KEAMANAN INFORMASI PENERARAPAN KEAMANAN INFORMASI, DAMPAK POSITIF DAN NEGATIF, DAN DAMPAK KURANG MAKSIMAL DARI KEAMANAN INFORMASI

1. MAKALAH
KEAMANAN INFORMASI
DISUSUN OLEH:
ALFINA ROLITASARI 43217110339
PROGRAM STUDI AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS MERCU BUANA
2018

2. Pentingnya Manajemen Kontrol Keamanan pada Sistem
Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan
hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik,
pos, dan audio visual. Oleh karena itu, manajemen informasi penting bagi
meningkatkan kesuksusesan yang kompetitif dalam semua sektor ekonomi.
Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan
ketersediaan informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus, dan
hackers sudah mengancam informasi bisnis manajemen oleh karena meningkatnya
keterbukaan informasi dan lebih sedikit kendali/control yang dilakukan melalui
teknologi informasi modern. Sebagai konsekuensinya , meningkatkan harapan dari para
manajer bisnis, mitra usaha, auditor,dan stakeholders lainnya menuntut adanya
manajemen informasi yang efektif untuk memastikan informasi yang menjamin
kesinambungan bisnis dan meminimise kerusakan bisnis dengan pencegahan dan
memimise dampak peristiwa keamanan.
Mengapa harus mengamankan informasi?
Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang
dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa “keamanan informasi”
dan bukan “keamanan teknologi informasi” atau IT Security. Kedua istilah ini
sebenarnya sangat terkait, namun mengacu pada dua hal yang sama sekali berbeda.
“Keamanan Teknologi Informasi” atau IT Security mengacu pada usaha-usaha
mengamankan infrastruktur teknologi informasi dari gangguan-gangguan berupa akses
terlarang serta utilisasi jaringan yang tidak diizinkan
Berbeda dengan “keamanan informasi” yang fokusnya justru pada data dan informasi
milik perusahaan Pada konsep ini, usaha-usaha yang dilakukan adalah merencanakan,
mengembangkan serta mengawasi semua kegiatan yang terkait dengan bagaimana data
dan informasi bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya serta
tidak disalahgunakan atau bahkan dibocorkan ke pihak-pihak yang tidak
berkepentingan.

3. Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek
berikut:
Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi,
memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan
menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin
fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta
metode prosesnya untuk menjamin aspek integrity ini.
Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat
dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan
perangkat terkait (aset yang berhubungan bilamana diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol
yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-
prosedur, struktur-struktur organisasi dan piranti lunak.
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara
umum diartikan sebagai “quality or state of being secure-tobe free from danger” [1].
Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan
bisa dicapai dengan beberapa strategiyang biasa dilakukan secara simultan atau
digunakan dalam kombinasi satu dengan yang lainnya. Strategikeamanan informasi
memiliki fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari
tinjauan keamanan informasi adalah:
Physical Security yang memfokuskan strategiuntuk mengamankan pekerja atau
anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya
kebakaran, akses tanpa otorisasi, dan bencana alam.
Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-
orang dalam organisasi.
Operation Security yang memfokuskan strategiuntuk mengamankan kemampuan
organisasi atau perusahaan untuk bekerja tanpa gangguan.

4. Communications Security yang bertujuan mengamankan media komunikasi, teknologi
komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai
tujuan organisasi.
Network Security yang memfokuskan pada pengamanan peralatan jaringan data
organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan
tersebut dalam memenuhi fungsi komunikasi data organisasi.
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus,
maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen
keamanan informasi dikenal sebagai 6P yaitu:
Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan,
pembuatan, dan implementasi strategiuntuk mencapai tujuan. Ada tiga tahapannya
yaitu:
1) strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk
periode yang lama, biasanya lima tahunan atau lebih,
2) tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode
yang lebih singkat, misalnya satu atau dua tahunan,
3) operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang
dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi
keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada
beberapa tipe planning dalam manajemen keamanan informasi, meliputi :

5. v Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan
mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya
informasi dan aset organisasi, ketika insiden ini terdeteksibenar-benar terjadidan
mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman yang telah
terjadi dan menyerang aset informasi, dan mengancam confidentiality, integrity atau
availbility sumberdaya informasi. Insident Response Planning meliputi incident
detection, incident response, dan incident recovery.
v Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan
pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat
dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi
menanganinya secara efektif dan efisien untuk melakukan pemulihan dari insiden itu.
Insiden dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu
mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang
ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan
pemulihan.
v Business Continuity Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa
berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya
pendukungnya merupakan tugas utama business continuity planning. Jika terjadi
bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif.
Faktor penting yang diperhitungkan dalam BCP adalah biaya.

6. Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
Enterprise Information Security Policy (EISP) menentukan kebijakan departemen
keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian
organisasi.
Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan
perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi
pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau
teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam
beberapa bagian. Salah satu contohnya adalah program security education training and
awareness. Program ini bertujuan untuk memberikan pengetahuan kepada pekerja
mengenai keamanan informasi dan meningkatkan pemahaman keamanan informasi
pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi
perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi,
teknologi proteksidan perangkat proteksi baik perangkat keras maupun perangkat
keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana
keamanan informasi.
People

7. Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali
mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan
informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam
organisasi.
Sandar apa yang digunakan?
ISO/IEC 27001 adalah standar information security yang diterbitkan pada October
2005 oleh International Organization for Standarization dan International
Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.
ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta,
lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan
syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa
dan memelihara seta mendokumentasikan Information Security Management System
dalam konteks resiko bisnis organisasi keseluruhan
ISO/IEC 27001 mendefenisikan keperluan-keperluan untuk sistem manajemen
keamanan informasi (ISMS). ISMS yang baik akan membantu memberikan
perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan melindungi proses
bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius
pada pengamanan sistem informasi, implementasi ISMS ini akan memberikan jaminan
pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang
tidak lama.
Contoh dampak positif dari suatu kejadian
Pendahuluan
Badan Pusat Statistik adalah Lembaga Pemerintah Non-Departemen yang bertanggung
jawab langsung kepada Presiden. Sementara secara berjenjang BPS Kabupaten
Kepulauan Aru bertanggung jawab langsung ke BPS Provinsi Maluku. Struktur
organisasi BPS Kabupaten Kepulauan Aru adalah sebagai berikut:

8. Struktur-BPS-Kab Tugas, fungsi dan kewenangan BPS telah ditetapkan berdasarkan
Peraturan Presiden Nomor 86 Tahun 2007 tentang Badan Pusat Statistik dan Peraturan
Kepala Badan Pusat Statistik Nomor 7 Tahun 2008 tentang Organisasi dan Tata Kerja
Badan Pusat Statistik. 1. Tugas: Melaksanakan tugas pemerintahan dibidang statistik
sesuai peraturan perundang-undangan. 2. Fungsi
1. Pengkajian, penyusunan dan perumusan kebijakan dibidang statistik;
2. Pengkoordinasian kegiatan statistik nasional dan regional;
3. Penetapan dan penyelenggaraan statistik dasar;
4. Penetapan sistem statistik nasional;
5. Pembinaan dan fasilitasi terhadap kegiatan instansi pemerintah dibidang
kegiatan statistik; dan
6. Penyelenggaraan pembinaan dan pelayanan administrasi umum dibidang
perencanaan umum, ketatausahaan, organisasi dan tatalaksana, kepegawaian,
keuangan, kearsipan, kehumasan, hukum, perlengkapan dan rumah tangga.
Kewenangan
1. Penyusunan rencana nasional secara makrodi bidangnya;
2. Perumusan kebijakan di bidangnya untuk mendukung pembangunan secara
makro;
3. Penetapan sistem informasi di bidangnya;
4. Penetapan dan penyelenggaraan statistik nasional;
5. Kewenangan lain sesuai dengan ketentuan peraturan perundang-undangan yang
berlaku, yaitu;

9. 6. Perumusan dan pelaksanaan kebijakan tertentu di bidang kegiatan statistik; ii.
Penyusun pedoman penyelenggaraan surveistatistik sektoral.
2. Penerapan SMKI berdasarkan ISO 27001:2013
ISO 27001:2013 adalah sebuah dokumen standar Sistem Manajemen Keamanan
Informasi (SMKI) atau Information Security Managemen System (ISMS) yang
memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh
sebuah organisasi atau enterprise dalam rangka usaha mengimplementasikan konsep-
konsep keamanan informasi. Didalamnya tercakup 7 Klausa Utama dan 113 kontrol
yang dapat membantu sebuah organisasi dalam penerapan SMKI.
Berbeda dengan versisebelumnya (ISO27001:2005) pada ISO 27001:2013 telah
mencakup kemungkinan terjadinya dampak negatif dan positif dari suatu kejadian yang
ada. Hal ini tentu menjadi perubahan yang sangat besar mengingat sebuah enterprise
dalam penerapan standard ini diharuskan melihat kemungkinan positif dari suatu
kejadian. Dalam hal ini BPS Kabupaten Kepulauan Aru kedepan juga diharapkan selain
mengontrol dampak negatif yang mungkin terjadi juga dapat mengambil peluang
kesempatan positif yang ada. Untuk mempermudah penjelasan berikut contoh risk
register dan risk scenario di BPS Kabupaten Kepulauan Aru:

