
evaluasi risiko, penerimaan risiko dan kriteria evaluasi dampak. Ini dikondisikan oleh:
1. persyaratan hukum dan peraturan
2. nilai strategis untuk bisnis proses informasi
3. harapan pemangku kepentingan
4. konsekuensi negatif bagi reputasi organisasi
Menetapkan ruang lingkup dan batasan, organisasi harus dipelajari: misinya, nilai-
nilainya, strukturnya; strateginya, lokasinya dan lingkungan budayanya. Batasan
(anggaran, budaya, politik, teknis) organisasi harus dikumpulkan dan didokumentasikan
sebagai panduan untuk langkah selanjutnya.

12
 BAB IV
ORGANISASI UNTUK MANAJEMEN KEAMANAN

Pembentukan organisasi yang bertanggung jawab atas manajemen risiko diperkirakan

sebagian memenuhi persyaratan untuk menyediakan sumber daya yang dibutuhkan untuk
membentuk, menerapkan, mengoperasikan, memantau, meninjau, memelihara, dan
meningkatkan SMKI. Peran utama dalam organisasi ini adalah:
1. Manajemen Senior
2. Petugas informasi kepala (CIO)
3. Pemilik Sistem dan Informasi
4. manajer bisnis dan fungsional
5. Petugas Keamanan Sistem Informasi (ISSO) atau Kepala petugas keamanan informasi
(CISO)
6. Praktisi Keamanan TI
7. Pelatih Kesadaran Keamanan

4.1 TUGAS BERESIKO

Manajemen Risiko adalah aktivitas berulang yang berhubungan dengan analisis,
perencanaan, implementasi, kontrol, dan pemantauan pengukuran yang diterapkan dan
kebijakan keamanan yang diberlakukan. Sebaliknya, Penilaian Risiko dilaksanakan pada
titik waktu yang
berbeda (misalnya
setahun sekali, sesuai
permintaan, dll.) Dan
- hingga kinerja
penilaian berikutnya -
memberikan
pandangan sementara
dari risiko yang dinilai
dan sambil mengukur
seluruh proses
Manajemen Risiko.
Pandangan hubungan
Manajemen Risiko
dengan Penilaian
Risiko ini
digambarkan dalam gambar yang diadopsi dari OCTAVE. Penilaian risiko sering
dilakukan dalam lebih dari satu iterasi, yang pertama adalah penilaian tingkat tinggi
untuk mengidentifikasi risiko tinggi, sedangkan iterasi lainnya merinci analisis risiko
utama dan risiko lainnya.

13
Menurut National Information Assurance Training and Education Center penilaian risiko di
bidang IT adalah:
1. Sebuah studi tentang kerentanan, ancaman, kemungkinan, kerugian atau dampak, dan
efektivitas teoritis dari langkah-langkah keamanan. Manajer menggunakan hasil
penilaian risiko untuk mengembangkan persyaratan dan spesifikasi keamanan.
2. Proses mengevaluasi ancaman dan kerentanan, yang diketahui dan didalilkan, untuk
menentukan kerugian yang diharapkan dan menetapkan tingkat penerimaan operasi
sistem.
3. Identifikasi aset fasilitas ADP tertentu, ancaman terhadap aset ini, dan kerentanan
fasilitas ADP terhadap ancaman tersebut.
4. Analisis aset sistem dan kerentanan untuk menetapkan kerugian yang diharapkan dari
peristiwa tertentu berdasarkan perkiraan probabilitas terjadinya peristiwa tersebut.
Tujuan dari penilaian risiko adalah untuk menentukan apakah tindakan pencegahan
cukup untuk mengurangi kemungkinan kerugian atau dampak kerugian ke tingkat yang
dapat diterima.
5. Alat manajemen yang memberikan pendekatan sistematis untuk menentukan nilai relatif
dan sensitivitas aset instalasi komputer, menilai kerentanan, menilai ekspektasi kerugian
atau tingkat eksposur risiko yang dirasakan, menilai fitur perlindungan yang ada dan
alternatif perlindungan tambahan atau penerimaan risiko dan mendokumentasikan
keputusan manajemen. Keputusan untuk menerapkan fitur perlindungan tambahan
biasanya didasarkan pada adanya rasio yang wajar antara biaya / manfaat perlindungan
dan sensitivitas / nilai aset yang akan dilindungi. Penilaian risiko dapat bervariasi dari
tinjauan informal instalasi komputer mikro skala kecil hingga analisis yang lebih formal
dan terdokumentasi lengkap (misalnya, analisis risiko) dari instalasi komputer skala
besar. Metodologi penilaian risiko dapat bervariasi dari pendekatan kualitatif atau
kuantitatif hingga kombinasi dari kedua pendekatan ini.

4.2 KERANGKA ISO 27005

Penilaian risiko menerima sebagai masukan keluaran dari langkah sebelumnya
Penetapan konteks; Outputnya adalah daftar risiko yang dinilai yang diprioritaskan
menurut kriteria evaluasi risiko. Prosesnya dapat dibagi menjadi beberapa langkah
berikut, Analisis risiko, dibagi lagi menjadi:
 Identifikasi resiko
 Estimasi risiko
 Evaluasi resiko
Tabel berikut membandingkan proses ISO 27005 ini dengan proses kerangka kerja
Risiko TI:

14
 PROSES KONSTITUEN PENILAIAN RISIKO

ISO 27005 RISIKO IT

Analisis Risiko  RE2 Analisis risiko terdiri lebih dari apa yang dijelaskan oleh
langkah proses ISO 27005. RE2 bertujuan untuk
mengembangkan informasi yang berguna untuk mendukung
keputusan risiko yang mempertimbangkan relevansi bisnis dari
faktor risiko.
 RE1 Collect data berfungsi sebagai input untuk analisis risiko
(misalnya, mengidentifikasi faktor risiko, mengumpulkan data
tentang lingkungan eksternal).
Identifikasi Risiko Proses ini termasuk dalam RE2.2 Estimasi risiko TI. Identifikasi
risiko terdiri dari elemen-elemen berikut:
 Skenario risiko
 Faktor risiko
Estiminasi Risiko RE2.2 Perkirakan risiko TI
Evaluasi Risiko RE2.2 Perkirakan risiko TI

ISO / IEC 27002: 2005 Kode praktik untuk manajemen keamanan informasi
merekomendasikan hal-hal berikut ini untuk diperiksa selama penilaian risiko:
 Kebijakan keamanan
 Organisasi keamanan informasi,
 Manajemen aset,
 Keamanan sumber daya manusia,
 Keamanan fisik dan lingkungan,
 Komunikasi dan manajemen operasi,
 Kontrol akses,
 Akuisisi, pengembangan dan pemeliharaan sistem informasi, (lihat Siklus Hidup
Pengembangan Sistem)
 Manajemen insiden keamanan informasi,
 Manajemen kelangsungan bisnis, dan
 Kepatuhan terhadap peraturan.

4.3 IDENTIFIKASI RISIKO

15
 Identifikasi menyatakan apa yang dapat menyebabkan potensi kerugian; berikut ini
akan diidentifikasi :
 Aset, primer (yaitu proses bisnis dan informasi terkait) dan pendukung (yaitu
perangkat keras, perangkat lunak, personel, situs, struktur organisasi)
 Ancaman
 Langkah-langkah keamanan yang ada dan yang direncanakan\
 Kerentanan
 Konsekuensi
 Proses bisnis terkait

Output subproses terdiri dari:

 Daftar aset dan proses bisnis terkait yang akan dikelola risiko dengan daftar
ancaman terkait, langkah-langkah keamanan yang ada dan yang direncanakan
 Daftar kerentanan yang tidak terkait dengan ancaman yang teridentifikasi
 Daftar skenario insiden dengan konsekuensinya.

4.4 ESTIMASI RISIKO

Ada dua metode penilaian risiko di bidang keamanan informasi, kuantitatif dan
kualitatif. Penilaian risiko kuantitatif murni adalah perhitungan matematis
berdasarkan metrik keamanan pada aset (sistem atau aplikasi). Untuk setiap skenario
risiko, dengan mempertimbangkan faktor risiko yang berbeda, maka Single Loss
Expektancy (SLE) ditentukan. Kemudian, dengan mempertimbangkan probabilitas
kejadian pada basis periode tertentu, misalnya laju kejadian tahunan (ARO),
Ekspektansi Kerugian Tahunan ditentukan sebagai produk dari ARO dan SLE.
Penting untuk ditunjukkan bahwa nilai aset yang akan dipertimbangkan adalah nilai
semua aset yang terlibat, tidak hanya nilai sumber daya yang terpengaruh secara
langsung.
Misalnya, jika Anda mempertimbangkan skenario risiko ancaman pencurian Laptop,
Anda harus mempertimbangkan nilai data (aset terkait) yang terdapat di komputer
serta reputasi dan kewajiban perusahaan (aset lain) yang berasal dari hilangnya
ketersediaan. dan kerahasiaan data yang mungkin terlibat. Sangat mudah untuk
memahami bahwa aset tidak berwujud (data, reputasi, kewajiban) dapat bernilai lebih
dari sumber daya fisik yang berisiko (perangkat keras laptop dalam contoh). Nilai aset
tidak berwujud bisa sangat besar, tetapi tidak mudah untuk dievaluasi: ini dapat
menjadi pertimbangan dibandingkan pendekatan kuantitatif murni. Penilaian risiko
kualitatif (evaluasi tiga hingga lima langkah, dari Sangat Tinggi hingga Rendah)
dilakukan ketika organisasi memerlukan penilaian risiko dilakukan dalam waktu yang
relatif singkat atau untuk memenuhi anggaran yang kecil, data relevan dalam jumlah
yang signifikan tidak tersedia, atau orang yang melakukan penilaian tidak memiliki
keahlian matematika, keuangan, dan penilaian risiko yang diperlukan. Penilaian risiko
kualitatif dapat dilakukan dalam waktu yang lebih singkat dan dengan data yang lebih
sedikit. Penilaian risiko kualitatif biasanya dilakukan melalui wawancara terhadap
sampel personel dari semua kelompok yang relevan dalam organisasi yang

