IS Risk Management

Resiko adalah potensial  bahaya yang mungkin timbul dari beberapa proses saat ini dan atau dari beberapa peristiwa dimasa depan. Dari perspektif Sistem Informasi , management resiko adalah memahami dan menanggapi faktor- factor yang dapat menyebabkan terjadinya kegagalan dalam integrasi, kerahasiaan, dan keamanan system informasi. Resiko ini akan membahayakan proses atau informasi yang dihasilkan dari beberapa peristiwa, baik yang disengaja maupun tidak disengaja. Resiko ini juga bisa berasal dari internal diri kita sendiri atau pihak ekternal yang mencoba untuk mencuri data kita.

Menurut G. Stoneburner 2002, IT risk management meliputi tiga proses:

1. Risk Assessment

Penilaian resiko (risk assessment) merupakan tahapan awal dalam pengendalian resiko. Manager menggunakan risk assessment untuk mengetahui tingkat ancaman         yang potensial dan resiko yang berhubungan dengan seluruh proses system informasi.

Hasil dari proses ini, diharapkan semua potensi ancaman dapat dinilai sesuai dengan kategorinya. Yang mempunyai tingkat resiko yang paling tinggi akan mendapat prioritas dalam hal pencegahan, yang nantinya akan membantu para manager dalam mengendalikan resiko yang ada.

2. Risk Mitigation

Risk Mitigation adalah proses atau langkah- langkah yang untuk mengendalikan, mengevaluasi, pencegahan kembali dan control terhadap resiko yang terjadi. Dengan pengendalian yang tepat, dapat mengurangi tingkat resiko yang terjadi ke tingkaan paling minim sehingga tidak berpengaruh terhadap sumber daya dan bisnis yang berjalan, ehingga resiko yang terjadi tidak berulang.

3. Evaluation and assessment

Evaluasi terhadap management resiko harus terus dilakukan dan diperbaharui. Perkembangan teknologi yang pesat memungkinkan terjadinya serangan serangan (resiko- resiko) baru yang dapat mengancam sumber daya yang sebelumnya tidak mempunyai tingkat resiko.

Umumnya yang terjadi adalah setelah Risk Assessment dan Risk Mitigation dilakukan, evaluasi terhadap hasil kegiatan tersebut jarang dilakukan, sehingga tingkat resiko tetap tinggi. Misalnya, tidak ada evaluasi tahunan terhadap resiko resiko yang sudah ditentukan sebelumnya.

Salah satu tools untuk membantu Information System Risk management adalah OCTAVE-S. Para manager dapat menggunakan OCTAVE-S dalam penghitungan tingkatan resiko yang ada di perusahaan. OCTAVE-S digunakan jika perusahaan tsb terdiri kurang dari 100 orang yang terlibat langsung dalam IT. OCTAVE-S mempunyai 3 phase:

Phase 1:

  • Membangun/ menentukan asset berdasarkan profile ancaman

Pada phase ini akan memilih asset asset perusahaan dan memberikan peringkat berdasarkan tingkat resiko. Asset asset yang mempunyai nilai tingkat resiko yang paling besar akan menjadi prioritas utama dalam hal penanganan.  Juga, pada tahap ini akan diidentifikasi kebutuhan keamanan yang dibutuhkan terhadap asset asset penting.

Aktivitas aktivitas pada proses ini antara lain:

–          Menerapkan kriteria dampak evaluasi

–          Mengidentifikasi asset penting perusahaan

–          Memilih asset penting perusahaan

–          Identifikasi keamanan yang dibutuhkan terjadap asset- asset penting


 

Phase 2:

  • Mengidentifikasi kerentanan Infrastruktur

Tahapan ini akan menguji semua tingkata infrastruktur terhadap asset asset penting, Semua jalur akses terhadap asset asset penting akan diuji untuk mengetahui tingkat kerentanan terhadap resiko serangan. Begitu juga dengan teknologi yang digunakan, akan diaudit apakah teknologi tersebut rentan terhadap serangan baik yang berasal dari pihak internal maupun external. Seiring dengan perkembangan teknologi yang semakin canggih, tingkat kerentanan teknologi menjadi masalah baru dalam IS Risk. Contoh kasusnya adalah maraknya SQLInjection pada website tertentu.

Aktivitas aktivitas pada proses ini antara lain:

–          Pemeriksaan jalur akses

–          Menganalisa teknologi yang dihubungkan dengan proses

Phase 3:

  • Membangun rencana Strategi Keamanan

Tahapan ini akan menggabungkan temuan dari phase 1 dan phase 2 untuk dibentuk rencana strategi keamanan yang baik. Pada tingkatan ini juga akan mengidentifikasi tingkat kemungkinan resiko yang akan terjadi, bagaimana cara penanganannya,

Output dari tahapan ini adalah pendekatan dan rencana pencegahan resiko, protection strategy dan rencana strategi kedepannya secara keseluruhan.

Aktivitas aktivitas pada proses ini antara lain:

–          Mengevaluasi dampak dari serangan

–          Mengevaluasi kemungkinan terjadinya serangan

–          Menentukan rencana pencegahan terhadap resiko

–          menentukan rencana kedepannya terkain risk management.

sebagian disadur dari: blog

Advertisements

About Polairut

Abadi Harahap, I'm working in Supply Chain Third Party Logistic as Supply Chain Consultant. Daily in touch in Warehouse Operation, Transport System and provide advice for solution. I like hiking, open a tent in a mountain, enjoy the nature. Sometime write code for web, Android app and its for pleasure, not for pressure. Any opportunity you can drop me an email at badi_hrp@yahoo.com . I will give you my mobile. thanks.

Posted on October 22, 2011, in computer stuff and tagged , , , , . Bookmark the permalink. 1 Comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: