Pengenalan Analisa Risiko TSI
Untuk menciptakan optimalisasi pengelolaan dan pemanfaatan TSI maka diperlukan seperangkat kontrol yang memadai yang sesuai dengan kebutuhan bisnis serta sesuai dengan risiko yang dihadapi. Oleh karena itu, proses analisa risiko mutlak diperlukan untuk menilai proses yang mana yang memiliki risiko dominan dan memerlukan perhatian serta luntuk menentukan kontrol atau angkah apa yang perlu dilakukan untuk memitigasi risiko tersebut.
Risiko adalah segala potensi dimana sebuah ancaman akan mengeksploitasi kelemahan suatu asset/sistem/proses yang dapat mengakibatkan kerugian atau kerusakan pada asset/sistem/proses. Dampak dari risiko sejalan dengan nilai kerugian atau kerusakan dan estimasi frekuensi amcaman. Risiko pada dasarnya adalah segala mancam kejadian yang berdampak negatif pada pencapaian tujuan bisnis yang secara matematis dapat dijabarkan sebagai berikut:
Risiko = Kecenderungan kejadian sebuah ancaman x dampak negatif dari ancaman
Untuk menentukan kecenderungan dari dampak negatif, maka ancaman pada sistem IT harus dianalisa bersamaan dengan potensi kelemahan dan kontrol yang ada pada sistem IT. Rating kecenderungan dan kelemahan dapat dianalisa dengan melakukan langkah – langkah berikut :
Langkah 1: Informasi Karakteristik Sistem
Karakteristik sistem diperlukan untuk memperoleh informasi sehubungan dengan batasan analisa risiko yang akan dilakukan serta untuk mendapatkan informasi (seperti hardware, software, konektivitas, dsb) yang diperlukan dalam menetapkan risiko.Dalam mengidentifikasi risiko, maka perlu dilakukan pengumpulan informasi yang berhubungan dengan sistem informasi, yang biasanya dikelompokkan sebagai berikut:
· Hardware
· Software
· Interface sistem (konektivitas internal dan eksternal)
· Data dan informasi
· Personil yang menjadi support dan pengguna IT
· Misi sistem (misalkan proses yang dilakukan sistem IT)
· Tingkat kritis sistem dan data
· Sensitivitas data dan sistem
Data diatas dapat diperoleh dengan menggunakan berbagai metode pengumpulan data sebagai berikut:
a. Kuesioner
Untuk mengunpulkan informasi dapat dilakukan dengan membuat kuesioner yang fokus pada pengendalian manajemen dan operasional yang ada atau yang direncanakan. Kuesioner ini didistribusikan kepada semua personil yang sesuai baik secara teknis maupun secara non-teknis.
b. On-site interview
Interview dengan personil dan manajemen IT dapat memungkinkan pengumpulan informasi sistem IT (seperti bagaimana sistem dikelola).
c. Review dokumen
Dokumen kebijakan, dokumentasi sistem, dan dokumentasi keamanan sistem dapat memberi informasi yang akurat sehubungan dengan pengendalian keamanan pada sistem IT.
d. Penggunaan automated scanning tool
Meode teknik berupa scanning tool seperti software asset management dapat digunakan untuk mengumpulkan informasi sistem secara efektif.
Data yang diperoleh digunakan sebagai dasar dalam melakukan penilaian secara kuantitative terhadap risk profile.
Langkah 2: Identifikasi Ancaman
Sebuah ancaman adalah potensi dimana sebuah sumber kejadian berhasil memanfaatkan kelemahan yang ada. Sebuah sumber ancaman tidak akan menimbulkan risiko jika tidak ada kelemahan yang dapat dimanfaatkan. Dalam menentukan kecederungan sebuah ancaman, maka harus dipertimbangkan sumber ancaman, potensi kelemahan dan kontrol yang ada.
Langkah 2.1: Identifikasi Sumber Ancaman
Tujuan dari identifikasi sumber ancaman adalah untuk mengidentifikasi potensi sumber ancaman dan membuat list sumber ancaman yang sesuai dengan sistem IT yang sedang dievaluasi.
Sumber ancaman adalah metode yang ditujukan pada pengungkapan sebuah kelemahan atau situasi dan metode yang secara tidak langsung memacu munculnya kelemahan. Sumber ancaman umumnya dibagi ke dalam 3 (tiga) jenis yaitu:
a. Natural – seperti banjir, gampa bumi, angin topan, petir, dan peristiwa alam lainnya.
b. Manusia – merupakan sebuah kejadian yang disebabkan oleh manusia seperti tindakan kejahatan, hacker, teroris, mata – mata industri, dan sebagainya.
c. Lingkungan – seperti pemadaman lampu dalam jangka panjang, polusi, kebocoran air, dan sebagainya.
Dalam hal ini, sebagian besar sumber ancaman yang dipertimbangkan biasanya berasal dari manusia sebagai pelaksana operasional.
