Manajemen resiko
Manajemen
resiko adalah proses pengukuran atau penilaian resiko serta pengembangan
strategi pengelolaannya. Strategi yang dapat diambil antara lain adalah
memindahkan resiko kepada pihak lain, menghindari resiko, mengurangi efek
negatif resiko, dan menampung sebagian atau semua konsekuensi resiko tertentu.
Pernyataan
Resiko
Pernyataan
Risiko menggambarkan risiko yang dapat ditimbulkan sebagai akibat dari kelemahan-kelemahan yang terdapat didalam sistem. Adapun pernyataan risiko untuk Xyz Body Care Sistem Informasi CRM ini diuraian pada Tabel 12 berikut ini.
Tabel 12. Pernyataan Resiko
No
|
Root cause
|
Ancama /Kondisi
|
Risiko/Konsekuensi
|
Uraian Resiko
|
1
|
User Id
dan Password yang
tidak diperlukan lagi tidak dihapus dari sistem |
Penggunaan oleh
yang tidak berhak (unauthorized use) |
Confidentiality
dan Integrity data |
User yang
tidak berhak akan
dapat meng akses data bahkan merubah data |
2
|
Password tidak diatur
untuk penggantian dalam Periode tertentu |
Computer Crime
|
Confidentiality
dan Integrity data |
Password yang tidak sering
diganti akan mudah diketahui oleh orang lain. |
3
|
Ada User Name yang
umum |
Computer Crime
|
Confidentiality
dan Integrity data |
User name
yang umum akan
mudah ditebak |
4
|
Sistem login tidak
dienkripsi dengan benar |
Computer Crime
|
Confidentiality
dan Integrity data |
Password yang tidak dienkripsi
akan mudah dibaca. |
5
|
Backup data menggunakan
Flash Disk |
Computer Crime
|
Confidentiality data
|
Flash disk yang ketinggalan
dapat dimanfaatkan orang lain |
6
|
Menuliskan User name dan
password di keyboard |
Kesalahan Manusia
|
Confidentiality data
|
User Name dan Password
mudah diketahui orang lain. |
Analisis Kontrol
Melakukan
pendataan kontrol keamanan yang diperlukan untuk menjadi sistem. Analisis dapat menspesifikasikan apakah kontrol perlu dilakukan saat ini atau direncanakan untuk masa mendatang, untuk analisis control CRM ini dapat dilihat pada Tabel 13 berikut ini.
Manajemen Resiko
Area Kontrol
|
Saat ini/mendatang
|
Keterangan
|
Peraturan keamanan
Teknologi informasi dan pertanggungjawaban |
Saat ini
|
Peraturan keamanan Teknologi Informasi
dipahami oleh pimpinan
dan staff namun peraturan tersebut tidak dibuat secara tertulis baik untuk kantor pusat maupun kantor cabang. |
Analisis dampak
pada bisnis |
Saat ini
|
Semua staff mengetahui dampak terjadinya
risiko teknologi
informasi terhadap bisnis |
Perkiraan Risiko
|
Saat ini
|
Belum ada perkiraan risiko dan belum pernah
dilakukan riset
sehingga belum ada dokumentasinya yang dapat dibagikan kepada seluruh staff agar menjadi perhatian. |
Audit keamanan
Teknologi Informasi |
Saat ini
Mendatang
|
Belum dijalankan dan belum ada
dokumentasinya.
Dapat menjadi acuan untuk audit pada
periode mendatang.
|
Perencanaan
keberlangsunan operasional |
Saat ini
|
1. Belum memiliki dokumentasi penanganan
kerusakan kecil serta
penanganan kerusakan akibat bencana. 2. Penetapan Service Level yaitu recovery dalam 24 jam, serta 72 jam untuk disaster recovery. 3. Telah ditetapkan personil yang akan dilibatkan. 4. Akses dokumentasi ini dibatasi. |
Rencana Penanganan
dampak Bencana |
Saat ini
|
1. Dokumentasi belum disiapkan.
2. Waktu recovery maksimum 72 jam. |
Backup dan restore
sistem IT |
Saat ini
|
1. Full backup dilakukan setiap hari
2. Cadangan backup mingguan disimpan dilokasi lain. 3. Restore data backup dapat dilakukan setelah menerima persetujuan dari manajer. |
Keamanan
interoperabilitas sistem |
Saat ini
|
Persetujuan akses data (read/write)
harus dengan persetujuan
manajer. |
Proteksi sistem
|
Saat ini
|
PC harus menginstal antivirus yang setiap
dapat mengupdate secara
otomatis. Software antivirus harus diatur agar: 1. Membuang dan mengkarantina semua program yang dicurigai. 2. Aktif secara otomatis saat booting OS. 3. Hanya mengizinkan administrator untuk memodifikasi konfigurasi. 4. Membuat log untuk seluruh aktifitas. |
Manajemen User
|
Saat ini
|
1. Pemberian akses kepada user dengan
kemampuan minimal.
2. User baru harus dengan persetujuan manajer. 3. Mengontrol latar belakang kriminal dari user. 4. Semua user harus diberi password. 5. Setiap tahun melakukan evaluasi user dan password serta tingkatannya. 6. Melakukan penguncian user account apabila tidak digunakan lebih dari 10 hari. 7. Membatasi penggunaan group account dan password yang dishare. |
Manajemen
password |
Saat ini
|
1. Harus diganti minimal setiap 15 hari.
2. Case sensitive. 3. User dapat mengganti password sendiri. 4. Setiap penggantian password harus yang baru. |
Proteksi media
penyimpanan data |
Saat ini
|
1. Hanya petugas yang ditunjuk yang boleh
membawa, menyimpan
dan mengambalikan media penyimpanan. 2. Data tidak boleh disimpan dalam flash disk. |
Enkripsi
|
Saat ini
|
Password harus dienkripsi saat melalui media komunikasi.
|
Lisensi perangkat
lunak |
Saat ini
|
Perangkat lunak yang digunakan harus
memiliki lisensi.
|
Peluang terjadinya Resiko
Untuk
menentukan kecenderungan derajat risiko apakah tinggi, sedang atau rendah.
Peluang terjadinya risiko diukur berdasarkan asumsi jumlah event yang terjadi
pada sebuah risiko sesuai yang diperlihatkan pada tabel berikut ini.
Probabilitas terjadinya resiko
|
Nilai Probabilitas
|
Keterangan
|
Skor
|
1-33%
|
17%
|
Rendah
|
0.1
|
34-67%
|
50%
|
Sedang
|
0.5
|
68-99%
|
84%
|
Tinggi
|
0.1
|
Tidak ada komentar:
Posting Komentar
silahkan di komen ya, blog ini adalah dofollow, jadi kalau kamu ninggalin komentar blog ini otomatis memberi backlink ke kamu :)
Pengunjung yang baik selalu meninggalkan jejak :)