16
 bertanggung jawab atas keamanan aset yang sedang dinilai. Penilaian risiko kualitatif
bersifat deskriptif versus terukur. Biasanya klasifikasi kualitatif dilakukan diikuti
dengan evaluasi kuantitatif dari risiko tertinggi untuk dibandingkan dengan biaya
tindakan pengamanan. Estimasi risiko merupakan input dari hasil analisis risiko dan
dapat dibagi menjadi beberapa langkah sebagai berikut :
 Penilaian konsekuensi melalui penilaian asset
 Penilaian kemungkinan insiden (melalui penilaian ancaman dan kerentanan)
 Berikan nilai pada kemungkinan dan konsekuensi risiko
Keluarannya adalah daftar risiko dengan tingkat nilai yang ditetapkan. Itu dapat
didokumentasikan dalam register risiko. Risiko yang timbul dari ancaman keamanan
dan serangan musuh mungkin sangat sulit untuk diperkirakan. Kesulitan ini menjadi
lebih buruk karena, setidaknya untuk sistem TI apa pun yang terhubung ke Internet,
setiap musuh dengan niat dan kemampuan dapat menyerang karena kedekatan fisik
atau akses tidak diperlukan. Beberapa model awal telah diusulkan untuk masalah ini.
Selama estimasi risiko umumnya ada tiga nilai aset tertentu, satu untuk kehilangan
salah satu properti CIA: Kerahasiaan, Integritas, Ketersediaan.

4.5 EVALUASI RISIKO

Proses evaluasi risiko menerima sebagai masukan keluaran dari proses analisis risiko.
Ini membandingkan setiap tingkat risiko dengan kriteria penerimaan risiko dan
memprioritaskan daftar risiko dengan indikasi perlakuan risiko.

17
 BAB V
NIST SP 800 30 FRAMEWORK

Untuk menentukan kemungkinan

kejadian buruk di masa depan,
ancaman terhadap sistem TI harus
terkait dengan potensi kerentanan dan
kontrol yang ada untuk sistem TI.
Dampak mengacu pada besarnya
kerugian yang dapat disebabkan oleh
penggunaan kerentanan oleh suatu
ancaman. Tingkat dampak diatur oleh
potensi dampak misi dan
menghasilkan nilai relatif untuk aset
dan sumber daya TI yang
terpengaruh (misalnya, sensitivitas
kritis dari komponen dan data sistem
TI). Metodologi penilaian risiko
mencakup sembilan langkah utama :
 Langkah 1 Karakterisasi Sistem
 Langkah 2 Identifikasi Ancaman
 Langkah 3 Identifikasi Kerentanan
 Langkah 4 Analisis Pengendalian
 Langkah 5 Penentuan
Kemungkinan
 Langkah 6 Analisis Dampak
 Langkah 7 Penentuan Resiko
 Langkah 8 Rekomendasi Kontrol
 Langkah 9 Hasil Dokumentasi

5.1 MITIGASI RISIKO

Mitigasi risiko, proses kedua menurut SP 800-30, proses ketiga menurut ISO 27005
dari manajemen risiko, melibatkan penentuan prioritas, evaluasi, dan penerapan kontrol
pengurangan risiko yang sesuai yang direkomendasikan dari proses penilaian risiko.
Karena penghapusan semua risiko biasanya tidak praktis atau hampir tidak mungkin,
adalah tanggung jawab manajemen senior dan manajer fungsional dan bisnis untuk
menggunakan pendekatan biaya terendah dan menerapkan kontrol yang paling tepat
untuk mengurangi risiko misi ke tingkat yang dapat diterima, dengan minimal
berdampak buruk pada sumber daya dan misi organisasi.

