enterprise risk management sesi 4
DESCRIPTION
Enterprise Risk Management case study in IndonesiaSharing Vision (tm)TRANSCRIPT
Pola IT Risk Management
Fakta
Berdasarkan Analisa Clusters
IT Risk Mitigators
IT Risk BalancerH
igh
Eff
ecti
ven
esn
agem
ent
E
IT Risk
Low
T R
isk
Man
Low-Mid HighIT Risk Exposure
IT
Sumber: IT Risk Management Report,Symantec
2 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Authentication , Authorization and Access Memiliki Tingkat Efektifitas
Fakta
yang Paling Tinggi
Tingkat Keefektifan Organisasi dalam Proses IT Risk Management
Memiliki tingkat efektifitas yang paling yang paling tinggi
Sumber: IT Risk Management Report,Symantec, n = 528 responden
3 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Network Protocol and Host Security danPhysical Security Merupakan Teknologi
Fakta
Tingkat Keefektifan Organisasi dalam Menggunakan T k l i IT Ri k M t
y y p gyang Paling Efektif Digunakan
Teknologi IT Risk ManagementHampir 50% responden
mengatakan keefektifan organisasi
>90%
Sumber: IT Risk Management Report,Symantec, n = 528 responden
4 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Tingkat Keefektifan TeknologiD l IT Ri k M
Fakta
Dalam IT Risk Management Lebih Besar Daripada Prosesnya
Tingkat Keefektifan Teknologi vs Proses IT Risk Management
Sumber: IT Risk Management Report,Symantec, n = 528 responden
5 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Keefektifan Ekspektasi Insiden IT Menurun Walaupun Persepsi
Fakta
Menurun, Walaupun PersepsiTerhadap Risiko IT Meningkat
5
Insiden dan Risiko IT Berdasarkan Keefektifan IT Risk Management
3
4
Ind
ex
1
2
Worst Good Better Best
I
Klasifikasi perusahaan
Compliance Risk Business Process Risk Incidents
perusahaan
Sumber: IT Risk Management Report,Symantec, n = 528 responden
6 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Perusahaan Dengan Performansi TinggiM j kk K f k if Ti i
Fakta
Menunjukkan Keefektifan yang TinggiPada Hampir Semua Ukuran
Efektifitas Kontrol untuk Mengelola Risiko IT
Worst Good Better Best Mean
7 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Sumber: IT Risk Management Report,Symantec, n = 528 responden
7 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Perusahaan Mitigator MampuMenekan Risiko Melalu Efektifitas
Fakta
Menekan Risiko Melalu EfektifitasTeknologi dan Proses
IT Risk Exposure Keefektifan Kontrol dan Pengalaman Insiden
Compliance Risk Index
IT Risk Exposure, Keefektifan Kontrol dan Pengalaman Insiden Berdasarkan Performance Cluster
5
Operating Risk IndexTechnology Effectiveness 2
3
4
1
Incident IndexProcess Effectiveness Index
A t Risk Ba la n cer Mit iga t or
Sumber: IT Risk Management Report,Symantec, n = 528 responden
8 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
8 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Proses Finansial dan AdminstrasiM iliki Ri ik P li Ti i
Fakta
Memiliki Risiko yang Paling Tinggi
Risiko IT berdasarkan Proses Bisnis
!!Berisiko
tinggi
Sumber: IT Risk Management Report,Symantec, n = 528 responden
9 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Data Retention dan Data Protection M iliki Ri ik P li Ti i
Fakta
Memiliki Risiko yang Paling Tinggi
Risiko IT berdasarkan Compliance Area
Berisiko tinggi
!!
tinggi
Sumber: IT Risk Management Report,Symantec, n = 528 responden
10 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
IT Risk Management Process
Awareness of IT Awareness of IT
Asset Id ifi i
Asset Id ifi i
RisksRisks
IdentificationIdentification
Risk AssessmentRisk Assessment
Risk MitigationRisk Mitigation
ReportReport
11 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Memahami Risiko Risiko IT
Awareness of IT Risks
Memahami Risiko – Risiko IT
Risiko IT merupakan risiko operasional, mulai dari kesalahan operasional aset IT sehari-hari hingga kesalahan besar & fatal
Sumber: IT Risk Management Report,Symantec
Setiap SDM Dalam Perusahaan Harus
Awareness of IT Risks
Memiliki Pemahaman Yang CukupTerhadap Risiko – Risiko IT
Kategori Risiko IT Sumber Pengaruh Risiko
• Serangan eksternal • Korupsi informasiSecurity
• Serangan eksternal• Kerusakan fisik• Akses ilegal
• Korupsi informasi• Kerusakan pada aset• Pencurian aset finansial
Availability
• Kegagalan hardware• Proses manajemen perubahan yang
lemah
• Kegagalan transaksi• Berkurangnya pelanggan & partner• Terlambatnya proses bisnislemah
• Kegagalan data centre Terlambatnya proses bisnisyang penting
Performance• System architecture yang lemah• Kemacetan jaringan• Kapasitas yang tidak cukup
• Berkurangnya kepuasan klien• Berkurangnya produktifitas user• Hilangnya produktifitas IT
Compliance
• Legal action• Pengamanan IT internal
yang mendukung compliance• Standar compliance pihak ketiga yang
tidak cukup
• Kerusakan reputasi• Tuntutan hukum• Berkurangnya kepercayaan klien
13 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Mengidentifikasi Aset
Asset Identification
P i b d l id ifik i Aset adalah apapun yang berharga bagiAset adalah apapun yang berharga bagi
Pertimbangan dalam mengidentifikasi aset kritis
sebuah organisasi, tingkatannya mulai dariaset dasar hingga aset kritis. sebuah organisasi, tingkatannya mulai dariaset dasar hingga aset kritis.
• Tingkat kerugian
• Potensi aset untuk mengalami kerugian
Aset
• Potensi aset untuk mengalami kerugian, kerusakan, atau kehancuran
• Kerusakan terhadap landasan politik
• Kekacauan terhadap operasi perusahaanCritical
PeopleProperty
Information
• Kekacauan terhadap ekonomi perusahaan
• Perhatian media
• Pengaruh terhadap reputasi perusahaan
• Pengaruh terhadap moral karyawan
High
Medium
Pengaruh terhadap moral karyawan
• Kekhawatiran Low
14 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Pengkategorian Aset
Asset Identification
Contoh aset IT yang memiliki kepentingan yang signifikan/besar
• Data bisnis yang sensitif : dokumen – dokumen keuangan yang rahasia dan y g g y grahasia perdagangan
• Informasi personal : nama, alamat, nomor – nomor keamanan sosial, dan informasi kesehatan pegawai
• Informasi pelanggan : nama, alamat, nomor – nomor identifikasi pajak, dan sejarah pemasukan pelanggan
• Informasi otentikasi : nama user dan password untuk sistem – sistem yang Aset dikategorikan b d k Informasi otentikasi : nama user dan password untuk sistem sistem yang
penting, kunci – kunci cryptographic, dan alat – alat otentikasi hardwareberdasarkan dampak dalam kerahasiaan, integritas dan ketersediaannya Contoh aset IT yang memiliki kepentingan yang sedangyyang menyebabkan kerugian terhadap perusahaan
y g p g y g g
• Data bisnis : informasi tagihan pelanggan dan daftar supplier• Informasi personal : nomor – nomor telepon, sejarah pegawai
Contoh aset IT yang memiliki kepentingan yang kecil
• Peningkatan akses publisitas melalui website• Informasi dasar perusahan seperti chart organisasi, building map,
dan informasi kontak darurat
15 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
IT Risk Assessment ProcessRisk
Assessment
Risk Determination
IT System Characteriza-
tion
RiskAssessment
tion
Threat assessment
Vulnerability assessment
16 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Menggolongkan Sistem IT Risk
Assessment
Risk Determina-tion
IT System Characterization
Menggolongkan Sistem IT Berdasarkan Tahapan SDLC
Threat assessment
Vulnerability assessment
Tahapan SDLC
1 Initiation and design• Utilisasi hardware dan software
Elemen yang harus didefinisikan
1. Initiation and design
2. Development or Acquisition
• Interface sistem• Data dan informasi• Komunitas user• Orang – orang pendukung
3. Implementation
4. Operation
• Tujuan sistem• Proses – proses dependen• Sensitivitas data• Kekritisan sistem
5. Disposal • Lingkungan IT, seperti arsitektur sistem keamanan, dll
Metode PengumpulanRiskAssessment
Risk Determina-tion
IT System Characterization
Informasi DalamMenggolongkan Sistem IT
Threat assessment
Vulnerability assessment
Review dokumen
Interview
Kuesioner
Tool scanning otomatis
18 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Threat/AncamanRiskAssessment
Risk Determina-tion
IT System Characterization
Threat assessment
Vulnerability assessment
Ancaman adalah keadaan atau peristiwa apapun yang dapat membahayakan sistem teknologi informasi
HumanPhysical/ Environment
Ancaman
NaturalTechnical
19 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Threat Assessment(under construction)
RiskAssessment
Risk Determina-tion
IT System Characterization
(under construction)Threat
assessmentVulnerability assessment
20 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
21 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Threat AnalysisRiskAssessment
Risk Determina-tion
IT System Characterization
yThreat
assessmentVulnerability assessment
WhatWhat Memberitahu apa yang terjadi secara spesifik
WhereWhere
WhenWhen
Memberikan jawaban mengenai lokasi secara spesifik
Memberikan detail sementara dari setiap insiden
WhoWho Pertanyaan yang membantu dalam membuat program keamanan yang efektif
HowHow Memberitahu bagaimana tindak kejahatan biasanya dilakukan
22 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Metode PengumpulanI f i D l H
RiskAssessment
Risk Determina-tion
IT System Characterization
Informasi Dalam Human Threat Assessment
Threat assessment
Vulnerability assessment
√ Meninjau sejarah break-ins sistem
√ Meninjau laporan pelanggaran keamanan
√ Meninjau laporan insiden
√ Mewawancara pemilik bisnis, orang – orang pendukung sistem, user sistem, dan manajemen yang berkaitan
23 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
VulnerabilityRiskAssessment
Risk Determina-tion
IT System Characterization
Threat assessment
Vulnerability assessment
Vulnerability adalah titik kelemahan atau gap dalam program keamanan yang dapat dieksploitasi oleh ancaman untuk mendapatkan akses ilegal terhadap aset
Vulnerability bermacam – macam, tergantung kepada tahap sistem dalam SDLC
• Jika sistem berada pada tahap inisiasi, pencarian vulnerability sebaiknya dimasukkan ke dalam kebijakan dan prosedur pengembangan/akuisisi aplikasi perusahaanp g g / p p
• Jika sistem berada dalam tahap implementasi, sebaiknya dilakukan pengujian untuk menentukan kepastian integritas data
• Jika sistem berada dalam tahap operasional, sebaiknya dilakukan review terhadap user permission dan pengujian terhadap kontrol keamanan
24 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Vulnerability AssessmentRiskAssessment
Risk Determina-tion
IT System Characterization
Threat assessment
Vulnerability assessment
Membuat checklist persyaratan keamanan
Impact Analysis
