2
e-KTP Simulator SIM Pajak Sisminbakum e-Procurement (SPSE, SePP) JDIH SIMDA / SIPKD National Single Window RKAKL / RKAD SPAN SIK (Sistem Informasi Kesehatan)Sumber: Buku Petunjuk Penyusunan Rencana Induk TIK hal 1.
Untuk dapat beroperasi, organisasi perlumerancang dan menciptakan lingkunganyang aman sehingga proses dan prosedurkegiatan dapat berlangsung dengan baik
Lingkungan yang memelihara C-I-A dari data organisasi
Tujuan ini dapat dicapai dengan menerapkanprinsip-prinsip Manajemen Risiko
3
Keamanan Informasi dibentuk utamanyaadalah untuk mengelola Risiko TI.
Mengelola risiko adalah salah satu tupoksidari setiap manajer dalam organisasi.
Program manajemen risiko, terdiri daribeberapa proses: Identifikasi Risiko,Kajian/Penilaian Risiko,Pengendalian Risiko
Perlu melihat Selera Risiko, yaitu sejauhmana organisasi mau menerima risiko Keseimbangan antara pengamanan keamanan
dan aksesibilitas yang tidak terbatas4
“Jika dirimu mengenali musuh dan dirimusendiri, kau tidak perlu takut akan hasil dariratusan pertempuran.” – Sun Tzu
5
Mengidentifikasi dan memahami informasidan bagaimana informasi itu diproses, disimpan, dan dikirimkan
Dengan pengetahuan ini, kita dapatmelakukan program manajemen risiko yang mendalam.
Manajemen risiko adalah proses
Pengaman dan kendali yang digunakan bukanmerupakan perangkat yang ‘pasang-dan-lupakan’
6
Mengidentifikasi dan memahami ancamanyang dihadapi oleh aset informasi di organisasi
Identifikasi seluruh ancaman yang menimbulkanrisiko terhadap organisasi dan pengamananinformasi aset yang dilakukan
Manajemen risiko
Proses mengkaji risiko terhadap informasi di organisasi dan menentukan bagaimana risikotersebut akan dikendalikan atau dimitigasi
7
PP 82 Tahun 2012 Pasal 13
PSE WAJIB menerapkan manajemen risiko terhadapkerusakan atau kerugian yang ditimbulkan
PP 60 Tahun 2008 tentang Sistem PengendalianIntern Pemerintah
8
9
Rencanakan dan Organisasikan Susun Kategori Komponen Sistem Lakukan Inventarisasi Aset Identifikasi Ancaman Identifikasi Aset yang Rentan Susun Peringkat Dampak/Nilai setiap Aset Kaji Kemungkinan dari Kerentanan Hitung Faktor Risiko setiap aset Tinjauan awal kemungkinan Kendali Dokumentasikan
10
Dimulai dengan proses Evaluasi Diri Manajer mengidentifikasi aset informasi di
organisasi▪ Klasifikasikan ke dalam beberapa kelompok
▪ Susun prioritas sesuai dengan tingkat ke-penting-annya
Aset apa saja? Orang, SOP, data/informasi, perangkat lunak,
perangkat keras, dan perangkat jaringan Tentukan atribut dari masing-masing aset
informasi yang ingin dicatat (bergantungpada kebutuhan organisasi)
11
Nama, Alamat IP Alamat MAC, tipe aset Nomor serial, nama pembuat Model atau part number Versi perangkat lunak, update revision Lokasi fisik, lokasi logik Entitas pengendali
12
Orang
Nama/nomor/ID posisi, nomor, ID
Nama/nomor/ID supervisor
Level tingkat keamanan
Keahlian
Prosedur
Deskripsi
Tujuan
Elemen SW/HW terkait
Lokasi penyimpanan
Data
Klasifikasi
Pemilik/pembuat/pengelola
Ukuran data
Struktur data
Online atau Offline
Lokasi
Prosedur Backup
13
Skema klasifikasi akan mengelompokkanaset berdasarkan sensitivitas dan kebutuhanpengamanan
Setiap kategori kemudian diberikan tingkatpengamanan yang dibutuhkan untuk masing-masing aset informasi
14
15
Organisasi menghadapi berbagai jenisancaman
Setiap ancaman memberikan tantangan unikbagi pengamanan informasi
Sebelum ancaman dapat dikaji pada proses Identifikasi Risiko
Masing-masing perlu dikaji untuk menentukanpotensi dampak terhadap aset informasi
▪ Proses ini disebut Kajian Ancaman
16
1717
Dimulai dengan meninjau setiap asetinformasi dan ancamannya
Pada akhir proses Identifikasi Risiko, akandidapat daftar aset dan kerentanannya
Daftar ini diperlukan untuk tahap manajemenrisiko selanjutnya yaitu Penilaian/KajianRisiko
18
19
Bertujuan untuk mengevaluasi risiko daridaftar kerentanan hasil tahap sebelumnya
Likelihood (Kemungkinan/Peluang) Probabilitas bahwa kerentanan tertentu
dieksploitasi Jika kerentanan ditangani penuh oleh kendali
yang ada, maka dapat disisihkan Jika hanya ditangani sebagian, hitung
prosentase dari kerentanan yang telahditangani
20
21
Tingkatan Konsekuensi
Table 8-7 Likelihood levels for organizational threatsTingkatan Kemungkinan
Kombinasi kemungkinan x konsekuensimemungkinkan organisasi menentukanancaman mana yang paling membahayakan
22
23
Implementasi mekanisme kontrol yang terintegrasi dengan prosedur kegiatan rutin
Sebuah risiko dapat memiliki beberapaalternatif kontrol. Dapat dipilih > 1 kontrol.