18
5.2 ISO 27005 FRAMEWORK
Proses perlakuan risiko bertujuan untuk memilih langkah-langkah keamanan untuk:
 Mengurangi
 Menahan
 Menghindari
 Transfer
Risiko dan menghasilkan rencana perlakuan risiko, yang merupakan output dari proses
dengan risiko residual tunduk pada penerimaan manajemen. Ada beberapa daftar untuk
memilih langkah-langkah keamanan yang sesuai, tetapi terserah pada organisasi
tunggal untuk memilih yang paling tepat sesuai dengan strategi bisnisnya, batasan
lingkungan dan keadaan. Pilihannya harus rasional dan didokumentasikan. Pentingnya
menerima risiko yang terlalu mahal untuk dikurangi sangat tinggi dan mengarah pada
fakta bahwa penerimaan risiko dianggap sebagai proses terpisah.
Pengalihan risiko diterapkan jika risiko memiliki dampak yang sangat tinggi tetapi
tidak mudah untuk mengurangi kemungkinan secara signifikan melalui kontrol
keamanan: premi asuransi harus dibandingkan dengan biaya mitigasi, yang pada
akhirnya mengevaluasi beberapa strategi campuran untuk menangani sebagian risiko.
Pilihan lainnya adalah melakukan outsourcing risiko kepada seseorang yang lebih
efisien untuk mengelola risiko. Penghindaran risiko menggambarkan setiap tindakan di
mana cara menjalankan bisnis diubah untuk menghindari terjadinya risiko. Misalnya,
pilihan untuk tidak menyimpan informasi sensitif tentang pelanggan dapat menjadi
penghindaran risiko pencurian data pelanggan. Risiko sisa, yaitu risiko yang tersisa
setelah keputusan perlakuan risiko diambil, harus diperkirakan untuk memastikan
bahwa perlindungan yang memadai tercapai. Jika risiko sisa tidak dapat diterima,
proses perlakuan risiko harus diulang.

5.3 NIST SP 800 30 FRAMEWORK

Mitigasi risiko adalah metodologi sistematis yang digunakan oleh manajemen senior
untuk mengurangi risiko misi. Mitigasi risiko dapat dicapai melalui salah satu opsi
mitigasi risiko berikut :
 Asumsi Risiko.
Untuk menerima
potensi risiko dan
terus mengoperasikan
sistem TI atau
menerapkan kontrol
untuk menurunkan
risiko ke tingkat yang
dapat diterima
 Penghindaran
Risiko.
Untuk menghindari
risiko dengan

19
 menghilangkan penyebab dan / atau konsekuensi risiko (misalnya, melupakan
fungsi tertentu dari sistem atau mematikan sistem saat risiko teridentifikasi)
 Batasan Resiko.
Untuk membatasi risiko dengan menerapkan kontrol yang meminimalkan dampak
merugikan dari ancaman yang menggunakan kerentanan (misalnya, penggunaan
pendukung, pencegahan, kontrol detektif)
 Perencanaan Resiko.
Mengelola risiko dengan mengembangkan rencana mitigasi risiko yang
memprioritaskan, menerapkan, dan memelihara pengendalian
 Riset dan Pengakuan.
Untuk menurunkan risiko kerugian dengan mengakui kerentanan atau kekurangan
dan meneliti kontrol untuk memperbaiki kerentanan
 Pemindahan Risiko.
Untuk mentransfer risiko dengan menggunakan opsi lain untuk mengkompensasi
kerugian, seperti membeli asuransi.
Atasi risiko terbesar dan upayakan mitigasi risiko yang memadai dengan biaya
terendah, dengan dampak minimal pada kemampuan misi lainnya: ini adalah saran
yang terkandung dalam.

5.4 KOMUNIKASI RISIKO

Artikel utama: Manajemen risiko Komunikasi risiko
Komunikasi risiko adalah proses horizontal yang berinteraksi dua arah dengan semua
proses manajemen risiko lainnya. Tujuannya adalah untuk membangun pemahaman
bersama tentang semua aspek risiko di antara semua pemangku kepentingan organisasi.
Membangun pemahaman bersama itu penting, karena itu memengaruhi keputusan yang
akan diambil. Metode Ikhtisar Pengurangan Risiko dirancang khusus untuk proses ini.
Ini menyajikan gambaran umum yang komprehensif tentang koherensi risiko, ukuran
dan risiko residual untuk mencapai pemahaman bersama ini.