Langkah 2.2: Motivasi dan Aksi Ancaman
Motivasi dan sumber daya untuk melakukan serangan membuat manusia paling berpotensi sebagai sumber serangan. Informasi ini akan sangat berguna bagi organisasi untuk mempelajari lingkungan ancaman. Untuk mendapatkan data sehubungan dengan motivasi ancaman, maka review terhadap sejarah serangan terhadap sistem, laporan pelanggaran keamanan, laporan gangguan, laporan helpdesk, dan interview dengan personil terkait akan membantu dalam mengidentifikasi sumber serangan yang berasal dari manusia yang dapat mempengaruhi sistem IT dan datanya serta menjadi perhatian dimana ada sebuah kelemahan.
Hasil dari langkah ini adalah sebuah daftar ancaman yang berisikan list sumber ancaman yang dapat mengungkapkan kelemahan sistem.
Langkah 3: Identifikasi Kelemahan
Kelemahan (vulnerability) adalah celah/cacat pada prosedur keamanan, implementasi, atau internal control (disengaja maupun tidak) dan mengakibatkan kerugian pada operasional.
Analisa terhadap ancaman dalam sistem IT harus mencakup analisis terhadap kelemahan dalam lingkungan sistem. Contoh dari kelemahan adalah karyawan yang sudah dikeluarkan masih tercatat dalam sistem payroll. Tujuan dari tahapan ini adalah untuk mendapatkan list kelemahan pada sistem yang dapat diungkapkan oleh sumber ancaman.
Langkah 4: Analisa Kontrol
Tujuan dari tahap ini adalah untuk menganalisa kontrol yang sudah diimplementasikan atau direncanakan untuk diimplementasikan oleh organisasi untuk meminimalisasi atau menghilangkan kecenderungan (kemungkinan) sebuah ancaman memanfaatkan kelemahan sistem.
Untuk memperoleh rating kecenderungan yang mengindikasikan kemungkinan sebuah kelemahan dapat dimanfaatkan dalam lingkungan yang penuh ancaman, implementasi dari kontrol yang ada dan akan dibangung harus dipertimbangkan. Sebagai contoh, sebuah kelemahan tidak akan dimanfaatkan atau kecenderungannya rendah jika sumber ancaman rendah atau jika terdapat kontrol yang efektif.
Langkah 5: Penetapan Kecenderungan
Untuk mendapatkan rating kecenderungan yang mengindikasikan kemungkinan kalau kelemahan dapat dimanfaatkan oleh ancaman, maka faktor berikut perlu dipertimbangkan:
a. Sumber ancaman
b. Kelemahan yang ada
c. Keberadaan dan efektivitas kontrol yang ada
Kecenderungan sebuah ancaman dapat mengungkap kelemahan dapat dikelompokkan ke dalam 3 (tiga) kategori yaitu:
Level Kecenderungan (probabilitas) | Definisi |
High (1.0) | Sumber ancaman sangat termotivasi dan memiliki kemampuan yang tinggi dan control untuk menutupi kelemahan agar tidak dimanfaatkan tidak efektif. |
Medium (0.5) | Sumber ancaman termotivasi dan memiliki kemampuan memadai namun control yang ada mungkin dapat menghalangi pemanfaatan kelemahan. |
Low (0.1) | Sumber ancaman kurang motivasi, atau control yang ada sudah ada untuk mencegah atau menghalangi kelemahan untuk dimanfaatkan. |
Langkah berikutnya dalam melakukan pengukuran level risiko adalah menetapkan dampak negatif akibat keberhasilan sebuah ancaman memanfaatkan kelemahan yang ada. Sebelum memulai analisa dampak, pertama kali perlu didapatkan informasi berikut:
a. Misi sistem
b. Tingkat kritis sistem dan data
c. Sensitivitas sistem dan data
Data diatas dapat dipergunakan sebagai dasar dalam menentukan indikator risiko yang dapat berdampak negatif pada sistem serta menentukan besaran kualitatif dari dampak yang ada.
Selain itu, ada juga ukuran kuantitatif yang digunakan sebagai besaran dampak dari sebuah ancaman sebagai berikut:
Magnitudo Dampak | Definisi Dampak |
High (100) | Adanya kelemahan (1) mungkin mengakibatkan biaya kerugian yang sangat signifikan pada asset atau sumber daya tangible; (2) mungkin secara signifikan mengancam atau mempengaruhi misi, reputasi atau keuntungan organisasi; atau (3) mungkin berakibat pada kematian manusia atau luka serius |
Medium (50) | Adanya kelemahan (1) mungkin berakibat pada kerugian yang besar pada aset atau sumber daya tangible; (2) mungkin mengancam atau mempengaruhi misi, reputasi atau keuntungan organisasi; atau (3) mungkin berakibat luka pada manusia |
Low (10) | Adanya kelemahan (1) mungkin berakibat pada kerugian aset atau sumber daya tangible; (2) mungkin dapat sedikit mempengaruhi misi, reputasi atau keuntungan organisasi |
a. Estimasi frekuensi sumber ancaman memanfaatkan kelemahan pada periode tertentu ( misalkan 1 tahun).
b. Perkiraan biaya untuk masing – masing kejadian sumber ancaman mengungkapkan kelemahan.
c. Faktor bobot yang didasarkan pada analisa subyektif sehubungan dengan dampak dari sebuah ancaman mengungkapkan kelemahan.
