Pages

Rabu, 18 Mei 2016

MANAJEMEN RESIKO



Manajemen resiko
Manajemen resiko adalah proses pengukuran atau penilaian resiko serta pengembangan strategi pengelolaannya. Strategi yang dapat diambil antara lain adalah memindahkan resiko kepada pihak lain, menghindari resiko, mengurangi efek negatif resiko, dan menampung sebagian atau semua konsekuensi resiko tertentu.
Pernyataan Resiko
Pernyataan Risiko menggambarkan risiko yang dapat ditimbulkan sebagai akibat dari kelemahan-kelemahan yang terdapat didalam sistem. Adapun pernyataan risiko untuk Xyz Body Care Sistem Informasi CRM ini diuraian pada Tabel 12 berikut ini.

Tabel 12. Pernyataan Resiko
No
Root cause
Ancama /Kondisi
Risiko/Konsekuensi
Uraian Resiko
1
User Id dan Password yang
tidak diperlukan lagi tidak
dihapus dari sistem
Penggunaan oleh
yang tidak berhak
(unauthorized use)
Confidentiality
dan Integrity
data

User yang tidak berhak akan
dapat meng akses data bahkan
merubah data
2
Password tidak diatur
untuk penggantian dalam
Periode tertentu
Computer Crime
Confidentiality
dan Integrity
data

Password yang tidak sering
diganti akan mudah diketahui
oleh orang lain.
3
Ada User Name yang
umum
Computer Crime
Confidentiality
dan Integrity
data

User name yang umum akan
mudah ditebak
4
Sistem login tidak
dienkripsi dengan benar
Computer Crime
Confidentiality
dan Integrity
data

Password yang tidak dienkripsi
akan mudah dibaca.
5
Backup data menggunakan
Flash Disk
Computer Crime
Confidentiality data

Flash disk yang ketinggalan
dapat dimanfaatkan orang lain
6
Menuliskan User name dan
password di keyboard
Kesalahan Manusia
Confidentiality data
User Name dan Password
mudah diketahui orang lain.

Analisis Kontrol
Melakukan pendataan kontrol keamanan yang diperlukan untuk menjadi sistem. Analisis dapat menspesifikasikan apakah kontrol perlu dilakukan saat ini atau direncanakan untuk masa mendatang, untuk analisis control CRM ini dapat dilihat pada Tabel 13 berikut ini.
Manajemen Resiko
Area Kontrol
Saat ini/mendatang
Keterangan
Peraturan keamanan
Teknologi informasi
dan pertanggungjawaban
Saat ini

Peraturan keamanan Teknologi Informasi dipahami oleh pimpinan
dan staff namun peraturan tersebut tidak dibuat secara tertulis baik
untuk kantor pusat maupun kantor cabang.
Analisis dampak
pada bisnis
Saat ini

Semua staff mengetahui dampak terjadinya risiko teknologi
informasi terhadap bisnis
Perkiraan Risiko
Saat ini

Belum ada perkiraan risiko dan belum pernah dilakukan riset
sehingga belum ada dokumentasinya yang dapat dibagikan kepada
seluruh staff agar menjadi perhatian.
Audit keamanan
Teknologi Informasi
Saat ini


Mendatang
Belum dijalankan dan belum ada dokumentasinya.

Dapat menjadi acuan untuk audit pada periode mendatang.
Perencanaan
keberlangsunan
operasional
Saat ini

1. Belum memiliki dokumentasi penanganan kerusakan kecil serta
penanganan kerusakan akibat bencana.
2. Penetapan Service Level yaitu recovery dalam 24 jam, serta 72
jam untuk disaster recovery.
3. Telah ditetapkan personil yang akan dilibatkan.
4. Akses dokumentasi ini dibatasi.
Rencana Penanganan
dampak Bencana
Saat ini

1. Dokumentasi belum disiapkan.
2. Waktu recovery maksimum 72 jam.
Backup dan restore
sistem IT
Saat ini

1. Full backup dilakukan setiap hari
2. Cadangan backup mingguan disimpan dilokasi lain.
3. Restore data backup dapat dilakukan setelah menerima
persetujuan dari manajer.
Keamanan
interoperabilitas
sistem
Saat ini

Persetujuan akses data (read/write) harus dengan persetujuan
manajer.
Proteksi sistem
Saat ini

PC harus menginstal antivirus yang setiap dapat mengupdate secara
otomatis.
Software antivirus harus diatur agar:
1. Membuang dan mengkarantina semua program yang dicurigai.
2. Aktif secara otomatis saat booting OS.
3. Hanya mengizinkan administrator untuk memodifikasi
konfigurasi.
4. Membuat log untuk seluruh aktifitas.
Manajemen User
Saat ini

1. Pemberian akses kepada user dengan kemampuan minimal.
2. User baru harus dengan persetujuan manajer.
3. Mengontrol latar belakang kriminal dari user.
4. Semua user harus diberi password.
5. Setiap tahun melakukan evaluasi user dan password serta
tingkatannya.
6. Melakukan penguncian user account apabila tidak digunakan
lebih dari 10 hari.
7. Membatasi penggunaan group account dan password yang dishare.
Manajemen
password
Saat ini

1. Harus diganti minimal setiap 15 hari.
2. Case sensitive.
3. User dapat mengganti password sendiri.
4. Setiap penggantian password harus yang baru.
Proteksi media
penyimpanan data
Saat ini

1. Hanya petugas yang ditunjuk yang boleh membawa, menyimpan
dan mengambalikan media penyimpanan.
2. Data tidak boleh disimpan dalam flash disk.
Enkripsi
Saat ini

Password harus dienkripsi saat melalui media komunikasi.
Lisensi perangkat
lunak
Saat ini

Perangkat lunak yang digunakan harus memiliki lisensi.

Peluang terjadinya Resiko
Untuk menentukan kecenderungan derajat risiko apakah tinggi, sedang atau rendah. Peluang terjadinya risiko diukur berdasarkan asumsi jumlah event yang terjadi pada sebuah risiko sesuai yang diperlihatkan pada tabel berikut ini.
Probabilitas terjadinya resiko
Nilai Probabilitas
Keterangan
Skor
1-33%
17%
Rendah
0.1
34-67%
50%
Sedang
0.5
68-99%
84%
Tinggi
0.1

Tidak ada komentar:

Posting Komentar

silahkan di komen ya, blog ini adalah dofollow, jadi kalau kamu ninggalin komentar blog ini otomatis memberi backlink ke kamu :)

Pengunjung yang baik selalu meninggalkan jejak :)