Prinsip
Kendalikan penyebab untuk memperkecilkemungkinan/peluang (likelihood)
Kendalikan akibat untuk memperkecil dampak
24
Avoid Menerapkan pengaman yang akan
menghilangkan/mengurangi risiko yang tersisaterhadap kerentanan tertentu
Transfer Memindahkan risiko ke aset lain, proses lain, atau
organisasi lain Mitigate Mengurangi dampak jika kerentanan dieksploitasi
Accept Memahami konsekuensi dan menerima risiko tanpa
kendali atau mitigasi25
Avoid Penerapan kebijakan
Penerapan pendidikan dan pelatihan
Menghadapi ancaman
Implementasi kendali dan pengaman teknis Transfer Outsourcing ke organisasi lain
Asuransi
Kontrak layanan dengan penyedia jasa
26
Mitigasi Menerapkan perencanaan dan persiapan
Tergantung kepada kemampuan untuk mendeteksidan merespon serangan secepat mungkin
Contoh: DRP, IRP, BCP Accept Tidak melakukan apapun untuk melindungi, dan
menerima kehilangan jika terjadi
Biaya untuk melindungi aset tidak seimbangdengan pengeluaran untuk tindakan pengamanan
27
Meski kerentanan telah dikendalikan sebanyakmungkin, seringkali masih ada risiko yang tersisa
Tujuan Keamanan Informasi bukan menjadikanrisiko tersisa ke angka nol, namun menyelaraskandengan selera risiko organisasi
Sampaikan ke pengambil keputusan risiko yang tersisa dan ketika mereka dapat menerimanya, maka tercapailah tujuan utama program Keamanan Informasi.
28
OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) www.cert.org/octave/
FAIR (Factor Analysis of Information Risk) fairwiki.riskmanagementinsight.com
RiskIT (ISACA) www.isaca.org
Risk Governance, Risk Response, Risk Evaluation COSO ERM (Enterprise Risk Management) www.coso.org
29
30
Manajemen Risiko Keamanan Informasi Keputusan No. 85/KEP/BSN/4/2013 www.27000.org/iso-27005.htm Lima tahap metodologi Manajemen Risiko Penilaian Risiko
Penanganan Risiko
Penerimaan Risiko
Komunikasi Risiko
Monitoring dan Review Risiko
31
32
Yudho Giri Sucahyo, S.Kom, M.Kom, Ph.D, CISA, CEP, CSRS S1 dan S2, Fakultas Ilmu Komputer – UI S3 School of Computing, Curtin University of Technology, Australia Staf Pengajar Fakultas Ilmu Komputer Universitas Indonesia Staf Pengajar MM-FEUI dan MAKSI-FEUI Certified Information Systems Auditor (CISA) Certified e-Business Professional on Project Management (CEP) Certified Sustainability Reporting Specialist (CSRS) ISACA Academic Advocate Anggota Dewan Pertimbangan ILUNI-UI Anggota Senat Akademik UI Anggota Lab e-Government FASILKOM-UI Senior Consultant Pusat Ilmu Komputer UI Anggota Tim Pokja EvaTIK DeTIKNas (2007-2009) Ketua Pengelola Nama Domain Internet Indonesia (PANDI) Wakil Ketua Internet Society Indonesia Chapter (ISOC-ID) E-mail: [email protected], [email protected]
33