Langkah 7: Penetapan Risiko
Tujuan dari tahap ini adalah untuk menilai level risiko pada sistem IT. Penetapan risiko untuk ancaman/kelemahan tertentu dapat digambarkan sebagai ekspresi:
a. Kecenderungan sebuah sumber ancaman mengungkapkan sebuah kelemahan
b. Besaran dampak dimana sebuah sumber ancaman berhasil mengungkapkan sebuah kelemahan
c. Kecukupan control yang ada maupun yang akan diterapkan untuk mengurangi atau menghilangkan risiko.
Langkah terakhir dalam menetapkan level risiko adalah dengan mengalikan rating dari kecenderungan sebuah ancaman dengan dampak sebuah ancaman. Gambar 21 dibawah memperlihatkan bagaimana rating risiko ditetapkan berdasarkan input dari kategori kecenderungan ancaman dan dampak ancaman.
Kecenderungan Ancaman | Dampak | ||
Low (10) | Medium (50) | High (100) | |
High (1.0) | Low 10 x 1.0 = 10 | Medium 50 x 1.0 = 50 | High 100 x 1.0 = 100 |
Medium (0.5) | Low 10 x 0.5 = 5 | Medium 50 x 0.5 = 25 | Medium 100 x 0.5 = 50 |
Low (0.1) | Low 10 x 0.1 = 1 | Low 50 x 0.1 = 5 | Low 100 x 0.1 = 10 |
Selama tahapan proses analisa risiko, kontrol yang dapat memitigasi atau menghilangkan risiko yang ada harus ditetapkan. Tujuan dari kontrol yang direkomendasikan adalah untuk mengurangi level risiko pada sistem IT dan datanya sampai pada level yang dapat diterima. Faktor berikut harus dipertimbangkan dalam merekomendasikan kontrol dan solusi alternatif untuk meminimalisasi atau mengeliminasi risiko yang ada adalah:
· Efektivitas dari opsi yang ditawarkan
· Legislasi dan regulasi
· Kebijakan organisasi
· Dampak operasional
· Keamanan dan reliabilitas
Rekomendasi kontrol adalah hasil dari proses penilaian risiko dan memberikan masukan untuk proses proses mitigasi risiko.
Kontrol yang nantinya dipilih dan diimplementasikan diharapkan mampu mencegah berbagai ancaman dan kelemahan yang ada menimbulkan risiko yang diprediksi.
[Written by: I Made Ari Jaya]
Hubungan COBIT dengan Berbagai Framework Governance
January 18, 2008 2 comments
Secara umum, kerangka kerja IT Governance serta control yang dibutuhkan untuk mencapainya disediakan oleh COBIT (Control Objectives for Information and Related Technology). Dimana didalamnya terdapat panduan bagaimana organisasi harus mengendalikan pengelolaan IT dalam pencapaian governance.
Namun COBIT hanya memberikan panduan control dan tidak memberikan panduan implementasi operasional. Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka perlu diadopsi berbagai kerangka governance operasional. Dalam implementasi IT Governance di lingkungan operasi, ada beberapa framework governance yang bisa diterapkan, antara lain:
- EFQM (European Foundation for Quality Management), EFQM adalah yayasan non-profit yang berhubungan dengan pengembangan standard an prosedur pemasaran
- ITIL (IT Infrastructure Library), merupakan sebuah panduan pengelolaan layanan IT yang mencakup service delivery dan sevice support.
- ISO9001, merupakan standarisasi manajemen kualitas
- IIP (Investor in People), merupakan standar de-facto dari proses pengembangan SDM.
- ISO17799, merupakan standar dalam pengembangan keamanan IT.
- PRINCE2/PMI (Project Management Institute), merupakan standar dalam pengelolaan proyek.
- ASL (Application Service Library), merupakan standar dalam pengembangan software
- CMMI (Capability Maturity Model Institute), merupakan standar dalam pengembangan software
- Gartner, Gartner mengeluarkan sebuah standar dalam pengelolaan data dan informasi
- Six Sigma, merupakan standar dalam pengawasan proses operasi
Gambar berikut menjelaskan bagaimana hubungan framework governance IT operasional tersebut dalam domain COBIT:
[Witten by: I Made Ari Jaya N]
No comments:
Post a Comment