180 likes | 517 Views
Risk Assessment ( Penilaian Resiko ). Risk Assessment. Risk Assessment adalah metode yang sistematis untuk menentukan apakah suatu kegiatan / aset mempunyai resiko yang dapat diterima atau tidak .
E N D
Risk Assessment(PenilaianResiko) Direktorat Sistem Informasi - Seksi Keamanan Data
Risk Assessment • Risk Assessment adalahmetodeyang sistematisuntukmenentukanapakahsuatukegiatan/asetmempunyairesiko yang dapatditerimaatautidak. • Risk Assessment sangatpentingkarenamembantumenciptakankesadarantentangbahayadanresiko yang didapatkandariaset yang dimiliki. • Hal inibertujuanuntukmengurangikemungkinanbahayadenganmenambahkanlangkah-langkahpengendalian yang diperlukandantindakanpencegahan. • Penilaianjugamemprioritaskanbahayadanmembantumenentukanapakahtindakanpengendalian yang adamemadai • Risk assessment dilakukandenganmetode “Reproducible”, pengukuran yang digunakanharusdapatdigunakanlagi. Direktorat Sistem Informasi - Seksi Keamanan Data
Langkah-langkah Direktorat Sistem Informasi - Seksi Keamanan Data
Identifikasiresiko (1) • Asetinformasiadalahhal yang bernilaibagiperusahaanterkaitdenganpenyediaansuatuinformasi • Klasifikasiasetinformasi : • Informasiberupa database dan file data, kontrakdanperjanjian, dokumentasi system, penelitianinformasi, bukupetunjuk, jejak audit, dsb • Software (perangkatlunakaplikasi, perangkatlunaksistem, perangkatpengembangan, danutilitas) • Fisikberupaperalatankomputer, peralatankomunikasi, removable media, danperalatanlainnya • Jasa (service) berupakomputasidanlayanankomunikasi, utilitasumum, misalnyapemanas, penerangan, listrik, telepon, pipaservis, pelayanangenset, fotokopi, dll • Peopleberupadankualifikasi, keterampilan, danpengalaman • Intengiblesepertireputasidancitraorganisasi Direktorat Sistem Informasi - Seksi Keamanan Data
Identifikasiresiko (2) • Masing-masingasetinformasididefinisikanproperti & atributnya yang dapatmenggambarkanprofilrisikodariasettersebut, yang terdiriatasnama, sub-klasifikasi, lokasipenyimpanan, update/revisi, dll, tergantungdarijenisasetnya. • Masing-masingasetinformasiditentukanpenanggungjawabnya (ownership-nya). • Masing-masingasetinformasidilakukanpenilaianaset (Asset Value) yang dihitungdariaspekConfidentiality, Integrity danAvailability-nyadenganberpedomanpada formula : Asset Value = (Confidentiality + Integrity + Availability) / 3 • Note : confidentiality, integrity dan availability adalah 3 untuktinggi, 2 untuksedangdan 1 untukrendah • Jikanilaiasset value >= 2 makaasettersebutdianggapmemilikiperananpentingdalambisnis • Untuk asset value >= 2, makadilakukanhalsebagaiberikut : • Identifikasithreat (ancaman) danvulnerability (kelemahan) terhadapsetiapaset • Menentukanrisk eventterhadapsetiapasetinformasi Direktorat Sistem Informasi - Seksi Keamanan Data
EvaluasiNilaiResiko (1) • EvaluasiRisiko Residual dilakukandengancaramelakukananalisisnilai severity dan nilai probability dantingkatrisikountuksetiapakibatdariancaman yang terjadi. • Severity adalahdampak terukur yang ditimbulkanolehsuaturisiko, yang diukur berdasarkan tabel (contoh) berikut: Direktorat Sistem Informasi - Seksi Keamanan Data