5.5 PEMANTAUAN DAN PENINJAUAN RISIKO

Manajemen risiko adalah proses yang berkelanjutan dan tidak pernah berakhir. Dalam
proses ini, langkah-langkah keamanan yang diterapkan dipantau dan ditinjau secara
teratur untuk memastikan bahwa mereka bekerja sesuai rencana dan bahwa perubahan
lingkungan membuat mereka tidak efektif. Persyaratan bisnis, kerentanan, dan ancaman
dapat berubah seiring waktu. Audit reguler harus dijadwalkan dan harus dilakukan oleh
pihak independen, yaitu seseorang yang tidak berada di bawah kendali yang
bertanggung jawab atas penerapan atau manajemen harian SMKI.

20
 BAB VI
EVALUASI DAN PENILAIAN TI

Kontrol keamanan harus divalidasi. Kontrol teknis adalah kemungkinan sistem kompleks
yang akan diuji dan diverifikasi. Bagian tersulit untuk memvalidasi adalah pengetahuan orang
tentang kontrol prosedural dan efektivitas aplikasi nyata dalam bisnis sehari-hari dari
prosedur keamanan. Penilaian kerentanan, baik internal maupun eksternal, dan Uji penetrasi
adalah instrumen untuk memverifikasi status kontrol keamanan. Audit keamanan teknologi
informasi adalah pengendalian organisasi dan prosedural dengan tujuan mengevaluasi
keamanan. Sistem TI di sebagian besar organisasi berkembang cukup pesat. Manajemen
risiko harus mengatasi perubahan ini melalui otorisasi perubahan setelah evaluasi ulang risiko
dari sistem dan proses yang terpengaruh dan secara berkala meninjau risiko dan tindakan
mitigasi. Sistem pemantauan kejadian sesuai dengan strategi pemantauan keamanan, rencana
tanggapan insiden dan validasi keamanan dan metrik adalah kegiatan mendasar untuk
memastikan bahwa tingkat keamanan yang optimal diperoleh. Penting untuk memantau
kerentanan baru, menerapkan kontrol keamanan prosedural dan teknis seperti memperbarui
perangkat lunak secara teratur, dan mengevaluasi jenis kontrol lain untuk menangani
serangan zero-day. Sikap orang-orang yang terlibat untuk melakukan benchmark terhadap
praktik terbaik dan mengikuti seminar dari asosiasi profesional di sektor ini merupakan
faktor-faktor untuk memastikan keadaan seni praktik manajemen risiko TI organisasi.

6.1 MENGINTEGRASIKAN MANAJEMEN RISIKO KEDALAM SIKLUS HIDUP

PEGEMBANGAN SISTEM
Manajemen risiko yang efektif harus diintegrasikan sepenuhnya ke dalam SDLC.
SDLC sistem TI memiliki lima fase: inisiasi, pengembangan atau akuisisi,
implementasi, operasi atau pemeliharaan, dan pembuangan. Metodologi manajemen
risiko adalah sama terlepas dari fase SDLC dimana penilaian dilakukan. Manajemen
risiko adalah proses berulang yang dapat dilakukan selama setiap fase utama SDLC.

INTEGRASI MANAJEMEN RISIKO KE DALAM SDLC

Tahapan SDLC Karakteristik Fase Dukungan dari Aktivitas

Manajemen Risiko

Kebutuhan akan sistem TI Risiko yang teridentifikasi

Tahap 1: Inisiasi diungkapkan dan tujuan serta digunakan untuk mendukung
ruang lingkup sistem TI pengembangan persyaratan
didokumentasikan sistem, termasuk persyaratan
keamanan, dan konsep
operasi keamanan (strategi)

21
 Risiko yang diidentifikasi
selama fase ini dapat
digunakan untuk mendukung
Fase 2: Pengembangan atau Sistem TI dirancang, dibeli, analisis keamanan sistem TI
Akuisisi diprogram, dikembangkan, yang dapat mengarah pada
atau dibangun pengorbanan arsitektur dan
desain selama pengembangan
sistem.

