Senin, 03 Desember 2012

IS Risk Management


Resiko adalah potensial  bahaya yang mungkin timbul dari beberapa proses saat ini dan atau dari beberapa peristiwa dimasa depan. Dari perspektif Sistem Informasi , management resiko adalah memahami dan menanggapi faktor- factor yang dapat menyebabkan terjadinya kegagalan dalam integrasi, kerahasiaan, dan keamanan system informasi. Resiko ini akan membahayakan proses atau informasi yang dihasilkan dari beberapa peristiwa, baik yang disengaja maupun tidak disengaja. Resiko ini juga bisa berasal dari internal diri kita sendiri atau pihak ekternal yang mencoba untuk mencuri data kita.
Menurut G. Stoneburner 2002, IT risk management meliputi tiga proses:
1. Risk Assessment
Penilaian resiko (risk assessment) merupakan tahapan awal dalam pengendalian resiko. Manager menggunakan risk assessment untuk mengetahui tingkat ancaman yang potensial dan resiko yang berhubungan dengan seluruh proses system informasi.
Hasil dari proses ini, diharapkan semua potensi ancaman dapat dinilai sesuai dengan kategorinya. Yang mempunyai tingkat resiko yang paling tinggi akan mendapat prioritas dalam hal pencegahan, yang nantinya akan membantu para manager dalam mengendalikan resiko yang ada.
2. Risk Mitigation
Risk Mitigation adalah proses atau langkah- langkah yang untuk mengendalikan, mengevaluasi, pencegahan kembali dan control terhadap resiko yang terjadi. Dengan pengendalian yang tepat, dapat mengurangi tingkat resiko yang terjadi ke tingkaan paling minim sehingga tidak berpengaruh terhadap sumber daya dan bisnis yang berjalan, ehingga resiko yang terjadi tidak berulang.
3. Evaluation and assessment
Evaluasi terhadap management resiko harus terus dilakukan dan diperbaharui. Perkembangan teknologi yang pesat memungkinkan terjadinya serangan serangan (resiko- resiko) baru yang dapat mengancam sumber daya yang sebelumnya tidak mempunyai tingkat resiko.
Umumnya yang terjadi adalah setelah Risk Assessment dan Risk Mitigation dilakukan, evaluasi terhadap hasil kegiatan tersebut jarang dilakukan, sehingga tingkat resiko tetap tinggi. Misalnya, tidak ada evaluasi tahunan terhadap resiko resiko yang sudah ditentukan sebelumnya.
Salah satu tools untuk membantu Information System Risk management adalah OCTAVE-S. Para manager dapat menggunakan OCTAVE-S dalam penghitungan tingkatan resiko yang ada di perusahaan. OCTAVE-S digunakan jika perusahaan tsb terdiri kurang dari 100 orang yang terlibat langsung dalam IT. OCTAVE-S mempunyai 3 phase:
Phase 1:
  • Membangun/ menentukan asset berdasarkan profile ancaman
Pada phase ini akan memilih asset asset perusahaan dan memberikan peringkat berdasarkan tingkat resiko. Asset asset yang mempunyai nilai tingkat resiko yang paling besar akan menjadi prioritas utama dalam hal penanganan.  Juga, pada tahap ini akan diidentifikasi kebutuhan keamanan yang dibutuhkan terhadap asset asset penting.
Aktivitas aktivitas pada proses ini antara lain:
-          Menerapkan kriteria dampak evaluasi
-          Mengidentifikasi asset penting perusahaan
-          Memilih asset penting perusahaan
-          Identifikasi keamanan yang dibutuhkan terjadap asset- asset penting
Phase 2:
  • Mengidentifikasi kerentanan Infrastruktur
Tahapan ini akan menguji semua tingkata infrastruktur terhadap asset asset penting, Semua jalur akses terhadap asset asset penting akan diuji untuk mengetahui tingkat kerentanan terhadap resiko serangan. Begitu juga dengan teknologi yang digunakan, akan diaudit apakah teknologi tersebut rentan terhadap serangan baik yang berasal dari pihak internal maupun external. Seiring dengan perkembangan teknologi yang semakin canggih, tingkat kerentanan teknologi menjadi masalah baru dalam IS Risk. Contoh kasusnya adalah maraknya SQLInjection pada website tertentu.
Aktivitas aktivitas pada proses ini antara lain:
-          Pemeriksaan jalur akses
-          Menganalisa teknologi yang dihubungkan dengan proses
Phase 3:
  • Membangun rencana Strategi Keamanan
Tahapan ini akan menggabungkan temuan dari phase 1 dan phase 2 untuk dibentuk rencana strategi keamanan yang baik. Pada tingkatan ini juga akan mengidentifikasi tingkat kemungkinan resiko yang akan terjadi, bagaimana cara penanganannya,
Output dari tahapan ini adalah pendekatan dan rencana pencegahan resiko, protection strategy dan rencana strategi kedepannya secara keseluruhan.
Aktivitas aktivitas pada proses ini antara lain:
-          Mengevaluasi dampak dari serangan
-          Mengevaluasi kemungkinan terjadinya serangan
-          Menentukan rencana pencegahan terhadap resiko
-          menentukan rencana kedepannya terkain risk management.

Tidak ada komentar:

Poskan Komentar