EvaluasiNilaiResiko (2) • Probabilityadalahpotensikemungkinanterjadinyarisk eventberdasarkandata history/current control/ knowledge base. AnalisisProbabilitydilakukandenganmenggunakan tabel berikut: Direktorat Sistem Informasi - Seksi Keamanan Data
EvaluasiNilaiResiko (3) • Penentuannilaitingkatrisikountuk proses identifikasirisikodenganpendekatanbottom-updiawalidenganmelakukanagregasinilaiSeveritydanProbabilityuntukmasing – masingrisk event melalui tabelberikut: Direktorat Sistem Informasi - Seksi Keamanan Data
EvaluasiNilaiResiko (4) • Tingkat exposurerisikoinformasiditentukanberdasarkanhasilpertambahanantaranilai final (aggregate) Probability(kecendurangan)dengannilai final (aggregate) Severity(Dampak), yang selanjutnyadipetakan di dalampetarisikoinformasiatau dengan berpedoman pada tabel : NRD (Nilai Resiko Dasar), sbb : Direktorat Sistem Informasi - Seksi Keamanan Data
EvaluasiNilaiResiko(5) • Tingkatan-tingkatanrisikoinformasitersebutadalah: Direktorat Sistem Informasi - Seksi Keamanan Data
IdentifikasiOpsiPenangananResiko • Tindakanpenangananresiko yang dapatdiambilantara lain : • Menerima Risiko (Accept Risk): mempertahankan risiko pada tingkat risiko saat ini dengan tidak mengambil tindakan lanjutan. Pilihan ini dapat dilakukan untuk risiko yang dianggap tidak signifikan atau memiliki tingkat kepentingan yang rendah bagi perusahaan. • Memindahkan Risiko (Transfer Risk): memindahkan/menggeser risiko yang ada kepada pihak ketiga yang independen dan memiliki kemampuan finansial yang kuat • Menghindari Risiko (Avoid Risk): menghindari paparan/exposure terhadap kemungkinan terjadinya suatu risiko yang berpotensi terjadi (contoh: menghentikan kegiatan/aktivitas yang dapat menimbulkan risiko tersebut). Tindakan ini dapat dipilih sebagai penanganan terhadap risiko yang memiliki tingkat risiko yang tidak dapat ditoleransi ataupun diterima oleh perusahaan karena memiliki Severity yang signifikan. • Mengurangi Risiko (Reduce Risk): Strategi untuk mengambil tindakan mengurangi tingkat risiko sampai pada tingkat yang dapat diterima dengan memfokuskan pada penurunan Probability dan Severity risiko. (Contoh: mengurangi tingkat risiko dengan menempatkan kontrol tambahan atau menguatkan kontrol dan proses yang sudah ada) Direktorat Sistem Informasi - Seksi Keamanan Data
PenentuanRencanaPengendalianResiko • Untuksetiaprisiko yang tidakdapatditerima (non-acceptable risk) harusdilakukanrencanapengendalianrisiko yang terdiriatasrencana-rencanaterincidariatasopsi-opsi yang telahdipilihkanpadatahapansebelumnya. Apabiladiputuskanuntukmengambilopsimengurangirisiko, makaharusidentifikasirencanapengendalianrisiko yang terdiriatas: • Control Objective dan Control yang dijelaskan dalam Annex A standar ISO 27001:2005 dan tercakup dalam Statement of Applicability (SoA). • Peraturan-perundangan yang berlaku di wilayah Republik Indonesia dan/atau di mana pekerjaan dilakukan, dan • Kontrol-kontrol lain sesuai kebutuhan bisnis. Direktorat Sistem Informasi - Seksi Keamanan Data
Penghitungannilairesiko yang diharapkan • Tingkat Risiko yang Diharapkan (expected risk) harusdihitungkembaliuntuksetiaptingkatrisiko yang telahditentukanuntuksetiapnon-acceptable risk. Tingkat risikosisainiharusdisetujuiolehPengelolaanPuncaksebelumdilakukanpengendalianrisiko. Direktorat Sistem Informasi - Seksi Keamanan Data