Transcript Risk Assessment

Direktorat Sistem Informasi - Seksi Keamanan Data
 Risk Assessment adalah metode yang sistematis untuk menentukan apakah suatu
kegiatan/aset mempunyai resiko yang dapat diterima atau tidak.
 Risk Assessment sangat penting karena membantu menciptakan kesadaran tentang
bahaya dan resiko yang didapatkan dari aset yang dimiliki.
 Hal ini bertujuan untuk mengurangi kemungkinan bahaya dengan menambahkan
langkah-langkah pengendalian yang diperlukan dan tindakan pencegahan.
 Penilaian juga memprioritaskan bahaya dan membantu menentukan apakah tindakan
pengendalian yang ada memadai
 Risk assessment dilakukan dengan metode “Reproducible”, pengukuran yang
digunakan harus dapat digunakan lagi.
Direktorat Sistem Informasi - Seksi Keamanan Data
2
Identifikasi
Resiko
Evaluasi Nilai
Resiko
Direktorat Sistem Informasi - Seksi Keamanan Data
Identifikasi
Opsi
Penanganan
Resiko
Penentuan
Rencana
Pengendalian
Resiko
Penghitungan
nilai resiko
yang
diharapkan
3
 Aset informasi adalah hal yang bernilai bagi perusahaan terkait dengan penyediaan
suatu informasi
 Klasifikasi aset informasi :
a. Informasi berupa database dan file data, kontrak dan perjanjian, dokumentasi system,
b.
c.
d.
e.
f.
penelitian informasi, buku petunjuk, jejak audit, dsb
Software (perangkat lunak aplikasi, perangkat lunak sistem, perangkat pengembangan,
dan utilitas )
Fisik berupa peralatan komputer, peralatan komunikasi, removable media, dan peralatan
lainnya
Jasa (service) berupa komputasi dan layanan komunikasi, utilitas umum, misalnya
pemanas, penerangan, listrik, telepon, pipa servis, pelayanan genset, fotokopi, dll
People berupa dan kualifikasi, keterampilan, dan pengalaman
Intengible seperti reputasi dan citra organisasi
Direktorat Sistem Informasi - Seksi Keamanan Data
4
 Masing-masing
aset informasi didefinisikan properti & atributnya yang dapat
menggambarkan profil risiko dari aset tersebut, yang terdiri atas nama, sub-klasifikasi,
lokasi penyimpanan, update/revisi, dll, tergantung dari jenis asetnya.
 Masing-masing aset informasi ditentukan penanggung jawabnya (ownership-nya).
 Masing-masing aset informasi dilakukan penilaian aset (Asset Value) yang dihitung dari
aspek Confidentiality, Integrity dan Availability-nya dengan berpedoman pada formula :
Asset Value = (Confidentiality + Integrity + Availability) / 3
 Note : confidentiality, integrity dan availability adalah 3 untuk tinggi, 2 untuk sedang
dan 1 untuk rendah
 Jika nilai asset value >= 2 maka aset tersebut dianggap memiliki peranan penting dalam
bisnis
 Untuk asset value >= 2, maka dilakukan hal sebagai berikut :
a.
b.
Identifikasi threat (ancaman) dan vulnerability (kelemahan) terhadap setiap aset
Menentukan risk event terhadap setiap aset informasi
Direktorat Sistem Informasi - Seksi Keamanan Data
5
 Evaluasi Risiko Residual dilakukan dengan cara melakukan analisis nilai severity dan
nilai probability dan tingkat risiko untuk setiap akibat dari ancaman yang terjadi.
 Severity adalah dampak terukur yang ditimbulkan oleh suatu risiko, yang diukur
berdasarkan tabel (contoh) berikut:
Severity Level (Tingkat Keparahan)
Tingkat 5 (Catastropic)
Tingkat 4 (Major)
Tingkat 3 (Moderate)
Tingkat 2 (Minor)
Tingkat 1 (Negligible)
Penjelasan
Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan DSI selama lebih dari 1 bulan dan/atau tercemarnya
nama baik Universitas Airlangga
Kehilangan/Kerusakan aset informasi yang bernilai 3 yang menyebabkan terhentinya kegiatan DSI selama maksimum 1 bulan dan/atau tercemarnya
nama baik Universitas Airlangga
Kehilangan/Kerusakan aset informasi yang bernilai 2 yang mengakibatkan tidak tercapainya minimal satu SLA yang diberikan oleh DSI kepada para
Civitas Akademika Unair
Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 yang tidak mengakibatkan dampak bagi Universitas Airlangga serta Civtas Akademika
Unair (hanya mengakibatkan dampak bagi DSI)
Kehilangan/Kerusakan aset informasi yang bernilai 2 atau 1 namun yang tidak mengakibatkan dampak bagi Universitas Airlangga serta Civitas
Akademika Unair, dan tidak menimbulkan dampak material kepada DSI.
