Risk Assessment (Penilaian Resiko) Direktorat Sistem Informasi - Seksi Keamanan Data
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
PowerPoint Presentation
Risk Assessment(Penilaian Resiko)Direktorat Sistem Informasi - Seksi Keamanan DataRisk AssessmentRisk Assessment adalah metode yang sistematis untuk menentukan apakah suatu kegiatan/aset mempunyai resiko yang dapat diterima atau tidak.Risk Assessment sangat penting karena membantu menciptakan kesadaran tentang bahaya dan resiko yang didapatkan dari aset yang dimiliki. Hal ini bertujuan untuk mengurangi kemungkinan bahaya dengan menambahkan langkah-langkah pengendalian yang diperlukan dan tindakan pencegahan.Penilaian juga memprioritaskan bahaya dan membantu menentukan apakah tindakan pengendalian yang ada memadaiRisk assessment dilakukan dengan metode Reproducible, pengukuran yang digunakan harus dapat digunakan lagi.Direktorat Sistem Informasi - Seksi Keamanan Data22Langkah-langkah Direktorat Sistem Informasi - Seksi Keamanan Data3Identifikasi resiko (1)Aset informasi adalah hal yang bernilai bagi perusahaan terkait dengan penyediaan suatu informasiKlasifikasi aset informasi :Informasi berupa database dan file data, kontrak dan perjanjian, dokumentasi system, penelitian informasi, buku petunjuk, jejak audit, dsbSoftware (perangkat lunak aplikasi, perangkat lunak sistem, perangkat pengembangan, dan utilitas )Fisik berupa peralatan komputer, peralatan komunikasi, removable media, dan peralatan lainnyaJasa (service) berupa komputasi dan layanan komunikasi, utilitas umum, misalnya pemanas, penerangan, listrik, telepon, pipa servis, pelayanan genset, fotokopi, dllPeople berupa dan kualifikasi, keterampilan, dan pengalamanIntengible seperti reputasi dan citra organisasiDirektorat Sistem Informasi - Seksi Keamanan Data4Identifikasi resiko (2)Masing-masing aset informasi didefinisikan properti & atributnya yang dapat menggambarkan profil risiko dari aset tersebut, yang terdiri atas nama, sub-klasifikasi, lokasi penyimpanan, update/revisi, dll, tergantung dari jenis asetnya.Masing-masing aset informasi ditentukan penanggung jawabnya (ownership-nya).Masing-masing aset informasi dilakukan penilaian aset (Asset Value) yang dihitung dari aspek Confidentiality, Integrity dan Availability-nya dengan berpedoman pada formula :Asset Value = (Confidentiality + Integrity + Availability) / 3Note : confidentiality, integrity dan availability adalah 3 untuk tinggi, 2 untuk sedang dan 1 untuk rendahJika nilai asset value >= 2 maka aset tersebut dianggap memiliki peranan penting dalam bisnisUntuk asset value >= 2, maka dilakukan hal sebagai berikut :Identifikasi threat (ancaman) dan vulnerability (kelemahan) terhadap setiap asetMenentukan risk event terhadap setiap aset informasi
Direktorat Sistem Informasi - Seksi Keamanan Data5Evaluasi Nilai Resiko (1)Evaluasi Risiko Residual dilakukan dengan cara melakukan analisis nilai severity dan nilai probability dan tingkat risiko untuk setiap akibat dari ancaman yang terjadi.Severity adalah dampak terukur yang ditimbulkan oleh suatu risiko, yang diukur berdasarkan tabel (contoh) berikut:
Direktorat Sistem Informasi - Seksi Keamanan Data6Severity Level (Tingkat Keparahan)PenjelasanTingkat 5 (Catastropic)Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan DSI selama lebih dari 1 bulan dan/atau tercemarnya nama baik Universitas AirlanggaTingkat 4 (Major)Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan DSI selama maksimum 1 bulan dan/atau tercemarnya nama baik Universitas AirlanggaTingkat 3 (Moderate)Kehilangan/Kerusakan aset informasi yang bernilai 2 yang mengakibatkan tidak tercapainya minimal satu SLA yang diberikan oleh DSI kepada para Civitas Akademika UnairTingkat 2 (Minor)Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 yang tidak mengakibatkan dampak bagi Universitas Airlangga serta Civtas Akademika Unair (hanya mengakibatkan dampak bagi DSI)Tingkat 1 (Negligible)Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 namun yang tidak mengakibatkan dampak bagi Universitas Airlangga serta Civitas Akademika Unair, dan tidak menimbulkan dampak material kepada DSI.Evaluasi Nilai Resiko (2)Probability adalah potensi kemungkinan terjadinya risk event berdasarkan data history/current control/ knowledge base. Analisis Probability dilakukan dengan menggunakan tabel berikut:
Direktorat Sistem Informasi - Seksi Keamanan Data7Probability Level (Tingkat Kemungkinan)PenjelasanTingkat 5 (Almost Certain)Tingkat Kemungkian Kejadiannya 76% hingga 99,99%Tingkat 4 (Likely)Tingkat Kemungkian Kejadiannya 51% hingga 75,99%Tingkat 3 (Possible)Tingkat Kemungkian Kejadiannya 26% hingga 50,99%Tingkat 2 (Unlikely)Tingkat Kemungkian Kejadiannya 1% hingga 25,99%Tingkat 1 (Rare)Tingkat Kemungkian Kejadiannya sampai dengan 0,99%%Evaluasi Nilai Resiko (3)Penentuan nilai tingkat risiko untuk proses identifikasi risiko dengan pendekatan bottom-up diawali dengan melakukan agregasi nilai Severity dan Probability untuk masing masing risk event melalui tabel berikut:
Direktorat Sistem Informasi - Seksi Keamanan Data8
Evaluasi Nilai Resiko (4)Tingkat exposure risiko informasi ditentukan berdasarkan hasil pertambahan antara nilai final (aggregate) Probability (kecendurangan) dengan nilai final (aggregate) Severity (Dampak), yang selanjutnya dipetakan di dalam peta risiko informasi atau dengan berpedoman pada tabel : NRD (Nilai Resiko Dasar), sbb :
Direktorat Sistem Informasi - Seksi Keamanan Data9Nilai Resiko Berdasarkan risk eventNRD atau NRA (Nilai Resiko Dasar)Tingkat ResikoDampak + Kecendurangan >= 63Tinggi & Ekstrim (not acceptable)Dampak + Kecendurangan >= 42Menengah (acceptable)Dampak + Kecendurangan < 41Rendah (acceptable)Evaluasi Nilai Resiko (5)Tingkatan-tingkatan risiko informasi tersebut adalah:
Direktorat Sistem Informasi - Seksi Keamanan Data10
Identifikasi Opsi Penanganan ResikoTindakan penanganan resiko yang dapat diambil antara lain :Menerima Risiko (Accept Risk): mempertahankan risiko pada tingkat risiko saat ini dengan tidak mengambil tindakan lanjutan. Pilihan ini dapat dilakukan untuk risiko yang dianggap tidak signifikan atau memiliki tingkat kepentingan yang rendah bagi perusahaan. Memindahkan Risiko (Transfer Risk): memindahkan/menggeser risiko yang ada kepada pihak ketiga yang independen dan memiliki kemampuan finansial yang kuat Menghindari Risiko (Avoid Risk): menghindari paparan/exposure terhadap kemungkinan terjadinya suatu risiko yang berpotensi terjadi (contoh: menghentikan kegiatan/aktivitas yang dapat menimbulkan risiko tersebut). Tindakan ini dapat dipilih sebagai penanganan terhadap risiko yang memiliki tingkat risiko yang tidak dapat ditoleransi ataupun diterima oleh perusahaan karena memiliki Severity yang signifikan.Mengurangi Risiko (Reduce Risk): Strategi untuk mengambil tindakan mengurangi tingkat risiko sampai pada tingkat yang dapat diterima dengan memfokuskan pada penurunan Probability dan Severity risiko. (Contoh: mengurangi tingkat risiko dengan menempatkan kontrol tambahan atau menguatkan kontrol dan proses yang sudah ada)Direktorat Sistem Informasi - Seksi Keamanan Data11Penentuan Rencana Pengendalian ResikoUntuk setiap risiko yang tidak dapat diterima (non-acceptable risk) harus dilakukan rencana pengendalian risiko yang terdiri atas rencana-rencana terinci dariatas opsi-opsi yang telah dipilihkan pada tahapan sebelumnya. Apabila diputuskan untuk mengambil opsi mengurangi risiko, maka harus identifikasi rencana pengendalian risiko yang terdiri atas:Control Objective dan Control yang dijelaskan dalam Annex A standar ISO 27001:2005 dan tercakup dalam Statement of Applicability (SoA).Peraturan-perundangan yang berlaku di wilayah Republik Indonesia dan/atau di mana pekerjaan dilakukan, danKontrol-kontrol lain sesuai kebutuhan bisnis.
Direktorat Sistem Informasi - Seksi Keamanan Data12Penghitungan nilai resiko yang diharapkan Tingkat Risiko yang Diharapkan (expected risk) harus dihitung kembali untuk setiap tingkat risiko yang telah ditentukan untuk setiap non-acceptable risk. Tingkat risiko sisa ini harus disetujui oleh Pengelolaan Puncak sebelum dilakukan pengendalian risiko.Direktorat Sistem Informasi - Seksi Keamanan Data13Sheet1Severity Level (Tingkat Keparahan)PenjelasanTingkat 5Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan Pusintek selama lebih dari 1 bulan dan/atau tercemarnya nama baik Republik IndonesiaTingkat 4Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan Pusintek selama maksimum 1 bulan dan/atau tercemarnya nama baik Kementerian KeuanganTingkat 3Kehilangan/Kerusakan aset informasi yang bernilai 2 yang mengakibatkan tidak tercapainya minimal satu SLA yang diberikan oleh Pusintek kepada para pelanggannya.Tingkat 2Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 yang tidak mengakibatkan dampak bagi Negara, Kementerian Keuangan serta pelanggan Pusintek (hanya mengakibatkan dampak bagi Pusintek)Tingkat 1Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 namun yang tidak mengakibatkan dampak bagi Negara, Kementerian Keuangan serta pelanggan Pusintek, dan tidak menimbulkan dampak material kepada Pusintek.
Probability Level (Tingkat Kemungkinan)PenjelasanTingkat 5Tingkat Kemungkian Kejadiannya 76% hingga 99,99%Tingkat 4Tingkat Kemungkian Kejadiannya 51% hingga 75,99%Tingkat 3Tingkat Kemungkian Kejadiannya 26% hingga 50,99%Tingkat 2Tingkat Kemungkian Kejadiannya 1% hingga 25,99%Tingkat 1Tingkat Kemungkian Kejadiannya sampai dengan 0,99%%
Sheet2
Nilai KeparahanLevel 5TinggiTinggiEkstrimEkstrimEkstrimLevel 4MenengahTinggiTinggiEkstrimEkstrimLevel 3MenengahTinggiTinggiTinggiEkstrimLevel 2RendahMenengahTinggiTinggiTinggiLevel 1RendahRendahMenengahMenengahTinggiLevel 1Level 2Level 3Level 4Level 5Nilai Kemungkinan
Sheet3
Sheet1Severity Level (Tingkat Keparahan)PenjelasanTingkat 5Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan Pusintek selama lebih dari 1 bulan dan/atau tercemarnya nama baik Republik IndonesiaTingkat 4Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan Pusintek selama maksimum 1 bulan dan/atau tercemarnya nama baik Kementerian KeuanganTingkat 3Kehilangan/Kerusakan aset informasi yang bernilai 2 yang mengakibatkan tidak tercapainya minimal satu SLA yang diberikan oleh Pusintek kepada para pelanggannya.Tingkat 2Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 yang tidak mengakibatkan dampak bagi Negara, Kementerian Keuangan serta pelanggan Pusintek (hanya mengakibatkan dampak bagi Pusintek)Tingkat 1Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 namun yang tidak mengakibatkan dampak bagi Negara, Kementerian Keuangan serta pelanggan Pusintek, dan tidak menimbulkan dampak material kepada Pusintek.
Probability Level (Tingkat Kemungkinan)PenjelasanTingkat 5Tingkat Kemungkian Kejadiannya 76% hingga 99,99%Tingkat 4Tingkat Kemungkian Kejadiannya 51% hingga 75,99%Tingkat 3Tingkat Kemungkian Kejadiannya 26% hingga 50,99%Tingkat 2Tingkat Kemungkian Kejadiannya 1% hingga 25,99%Tingkat 1Tingkat Kemungkian Kejadiannya sampai dengan 0,99%%
Sheet2
Nilai KeparahanLevel 5TinggiTinggiEkstrimEkstrimEkstrimLevel 4MenengahTinggiTinggiEkstrimEkstrimLevel 3MenengahMenengahTinggiTinggiTinggiLevel 2RendahRendahMenengahMenengahTinggiLevel 1RendahRendahRendahRendahMenengahLevel 1Level 2Level 3Level 4Level 5Nilai Kemungkinan
EkstrimRisiko Tidak Dapat Diterima (not acceptable) dengan mitigasi priortas tinggiTinggiRisiko Tidak Dapat Diterima (not acceptable) dengan mitigasi priortas menengahMenengahRisko Dapat Diterima dengan pemantauanRendahRisiko Dapat Diterima tanpa perlu pemantauan
Sheet3
Related Documents