Proses manajemen risiko

mendukung penilaian
penerapan sistem terhadap
Tahap 3: Implementasi Fitur keamanan sistem harus persyaratannya dan dalam
dikonfigurasi, diaktifkan, lingkungan operasional yang
diuji, dan diverifikasi dimodelkan. Keputusan
mengenai risiko yang
diidentifikasi harus dibuat
sebelum pengoperasian
sistem

Sistem menjalankan Aktivitas manajemen risiko

fungsinya. Biasanya sistem dilakukan untuk otorisasi
sedang dimodifikasi secara ulang sistem berkala (atau
Fase 4: Operasi atau berkelanjutan melalui akreditasi ulang) atau setiap
Pemeliharaan penambahan perangkat keras kali terjadi perubahan besar
dan perangkat lunak dan pada sistem TI di lingkungan
dengan perubahan pada operasional dan produksinya
proses, kebijakan, dan (misalnya, antarmuka sistem
prosedur organisasi. baru)

Fase ini mungkin melibatkan Aktivitas manajemen risiko

disposisi informasi, dilakukan untuk komponen
Tahap 5: Pembuangan perangkat keras, dan sistem yang akan dibuang
perangkat lunak. Kegiatan atau diganti untuk
mungkin termasuk memastikan bahwa perangkat
memindahkan, keras dan perangkat lunak
mengarsipkan, membuang, dibuang dengan benar, data
atau menghancurkan sisa ditangani dengan tepat,
informasi dan membersihkan dan migrasi sistem dilakukan
perangkat keras dan dengan cara yang aman dan
perangkat lunak sistematis

22
NIST SP 800-64 dikhususkan untuk topik ini. Integrasi awal keamanan di SDLC
memungkinkan lembaga untuk memaksimalkan laba atas investasi dalam program keamanan
mereka, melalui :
 Identifikasi awal dan mitigasi kerentanan keamanan dan kesalahan konfigurasi, yang
menghasilkan biaya implementasi kontrol keamanan yang lebih rendah dan mitigasi
kerentanan;
 Kesadaran akan tantangan rekayasa potensial yang disebabkan oleh kontrol keamanan
wajib;
 Identifikasi layanan keamanan bersama dan penggunaan kembali strategi dan alat
keamanan untuk mengurangi biaya dan jadwal pengembangan sambil meningkatkan
postur keamanan melalui metode dan teknik yang telah terbukti; dan
 Fasilitasi pengambilan keputusan eksekutif yang terinformasi melalui manajemen risiko
yang komprehensif dan tepat waktu.
Panduan ini berfokus pada komponen keamanan informasi SDLC. Pertama, uraian tentang
peran dan tanggung jawab keamanan utama yang diperlukan di sebagian besar
pengembangan sistem informasi disediakan. Kedua, informasi yang cukup tentang SDLC
disediakan untuk memungkinkan orang yang tidak terbiasa dengan proses SDLC untuk
memahami hubungan antara keamanan informasi dan SDLC. Dokumen tersebut
mengintegrasikan langkah-langkah keamanan ke dalam SDLC linier, sekuensial (alias
waterfall). SDLC lima langkah yang dikutip dalam dokumen adalah contoh salah satu metode
pengembangan dan tidak dimaksudkan untuk mengamanatkan metodologi ini. Terakhir, SP
800-64 memberikan wawasan tentang proyek dan inisiatif TI yang tidak didefinisikan secara
jelas sebagai pengembangan berbasis SDLC, seperti arsitektur berorientasi layanan, proyek
lintas organisasi, dan pengembangan fasilitas TI. Keamanan dapat digabungkan ke dalam
akuisisi, pengembangan, dan pemeliharaan sistem informasi dengan menerapkan praktik
keamanan yang efektif di bidang berikut.
 Persyaratan keamanan untuk sistem informasi
 Pemrosesan yang benar dalam aplikasi
 Kontrol kriptografi
 Keamanan file sistem
 Keamanan dalam proses pengembangan dan dukungan
 Manajemen kerentanan teknis
 Keamanan sistem informasi
Dimulai dengan memasukkan keamanan ke dalam proses persyaratan untuk aplikasi baru
atau peningkatan sistem. Keamanan harus dirancang ke dalam sistem sejak awal. Persyaratan
keamanan disajikan kepada vendor selama fase persyaratan pembelian produk. Pengujian
formal harus dilakukan untuk menentukan apakah produk memenuhi spesifikasi keamanan
yang dipersyaratkan sebelum membeli produk. Pemrosesan yang benar dalam aplikasi sangat
penting untuk mencegah kesalahan dan untuk mengurangi kehilangan, modifikasi yang tidak
sah atau penyalahgunaan informasi. Teknik pengkodean yang efektif termasuk memvalidasi
data input dan output, melindungi integritas pesan menggunakan enkripsi, memeriksa
kesalahan pemrosesan, dan membuat log aktivitas.