Direktorat Sistem Informasi - Seksi Keamanan Data
6
 Probability adalah potensi kemungkinan terjadinya risk event berdasarkan data
history/current control/ knowledge base. Analisis Probability dilakukan dengan
menggunakan tabel berikut:
Probability Level (Tingkat
Kemungkinan)
Penjelasan
Tingkat 5 (Almost Certain)
Tingkat Kemungkian Kejadiannya 76% hingga 99,99%
Tingkat 4 (Likely)
Tingkat Kemungkian Kejadiannya 51% hingga 75,99%
Tingkat 3 (Possible)
Tingkat Kemungkian Kejadiannya 26% hingga 50,99%
Tingkat 2 (Unlikely)
Tingkat Kemungkian Kejadiannya 1% hingga 25,99%
Tingkat 1 (Rare)
Tingkat Kemungkian Kejadiannya sampai dengan 0,99%%
Direktorat Sistem Informasi - Seksi Keamanan Data
7
 Penentuan nilai tingkat risiko untuk proses identifikasi risiko dengan pendekatan
Nilai Keparahan
bottom-up diawali dengan melakukan agregasi nilai Severity dan Probability untuk
masing – masing risk event melalui tabel berikut:
Level 5
Tinggi
Tinggi
Ekstrim
Ekstrim
Ekstrim
Level 4
Menengah
Tinggi
Tinggi
Ekstrim
Ekstrim
Level 3
Menengah
Tinggi
Tinggi
Tinggi
Ekstrim
Level 2
Rendah
Menengah
Tinggi
Tinggi
Tinggi
Level 1
Rendah
Rendah
Menengah
Menengah
Tinggi
Level 1
Level 2
Level 3
Level 4
Level 5
Nilai Kemungkinan
Direktorat Sistem Informasi - Seksi Keamanan Data
8
 Tingkat exposure risiko informasi ditentukan berdasarkan hasil pertambahan antara
nilai final (aggregate) Probability (kecendurangan) dengan nilai final (aggregate)
Severity (Dampak), yang selanjutnya dipetakan di dalam peta risiko informasi atau
dengan berpedoman pada tabel : NRD (Nilai Resiko Dasar), sbb :
Nilai Resiko Berdasarkan risk event
NRD atau NRA
(Nilai Resiko
Dasar)
Tingkat Resiko
Dampak + Kecendurangan >= 6
3
Tinggi & Ekstrim (not
acceptable)
Dampak + Kecendurangan >= 4
2
Menengah
(acceptable)
Dampak + Kecendurangan < 4
1
Rendah (acceptable)
Direktorat Sistem Informasi - Seksi Keamanan Data
9
 Tingkatan-tingkatan risiko informasi tersebut adalah:
Ekstrim
Risiko Tidak Dapat Diterima (not acceptable) dengan mitigasi priortas tinggi
Tinggi
Risiko Tidak Dapat Diterima (not acceptable) dengan mitigasi priortas menengah
Menengah Risko Dapat Diterima dengan pemantauan
Rendah
Risiko Dapat Diterima tanpa perlu pemantauan
Direktorat Sistem Informasi - Seksi Keamanan Data
10
 Tindakan penanganan resiko yang dapat diambil antara lain :
a. Menerima Risiko (Accept Risk): mempertahankan risiko pada tingkat risiko saat ini dengan
tidak mengambil tindakan lanjutan. Pilihan ini dapat dilakukan untuk risiko yang
dianggap tidak signifikan atau memiliki tingkat kepentingan yang rendah bagi
perusahaan.
b. Memindahkan Risiko (Transfer Risk): memindahkan/menggeser risiko yang ada kepada
pihak ketiga yang independen dan memiliki kemampuan finansial yang kuat
c. Menghindari Risiko (Avoid Risk): menghindari paparan/exposure terhadap kemungkinan
terjadinya suatu risiko yang berpotensi terjadi (contoh: menghentikan kegiatan/aktivitas
yang dapat menimbulkan risiko tersebut). Tindakan ini dapat dipilih sebagai penanganan
terhadap risiko yang memiliki tingkat risiko yang tidak dapat ditoleransi ataupun diterima
oleh perusahaan karena memiliki Severity yang signifikan.
d. Mengurangi Risiko (Reduce Risk): Strategi untuk mengambil tindakan mengurangi tingkat
risiko sampai pada tingkat yang dapat diterima dengan memfokuskan pada penurunan
Probability dan Severity risiko. (Contoh: mengurangi tingkat risiko dengan menempatkan
kontrol tambahan atau menguatkan kontrol dan proses yang sudah ada)
Direktorat Sistem Informasi - Seksi Keamanan Data
11
 Untuk setiap risiko yang tidak dapat diterima (non-acceptable risk) harus dilakukan
rencana pengendalian risiko yang terdiri atas rencana-rencana terinci dariatas opsiopsi yang telah dipilihkan pada tahapan sebelumnya. Apabila diputuskan untuk
mengambil opsi mengurangi risiko, maka harus identifikasi rencana pengendalian
risiko yang terdiri atas:
 Control Objective dan Control yang dijelaskan dalam Annex A standar ISO 27001:2005 dan
tercakup dalam Statement of Applicability (SoA).
 Peraturan-perundangan yang berlaku di wilayah Republik Indonesia dan/atau di mana
pekerjaan dilakukan, dan
 Kontrol-kontrol lain sesuai kebutuhan bisnis.
Direktorat Sistem Informasi - Seksi Keamanan Data
12
 Tingkat Risiko yang Diharapkan (expected risk) harus dihitung kembali untuk setiap
tingkat risiko yang telah ditentukan untuk setiap non-acceptable risk. Tingkat risiko
sisa ini harus disetujui oleh Pengelolaan Puncak sebelum dilakukan pengendalian
risiko.
Direktorat Sistem Informasi - Seksi Keamanan Data
13