25 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Membuat Checklist Persyaratan
Membuat checklist persyaratan keamanan
Impact Analysis
Membuat Checklist PersyaratanKeamanan Sebagai Awal Risk Assessment
Area Keamanan Kriteria KeamananArea Keamanan Kriteria Keamanan
Management security • Kebijakan dan prosedur resmi• Penempatan tanggung jawab• Kemampuan merespon insiden• Review rutin terhadap kontrol – kontrol
• Personal yang melakukanrisk assessment harusmenentukan apakahkebutuhan keamanan telah Review rutin terhadap kontrol kontrol
keamanan• Investigasi izin dan background personal• Risk assessment• Pelatihan keamanan dan teknis• Pemisahan kewajiban
tercapai• Setiap kebutuhan dipetakan kepada
penjelasan apakah kontrol – kontroldi sekitar desain atau implementasisistem memuaskan atau tidak j
Operational security • Akses dan pembagian media data• Distribusi dan pelabelan data eksternal• Kontrol – kontrol untuk memastikan kualitas
power supply elektrikKo t ol kele baba da te e at
• Tujuan langkah ini adalahmenujukan standar dasar keamananyang sebaiknya digunakan untukmengevaluasi dan mengidentifikasivulnerability di area KeamananM j O i l d T k i • Kontrol kelembaban dan temperatur
Technical security • Kontrol terhadap password• Kriptografi• Kontrol akses bebas• Identifikasi dan otentikasi
Manajemen, Operasional dan Teknis• Checklist kebutuhan keamanan
digunakan untuk mengevaluasikontrol – kontrol yang sudah adadan membantu pembuatan kontrol –kontrol di masa mendatang
• Deteksi kekacauan• Reuse objek• Audit sistem
kontrol di masa mendatang
Impact Analysis
Membuat checklist persyaratan keamanan
Impact Analysis
Impact Analysis
Klasifikasi Deskripsi dampak
• Loss of Confidentiality
dampak
High Eksploitasi vulnerability mengakibatkan kerugian biaya, asetdan resource yang kritis, sangat
• Loss of Integrity• Loss of Availability
membahayakan misi dan reputasiperusahaan, atau menyebabkankorban luka parah bahkan kematian
Medium Eksploitasi vulnerability p ymengakibatkan kerugian biayakarena aset dan resource, membahayakan misi dan reputasiperusahaan, atau menyebabkankorban lukakorban luka
Low Eksploitasi vulnerability mengakibatkan kehilangan beberapaaset dan resource atau efek nyatat h d i i d t iterhadap misi dan reputasiperusahaan
Penentuan RisikoRisk
Assessment
Risk Determina-
tion
IT System Characterization
Penentuan RisikoThreat assessment
Vulnerability assessment
Penentuan risiko berdasarkan ancaman dan vulnerability dapat di gka ka sebagai f gsi da i KemungkinanKemungkinan DampakDampak
Risk Risk –– Level MatrixLevel Matrix
diungkapkan sebagai fungsi dari:
• Kemungkinan sebuah ancaman berusaha untuk mengeksploitasi sebuah vulnerability
KemungkinanKemungkinanancamanancaman
DampakDampak
Low (1)Low (1) Medium (5)Medium (5) High (10)High (10)
High (10)High (10) LowLow
10 x 1 = 1010 x 1 = 10
MediumMedium
10 x 5 = 5010 x 5 = 50
HighHigh
10 x 10 = 10010 x 10 = 100b b y• Besarnya dampak yang diperoleh
jika sebuah ancaman mengeksploitasi vulnerability
• Legitimasi kontrol – kontrol yang
5 55 5
Medium (5)Medium (5) LowLow
5 x 1 = 50 5 x 1 = 50
MediumMedium
5 x 5 = 255 x 5 = 25
HighHigh
5 x 10 = 505 x 10 = 50
Low (1)Low (1) LowLow LowLow LowLowg y gdidesain untuk mengurangi atau menghilangkan risiko
1 x 1 = 11 x 1 = 1 1 x 5 = 51 x 5 = 5 1 x 10 = 101 x 10 = 10
Skala RisikoRiskAssessment
Risk Determina-
tion
IT System Characterization
Threat assessment
Vulnerability assessment
High• Penemuan berisiko tinggi yang sangat membutuhkan
tindakan perbaikan. Sistem mungkin tetap dapat beroperasi, tetapi tindakan yang terencana harus dilakukan secepat mungkindilakukan secepat mungkin
Medium• Penemuan berisiko tinggi yang membutuhkan
