Risk Assessment (Penilaian Resiko)

Slides:



Advertisements
Presentasi serupa
Audit Keamanan Sistem Informasi pada BAGIAN sistem informasi management (Perguruan Tinggi ) BERDASARKAN standar iso
Advertisements

Audit Keamanan Sistem Informasi pada INSTaLASI sistem informasi management (sim-rs) BERDASARKAN standar iso (Studi Kasus: Rumah Sakit Umum Haji.
SOP 03 : PEDOMAN MANAJEMEN RESIKO PENUGASAN
DAMPAK TEKNOLOGI INFORMASI PADA PROSES AUDIT
Bab 5 Pengambilan Risiko
MANAJEMEN RISIKO PROYEK
9 KUALITAS DATA.
PROSES MANAJEMEN RISIKO
KONSEPSI PRODUKSI BERSIH DAN MINIMISASI LIMBAH
4 KONSEP RESIKO Thomas Alfa Edison.
DOKUMENTASI PENGELOLAAN LABORATORIUM
Management Risiko.
T UGAS P ENGKUAL Disusun Oleh: Marisa Eka Putri
TESTING DAN IMPLEMENTASI SISTEM
MITIGASI DAN MANAJEMEN BENCANA
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO (Studi Kasus: PT.Karya karang asem indonesia) Felix nugraha k
Proteksi data (recovery)
Konsep Risiko & Sistem Pengendalian Intern
L. Setyobudi 2010 Modul Pendidikan Entrepreneurship di UB Lecture 6: Resiko.
Pertemuan 5 PENANGGULANGAN RESIKO
PENGELOLAAN RISIKO.
Manajemen Risiko Proyek
SOP dan Audit Keamanan Keamanan Jaringan Pertemuan 12
AUDIT SISTEM INFORMASI dan TUJUANNYA
MANAJEMEN PROYEK PERANGKAT LUNAK
KEAMANAN DAN PENGENDALIAN SISTEM
Elemen Sistem Manajemen Bencana
Keamanan Sistem (CS4633) ..:: Manajemen Resiko :
Rahmat Robi Waliyansyah, M.Kom.
PERTEMUAN 5 PENANGGULANGAN RESIKO
Bab 5 Pengambilan Risiko
Mengidentifikasi resiko
Keamanan Sistem Informasi
MANAJEMEN RESIKO.
MANAJEMEN RISIKO PROYEK
Menangani krisis By : diana ma’rifah.
Bab 5 Pengambilan Risiko
Bab 5 Pengambilan Risiko
MANAGEMEN RESIKO Oleh : PANITIA MUTU DAN KESELAMATAN PASIEN.
KEAMANAN INFORMASI INFORMATION SECURITY
SISTEM INFORMASI AKUNTANSI(SIA)
Pengukuran Resiko Yessica Cahyani
Manajemen Mutu dan Resiko
Pengendalian Risiko Amalia Ilmiani.
Keamanan Informasi dan Administrasi jaringan
PENGIDENTIFIKASIAN RESIKO OLEH : ROBANIA AFIATI
Manajemen Resiko Dalam Pengembangan SI
Keamanan Komputer Komponen Keamanan Komputer X.800 Standar OSI
PROGRAM KAMPANYE PENDIDIKAN KEAMANAN INFORMASI 25 Maret, 2017.
SMK3 : Pengelolaan SDM dan Kepemimpinan
Chapter 8 Manajemen Resiko Perbankan Syariah
PERENCANAAN PROGRAM KESEHATAN DAN KESELAMATAN KERJA
AUDIT PLANNING PERTEMUAN 8 Darmansyah HS AKUNTANSI FEB UEU.
Bab 5 Pengambilan Risiko
Bina Sarana Informatika
Bab 5 Pengambilan Risiko Dr. Siswantoyo. Tujuan Pembelajaran Menjelaskan konsep resiko Menjelaskan bagaimana pengambilan resiko dilakukan Mengidentifikasi.
Keamanan Informasi Week1-Prolog, silabus,
Pengantar Keamanan Informasi
Pemahaman Struktur pengendalian intern
Tri rahajoeningroem, MT Jurusan Manajemen Informatika UNIKOM
Beberapa contoh bahaya dapat terlihat pada : * Manusia - Sifat ceroboh seorang karyawan * Bahan - Mudah terbakarnya suatu jenis bahan bakar minyak tertentu.
PERENCANAAN SISTEM MANAJEMEN MUTU. Kalikan angka bulan lahir anda dengan 4.
Struktur Tugas dan Fungsi Utama Layanan Teknologi Informasi
Bab 5 Pengambilan Risiko
Bab 5 Pengambilan Risiko
Sistem Manajemen K3 OHSAS 18001:2007
MITIGASI DAN MANAJEMEN BENCANA. Mitigasi Bencana? adalah serangkaian upaya untuk mengurangi risiko bencana, baik melalui pembangunan fisik maupun penyadaran.
RESIKO USAHA, RESIKO INFORMASI DAN RESIKO AUDIT SERTA PROSEDUR TELAAH ANALITIS KHAERANI M A HAYU A MAYA C.
MANAJEMEN RISIKO PASAR
Obyektif Setelah mengikuti pembekalan materi K3 (Keselamatan dan Kesehatan Kerja), audience diharapkan mampu: Berperilaku aman di tempat kerja. Bersikap.
Transcript presentasi:

Risk Assessment (Penilaian Resiko) Direktorat Sistem Informasi - Seksi Keamanan Data

Risk Assessment Risk Assessment adalah metode yang sistematis untuk menentukan apakah suatu kegiatan/aset mempunyai resiko yang dapat diterima atau tidak. Risk Assessment sangat penting karena membantu menciptakan kesadaran tentang bahaya dan resiko yang didapatkan dari aset yang dimiliki. Hal ini bertujuan untuk mengurangi kemungkinan bahaya dengan menambahkan langkah-langkah pengendalian yang diperlukan dan tindakan pencegahan. Penilaian juga memprioritaskan bahaya dan membantu menentukan apakah tindakan pengendalian yang ada memadai Risk assessment dilakukan dengan metode “Reproducible”, pengukuran yang digunakan harus dapat digunakan lagi. Direktorat Sistem Informasi - Seksi Keamanan Data

Langkah-langkah Identifikasi Resiko Evaluasi Nilai Resiko Identifikasi Opsi Penanganan Resiko Penentuan Rencana Pengendalian Resiko Penghitungan nilai resiko yang diharapkan Direktorat Sistem Informasi - Seksi Keamanan Data

Identifikasi resiko (1) Aset informasi adalah hal yang bernilai bagi perusahaan terkait dengan penyediaan suatu informasi Klasifikasi aset informasi : Informasi berupa database dan file data, kontrak dan perjanjian, dokumentasi system, penelitian informasi, buku petunjuk, jejak audit, dsb Software (perangkat lunak aplikasi, perangkat lunak sistem, perangkat pengembangan, dan utilitas ) Fisik berupa peralatan komputer, peralatan komunikasi, removable media, dan peralatan lainnya Jasa (service) berupa komputasi dan layanan komunikasi, utilitas umum, misalnya pemanas, penerangan, listrik, telepon, pipa servis, pelayanan genset, fotokopi, dll People berupa dan kualifikasi, keterampilan, dan pengalaman Intengible seperti reputasi dan citra organisasi Direktorat Sistem Informasi - Seksi Keamanan Data

Identifikasi resiko (2) Masing-masing aset informasi didefinisikan properti & atributnya yang dapat menggambarkan profil risiko dari aset tersebut, yang terdiri atas nama, sub-klasifikasi, lokasi penyimpanan, update/revisi, dll, tergantung dari jenis asetnya. Masing-masing aset informasi ditentukan penanggung jawabnya (ownership-nya). Masing-masing aset informasi dilakukan penilaian aset (Asset Value) yang dihitung dari aspek Confidentiality, Integrity dan Availability-nya dengan berpedoman pada formula : Asset Value = (Confidentiality + Integrity + Availability) / 3 Note : confidentiality, integrity dan availability adalah 3 untuk tinggi, 2 untuk sedang dan 1 untuk rendah Jika nilai asset value >= 2 maka aset tersebut dianggap memiliki peranan penting dalam bisnis Untuk asset value >= 2, maka dilakukan hal sebagai berikut : Identifikasi threat (ancaman) dan vulnerability (kelemahan) terhadap setiap aset Menentukan risk event terhadap setiap aset informasi Direktorat Sistem Informasi - Seksi Keamanan Data

Evaluasi Nilai Resiko (1) Evaluasi Risiko Residual dilakukan dengan cara melakukan analisis nilai severity dan nilai probability dan tingkat risiko untuk setiap akibat dari ancaman yang terjadi. Severity adalah dampak terukur yang ditimbulkan oleh suatu risiko, yang diukur berdasarkan tabel (contoh) berikut: Severity Level (Tingkat Keparahan) Penjelasan Tingkat 5 (Catastropic) Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan DSI selama lebih dari 1 bulan dan/atau tercemarnya nama baik Universitas Airlangga Tingkat 4 (Major) Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan DSI selama maksimum 1 bulan dan/atau tercemarnya nama baik Universitas Airlangga Tingkat 3 (Moderate) Kehilangan/Kerusakan aset informasi yang bernilai 2 yang mengakibatkan tidak tercapainya minimal satu SLA yang diberikan oleh DSI kepada para Civitas Akademika Unair Tingkat 2 (Minor) Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 yang tidak mengakibatkan dampak bagi Universitas Airlangga serta Civtas Akademika Unair (hanya mengakibatkan dampak bagi DSI) Tingkat 1 (Negligible) Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 namun yang tidak mengakibatkan dampak bagi Universitas Airlangga serta Civitas Akademika Unair, dan tidak menimbulkan dampak material kepada DSI. Direktorat Sistem Informasi - Seksi Keamanan Data

Evaluasi Nilai Resiko (2) Probability adalah potensi kemungkinan terjadinya risk event berdasarkan data history/current control/ knowledge base. Analisis Probability dilakukan dengan menggunakan tabel berikut: Probability Level (Tingkat Kemungkinan) Penjelasan Tingkat 5 (Almost Certain) Tingkat Kemungkian Kejadiannya 76% hingga 99,99% Tingkat 4 (Likely) Tingkat Kemungkian Kejadiannya 51% hingga 75,99% Tingkat 3 (Possible) Tingkat Kemungkian Kejadiannya 26% hingga 50,99% Tingkat 2 (Unlikely) Tingkat Kemungkian Kejadiannya 1% hingga 25,99% Tingkat 1 (Rare) Tingkat Kemungkian Kejadiannya sampai dengan 0,99%% Direktorat Sistem Informasi - Seksi Keamanan Data

Evaluasi Nilai Resiko (3) Penentuan nilai tingkat risiko untuk proses identifikasi risiko dengan pendekatan bottom-up diawali dengan melakukan agregasi nilai Severity dan Probability untuk masing – masing risk event melalui tabel berikut: Direktorat Sistem Informasi - Seksi Keamanan Data

Evaluasi Nilai Resiko (4) Tingkat exposure risiko informasi ditentukan berdasarkan hasil pertambahan antara nilai final (aggregate) Probability (kecendurangan) dengan nilai final (aggregate) Severity (Dampak), yang selanjutnya dipetakan di dalam peta risiko informasi atau dengan berpedoman pada tabel : NRD (Nilai Resiko Dasar), sbb : Nilai Resiko Berdasarkan risk event NRD atau NRA (Nilai Resiko Dasar) Tingkat Resiko Dampak + Kecendurangan >= 6 3 Tinggi & Ekstrim (not acceptable) Dampak + Kecendurangan >= 4 2 Menengah (acceptable) Dampak + Kecendurangan < 4 1 Rendah (acceptable) Direktorat Sistem Informasi - Seksi Keamanan Data

Evaluasi Nilai Resiko (5) Tingkatan-tingkatan risiko informasi tersebut adalah: Direktorat Sistem Informasi - Seksi Keamanan Data

Identifikasi Opsi Penanganan Resiko Tindakan penanganan resiko yang dapat diambil antara lain : Menerima Risiko (Accept Risk): mempertahankan risiko pada tingkat risiko saat ini dengan tidak mengambil tindakan lanjutan. Pilihan ini dapat dilakukan untuk risiko yang dianggap tidak signifikan atau memiliki tingkat kepentingan yang rendah bagi perusahaan. Memindahkan Risiko (Transfer Risk): memindahkan/menggeser risiko yang ada kepada pihak ketiga yang independen dan memiliki kemampuan finansial yang kuat Menghindari Risiko (Avoid Risk): menghindari paparan/exposure terhadap kemungkinan terjadinya suatu risiko yang berpotensi terjadi (contoh: menghentikan kegiatan/aktivitas yang dapat menimbulkan risiko tersebut). Tindakan ini dapat dipilih sebagai penanganan terhadap risiko yang memiliki tingkat risiko yang tidak dapat ditoleransi ataupun diterima oleh perusahaan karena memiliki Severity yang signifikan. Mengurangi Risiko (Reduce Risk): Strategi untuk mengambil tindakan mengurangi tingkat risiko sampai pada tingkat yang dapat diterima dengan memfokuskan pada penurunan Probability dan Severity risiko. (Contoh: mengurangi tingkat risiko dengan menempatkan kontrol tambahan atau menguatkan kontrol dan proses yang sudah ada) Direktorat Sistem Informasi - Seksi Keamanan Data

Penentuan Rencana Pengendalian Resiko Untuk setiap risiko yang tidak dapat diterima (non-acceptable risk) harus dilakukan rencana pengendalian risiko yang terdiri atas rencana-rencana terinci dariatas opsi- opsi yang telah dipilihkan pada tahapan sebelumnya. Apabila diputuskan untuk mengambil opsi mengurangi risiko, maka harus identifikasi rencana pengendalian risiko yang terdiri atas: Control Objective dan Control yang dijelaskan dalam Annex A standar ISO 27001:2005 dan tercakup dalam Statement of Applicability (SoA). Peraturan-perundangan yang berlaku di wilayah Republik Indonesia dan/atau di mana pekerjaan dilakukan, dan Kontrol-kontrol lain sesuai kebutuhan bisnis. Direktorat Sistem Informasi - Seksi Keamanan Data

Penghitungan nilai resiko yang diharapkan Tingkat Risiko yang Diharapkan (expected risk) harus dihitung kembali untuk setiap tingkat risiko yang telah ditentukan untuk setiap non-acceptable risk. Tingkat risiko sisa ini harus disetujui oleh Pengelolaan Puncak sebelum dilakukan pengendalian risiko. Direktorat Sistem Informasi - Seksi Keamanan Data