23
Diterapkan dengan benar, kontrol kriptografi menyediakan mekanisme yang efektif untuk
melindungi kerahasiaan, keaslian, dan integritas informasi. Suatu institusi harus
mengembangkan kebijakan tentang penggunaan enkripsi, termasuk manajemen kunci yang
tepat. Enkripsi Disk adalah salah satu cara untuk melindungi data saat istirahat. Data saat
transit dapat dilindungi dari perubahan dan tampilan yang tidak sah menggunakan sertifikat
SSL yang dikeluarkan melalui Otoritas Sertifikat yang telah menerapkan Infrastruktur Kunci
Publik. File sistem yang digunakan oleh aplikasi harus dilindungi untuk memastikan
integritas dan stabilitas aplikasi. Menggunakan repositori kode sumber dengan kontrol versi,
pengujian ekstensif, rencana mundur produksi, dan akses yang sesuai ke kode program adalah
beberapa tindakan efektif yang dapat digunakan untuk melindungi file aplikasi. Keamanan
dalam proses pengembangan dan dukungan merupakan bagian penting dari proses jaminan
kualitas dan kontrol produksi yang komprehensif, dan biasanya akan melibatkan pelatihan
dan pengawasan berkelanjutan oleh staf yang paling berpengalaman. Aplikasi perlu dipantau
dan ditambal untuk mengetahui kerentanan teknis. Prosedur penerapan patch harus mencakup
evaluasi patch untuk menentukan kesesuaiannya, dan apakah patch tersebut dapat berhasil
dihilangkan jika terjadi dampak negatif.

24
 BAB VII
KRITIK MANAJEMEN RISIKO SEBAGAI METODOLOGI

Manajemen risiko sebagai metodologi ilmiah telah dikritik sebagai hal yang dangkal. [3]
Program manajemen risiko TI utama untuk organisasi besar, seperti yang diamanatkan oleh
Undang-Undang Manajemen Keamanan Informasi Federal AS, telah dikritik. Dengan
menghindari kompleksitas yang menyertai model probabilistik formal dari risiko dan
ketidakpastian, manajemen risiko lebih terlihat seperti proses yang mencoba menebak
daripada secara formal memprediksi masa depan berdasarkan bukti statistik. Sangat subyektif
dalam menilai nilai aset, kemungkinan terjadinya ancaman dan signifikansi dampaknya.
Namun, cara yang lebih baik untuk menangani masalah ini belum muncul.

7.1 METODE MANAJEMEN RISIKO

Cukup sulit untuk membuat daftar sebagian besar metode yang setidaknya mendukung
sebagian proses manajemen risiko TI. Upaya ke arah ini dilakukan dengan :
 NIST Deskripsi Paket Manajemen Risiko Otomatis Yang Telah Diperiksa
Laboratorium Riset Manajemen Risiko NIST / NCSC, diperbarui tahun 1991
 ENISA pada tahun 2006; daftar metode dan alat tersedia secara online dengan mesin
pembanding. [25] Diantaranya yang paling banyak digunakan adalah:
- CRAMM Dikembangkan oleh pemerintah Inggris sesuai dengan ISO / IEC
17799, Gramm – Leach – Bliley Act (GLBA) dan Health Insurance Portability
and Accountability Act (HIPAA)
- EBIOS yang dikembangkan oleh pemerintah Prancis sesuai dengan standar
keamanan utama: ISO / IEC 27001, ISO / IEC 13335, ISO / IEC 15408, ISO /
IEC 17799 dan ISO / IEC 21287
- Standar Praktik Baik yang dikembangkan oleh Forum Keamanan Informasi
(ISF)
- Mehari dikembangkan oleh Clusif Club de la Sécurité de l'Information
Français
- TIK IT Risk Framework dikembangkan oleh IT Risk Institute
- Octave dikembangkan oleh Carnegie Mellon University, SEI (Software
Engineering Institute) Pendekatan Operationally Critical Threat, Asset, and
Vulnerability EvaluationSM (OCTAVE) mendefinisikan penilaian strategis
berbasis risiko dan teknik perencanaan untuk keamanan.
- IT-Grundschutz (IT Baseline Protection Manual) dikembangkan oleh Kantor
Federal untuk Keamanan Informasi (BSI) (Jerman); IT-Grundschutz
menyediakan metode bagi organisasi untuk membangun Sistem Manajemen
Keamanan Informasi (ISMS). Ini terdiri dari rekomendasi keamanan TI umum
untuk menetapkan proses keamanan TI yang berlaku dan rekomendasi teknis
terperinci untuk mencapai tingkat keamanan TI yang diperlukan untuk domain
tertentu.

25
Laporan Enisa mengklasifikasikan berbagai metode terkait kelengkapan, ketersediaan
gratis, dukungan alat; hasilnya adalah :
 EBIOS, metode ISF, IT-Grundschutz mencakup secara mendalam semua aspek
(Identifikasi Risiko, Analisis Risiko, Evaluasi Risiko, Penilaian Risiko, Perlakuan
Risiko, Penerimaan Risiko, Komunikasi Risiko),
 EBIOS dan IT-Grundschutz adalah satu-satunya yang tersedia secara gratis dan
 hanya EBIOS yang memiliki alat sumber terbuka untuk mendukungnya.
The Factor Analysis of Information Risk (FAIR) dokumen utama, "An Introduction to
Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November
2006; menguraikan bahwa sebagian besar metode di atas tidak memiliki definisi risiko
yang tepat dan faktor-faktornya. FAIR bukanlah metodologi lain untuk menangani
manajemen risiko, tetapi melengkapi metodologi yang ada. FAIR telah mendapat
penerimaan yang baik, terutama oleh The Open Group dan ISACA. ISACA
mengembangkan metodologi, yang disebut Risiko TI, untuk menangani berbagai jenis
risiko terkait TI, terutama risiko terkait keamanan. Ini terintegrasi dengan COBIT,
kerangka umum untuk mengelola TI. Risiko TI memiliki konsep risiko TI yang lebih
luas daripada metodologi lain, tidak hanya mencakup dampak negatif dari operasi dan
penyampaian layanan yang dapat membawa kerusakan atau pengurangan nilai
organisasi, tetapi juga manfaat \ nilai yang memungkinkan risiko terkait dengan
hilangnya. peluang untuk menggunakan teknologi guna mengaktifkan atau meningkatkan
bisnis atau manajemen proyek TI untuk aspek-aspek seperti pengeluaran berlebihan atau
keterlambatan pengiriman dengan dampak bisnis yang merugikan. Inisiatif
"Membangun Keamanan Dalam" dari Departemen Keamanan Dalam Negeri Amerika
Serikat, mengutip FAIR. Inisiatif Build Security In adalah upaya kolaboratif yang
menyediakan praktik, alat, pedoman, aturan, prinsip, dan sumber daya lain yang dapat
digunakan oleh pengembang perangkat lunak, arsitek, dan praktisi keamanan untuk
membangun keamanan ke dalam perangkat lunak dalam setiap fase pengembangannya.
Jadi Pada tahun 2016, Sketsa Ancaman meluncurkan penilaian risiko keamanan cyber
yang disingkat khusus untuk organisasi kecil. Metodologi ini menggunakan opsi nyata
untuk memperkirakan dan memprioritaskan daftar tetap dari ancaman tingkat tinggi.itu
terutama membahas pengkodean Aman. Pada tahun 2016, Sketsa Ancaman meluncurkan
penilaian risiko keamanan cyber yang disingkat khusus untuk organisasi kecil.
Metodologi ini menggunakan opsi nyata untuk memperkirakan dan memprioritaskan
daftar tetap dari ancaman tingkat tinggi.

26
 DAFTAR PUSTAKA

[1] Caballero, Albert (2009). "14". In Vacca, John (ed.). Computer and Information Security
Handbook. Morgan Kaufmann Publications. Elsevier Inc. p. 232. ISBN 978-0-12-
374354-1.
[2] Costas Lambrinoudakisa, Stefanos Gritzalisa, Petros Hatzopoulosb, Athanasios N.
Yannacopoulosb, Sokratis Katsikasa, "A formal model for pricing information systems
insurance contracts", Computer Standards & Interfaces - Volume 27, Issue 5, June 2005,
Pages 521-532
[3] ISACA (2006). CISA Review Manual 2006. Information Systems Audit and Control
Association. p. 85. ISBN 978-1-933284-15-6.
[4] Katsicas, Sokratis K. (2009). "35". In Vacca, John (ed.). Computer and Information
Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. p. 605. ISBN 978-0-
12-374354-1.
[5] Queensland Government. (2016, June 24). Business Queensland. Retrieved from
Queensland Government Web site: https://www.business.qld.gov.au/running-
business/protecting-business/risk-management/it-risk-management/defined
[6] Spring, J.; Kern, S.; Summers, A. (2015-05-01). "Global adversarial capability
modeling". 2015 APWG Symposium on Electronic Crime Research (ECrime): 1–21.
[7] Technical Standard Risk Taxonomy ISBN 1-931624-77-1 Document Number: C081
Published by The Open Group, January 2009.
[8] Woods, Margaret, P. Linsley, P. Kajuter. 2008. International Risk Management. USA:
Elsevier
[9] Stoneburner, Gary., Goguen, Alice., Feringa, Alexis. 2002. Risk Management Guide for
Information Technology Systems, National Institute of Standards and Technology.

27