tindakan perbaikan. Sistem mungkin tetap dapat b i d ti d k t h beroperasi, dan tindakan yang terencana harus dilakukan dalam kerangka waktu yang masuk akal
• Penemuan berisiko rendah yang membuat pembuat Low
y g pkeputusan dala keamanan harus memasukkan rencana perbaikan atau memutuskan untuk menerima risiko
29 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Pendekatan KuantitatifRisk
Assessment
Risk Determina-
tion
IT System Characterization
untukMenentukan Risiko
Threat assessment
Vulnerability assessment
Probability
Loss Event
Probability
Loss Event
Criticality
30 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Menghitung Probabilitas
Probability
Loss Event
Faktor faktor yang
fP
Faktor-faktor yang mempengaruhi probabilitas :
• Lingkungan fisik (konstruksi, lokasi, komposisi konfigurasi)f
nfP = komposisi, konfigurasi)
• Lingkungan sosial (demografi, dinamika populasi)
• Lingkungan politik (stabilitas pemerintahan sumber pelaksanaan
nfP =
P = Probabilitas loss event
f = Frekuensi loss event yang terjadi
l
pemerintahan, sumber pelaksanaan undang-undang)
• Pengalaman historis (tipe dan frekuensi loss event sebelumnya)P d d (b i t n = Total pengamatan • Prosedur dan proses (bagaimana aset digunakan, disimpan dan dilindungi)
• State of the art tindak kejahatan(tipe dan efektifitas tool serangan)
31 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Membuat Matrik Risiko
Probability
Membuat Matrik Risiko
Pengontrolani i k P i
Pembuatand k
PengadaanAl Lokasi Nilai ($)
izin masuk(Ya/Tidak)
Penguncian area (Ya/Tidak)
dokumen(Ya/tidak)
Alarm (Ya/Tidak) Lainnya
Warehouse dll …
Front Office dll …
Laboratory dll …
Shipping dll …
f i dllManufacturing dll …
dll … dll …
L k i d k di i hi i ik d d di difik i• Lokasi dan kondisi yang mempengaruhi risiko dapat dapat dimodifikasisesuai dengan kondisi perusahaan
• Jawaban “Ya” menunjukkan proteksi yang baik, “Tidak” menunjukkanproteksi yang kurang baikp y g g
Menentukan
Probability
Rating Probabilitas
Vi t ll C t iVi t ll C t i Ri ik k t j diVirtually CertainVirtually Certain
Highly ProbableHighly Probable
Risiko akan terjadi
Kemungkinan risiko akan terjadi jauh lebih besar Highly ProbableHighly Probable
Moderately ProbableModerately Probable
daripada tidak terjadi
Risiko lebih mungkin terjadi daripada tidak terjadi
Less ProbableLess Probable
terjadi
Risiko lebih mungkin tidak terjadi daripada terjadi
Probability UnknownProbability Unknown
j
Data tidak cukup tersedia untuk dievaluasi
33 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Mengukur Loss Event Criticality
Criticality
Berdasarkan Efeknya Terhadap Finansial
Komponen biaya
Biaya penggantian permanen1• Harga pembelian dan manufaktur• Biaya pengangkutan• Biaya persiapan untuk membuatnya
i di k
Komponen biaya
Biaya penggantian sementara2
siap digunakan
• Biaya sewa atau rental• Bayaran tenaga kerja
Biaya konsekuensi3 • Biaya karena downtime
Biaya kehilangan pemasukan yang seharusnya diperoleh4
34 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Menghitung Biaya Kerugian dan
Criticality
Menentukan Rating Criticality
K = Cp + Ct + Cr + Ci - I Fatal 1
K = criticality, total biaya kerugianCp = biaya karena penggantian permanenCt = biaya karena penggantian sementara
Sangat serius 2
il i d i i
y p ggCr = biaya konsekuensiCi = biaya karena kehilangan pemasukanI = asuransi/ganti kerugian yang tersedia
Cukup serius
Secara relatif
3
4Nilai dari sistem rating tergantung
kepada perusahaan
tidak penting
Keseriusannyatidak diketahui
4
5tidak diketahui 5
35 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Risk Mitigation
Dapatkah IT Risk Management yang baik hil k i ik IT ?
Ri k “ id k”
menghilangkan risiko IT ?
Riset mengatakan “tidak”. Risiko IT dan biaya pada area yang paling vital dalam perusahaan harus dikelola dan
diminimalisasi tanpa mengurangi p g gperformansi bisnis.
Sumber: IT Risk Management ReportSumber: IT Risk Management Report,Symantec
36 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Risk MitigationRisk Mitigation
Align IT/ Membangu
Design Solution
Align IT/ Business Value & Implement Solution
Membangun & MengaturKemampuan
Build & Manage Unified Capabilityn
• Membuat solusii i i i ikmitigasi risiko yang
meliputi elemenpeople, proses danteknologi.
• Melakukan cost
• Mengimplementasi-kan solusi mitigasirisiko yang melibatkan para
• Membuat program perbaikan dan ketertataan IT Risk Management Melakukan cost
benefit analysis agar biaya dan benefit selaras dengantujuan perusahaan
melibatkan parastakeholder perusahaan
Management perusahaan yang kontinu
37 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Misalignment: Sumber IT RiskRisk Mitigation
• Berada dalam internal IT: Menimbulkan gap
2 jenismisalignment
dalam penggunaan, pengaturan dan pengembangan proses dan sistem.
• Berada antara fungsi IT dan Organisasi: program IT Risk tidak dapat memenuhi misalignment program IT Risk tidak dapat memenuhi kebutuhan organisasi, dan organisasi tidak memiliki awareness of IT Risk yang cukup
• Memastikan departemen IT diselaraskan secara internal
Solusi pencegahanrisiko
Solusi pencegahanrisiko
Memastikan departemen IT diselaraskan secara internal
• Manajemen IT harus mempererat kerja sama dengan klien dan pemegang saham dalam organisasi
38 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Memilih Mitigasi RisikoRisk Mitigation
Risk Assumption/ Menerima risiko dan meneruskan operasi sistem informasi teknologi t i l t ik k t l d i ik l bih d h Risk Assumption/
Acceptanceatau mengimplementasikan kontrol dengan risiko yang lebih rendah untuk level yang sesuai
Risk Avoidance Menghindari risiko dengan menghapuskan penyebab risikorisiko
Risk Limitation Mengurangi risiko dengan mengimplementasikan kontrol preventif
Mengelola risiko dengan mengembangkan rencana mitigasi risiko l k l dRisk Planning yang mengevaluasi, memprioritaskan, mengimplementasi dan
mempertahankan kontrol
Research and Mengurangi risiko kerugian menggunakan kontrol penelitian dan kontrol vulnerability untuk melindungi atau menghilangkan
Acknowledgmentkontrol vulnerability untuk melindungi atau menghilangkan vulnerability
Risk Transference Memindahkan risiko kepada pihak lain, misalnya membeli asuransi
39 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Elemen-Elemen Report
• Ruang lingkupRisk assessment report merupakan
Report
• Ruang lingkup
• Pendekatan risk assessment
sebuah pendekatan analitisuntuk meng-assess risikosehingga perusahaan memahamirisiko yang akan terjadi dan
• Karakterisasi sistemteknologi informasi
• Evaluasi dan identifikasi
risiko yang akan terjadi danmenempatkan sumber dayayang tepat untuk mengurangirisiko tersebut
Evaluasi dan identifikasiancaman dan vulnerability
• Rekomendasi kontrol
• Kesimpulan dan ulasan
40 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)
Penutup
A
p
Awareness of IT Risk
• Tujuan akhir dari IT risk management adalah
ReportingAsset
Identification
awareness
• Sedikit sekali yang sudahsampai pada stage
i di iperiodic reporting
• IT risk management adalahsuatu proses ERM yang
diRisk Mitigation
Risk Assessment
never ending