10. Contoh Risk Register di BPS Kabupaten Kepulauan AruRisk Register
Manajemen Risiko (Dalam perspektif positif dan negatif)
Berdasarkan definisi dari ISO Guide 73, risiko adalah dampak dari ketidakpastian
terhadap suatu objektif atau tujuan. Dampak tersebut merupakan deviasi dari keadaan
yang diinginkan, baik bernilai positif maupun negatif.
Hal yang perlu ditekankan disini adalah risiko tidak hanya hal-hal yang bernilai negatif
saja, melainkan risiko juga dapat berupa hal-hal yang positif (dapat pula disebut sebagai
suatu opportunity). Saat ini, terdapat kekeliruan pemahaman masyarakat yang
menganggap bahwa risiko merupakan hal yang bernilai negatif saja. Oleh karena itu,
perlu diluruskan bahwa selain memuat hal yang negatif, risiko juga memuat hal yang
positif. Artikel ini bertujuan untuk memberikan pemahaman baru terkait definisi risiko
yang sebenarnya.
Manajemen risiko diperlukan untuk mengelola risiko disuatu organisasi. manajemen
risiko pada dasarnya merupakan kegiatan untuk melakukan value enhancing
(penambahan nilai) atau value protecting (perlindungan nilai). Value enhancing pada

11. dasarnya berkaitan dengan risiko positif atau opportunity, sedangkan value protecting
berkaitan dengan risiko negatif.
Mengadopsi suatu manajemen risiko yang baik dapat memastikan bahwa organisasi
dapat melakukan berbagai kegiatan dengan knowledge bahwa:
 Pengukuran yang cukup dan sesuai digunakan untuk memaksimalkan benefit atau
manfaat yang ada dalam organisasi
 Pengukuran yang cukup dan sesuai digunakan untuk mengurangi dampak negatif
dari suatu risiko (atau opportunity) yang disajikan dalam rangka mencapai tujuan
organisasi
Klausul 6.1 ISO27001:2013
Klausul 6.1 berisi tindakan untuk mengarahkan risiko dan kesempatan. Ketika
melakukan perencanaan untuk sistem manajemen keamanan informasi (SMKI),
organisasi harus mempertimbangkan isu dan kebutuhan serta menentukan risiko dan
kesempatan yang bertujuan untuk:
 memastikan bahwa sistem manajemen keamanan informasi dapat mencapai tujuan
yang diharapkan
 mencegah atau mengurangi dampak yang tidak diinginkan
 mencapai perbaikan secara berkelanjutan.
Berdasarkan tujuan tersebut, organisasi harus melakukan perencanaan sebagai berikut:
 tindakan untuk mengarahkan risiko dan kesempatan
 cara untuk mengintegrasikan dan mengimplementasikan tindakan kedalam proses
sistem manajemen keamanan informasi dan mengevaluasi keefektifan tindakan
tersebut.
Penilaian risiko keamanan informasi (Information Security Risk
Assessment)
Berdasarkan klausul 6.1.2, organisasi harus mendefinisikan dan menerapkan proses
penilaian risiko keamanan informasi yang:

12. a) membangun dan memelihara kriteria risiko keamanan informasi yang meliputi:
1. kriteria risk acceptance
2. kriteria untuk melakukan penilaian risiko keamanan informasi
b) memastikan bahwa penilaian risiko keamanan informasi yang dilakukan secara
berulang menghasilkan hasil yang konsisten, valid, dan dapat diperbandingkan
(comparable)
c) mengidentifikasi risiko keamanan informasi:
1. menerapkan proses penilaian risiko keamanan informasi untuk mengidentifikasi
risiko yang berkaitan dengan hilangnya aspek confidentiality, integrity,
dan availability untuk informasi di dalam ruang lingkup sistem manajemen
keamanan informasi
2. mengidentifikasi risk owner
d) menganalisis risiko keamanan informasi:
1. menilai potensi konsekuensi berdasarkan risiko yang telah teridentifikasi
2. menilai kemungkinan (likelihood) kejadian berdasarkan risiko yang telah
teridentifikasi
3. menentukan tingkatan risiko
e) mengevaluasi risiko keamanan informasi:
1. membandingkan hasil dari analisis risiko dengan kriteria yang telah dibuat
2. menentukan prioritas untuk melakukan risk treatment
Penanganan Risiko Keamanan Informasi (Information Security Risk
Treatment)
Berdasarkan klausul 6.1.3, organisasi harus mendefinisikan dan menerapkan proses
penanganan risiko untuk:
a) memilih opsi penanganan risiko yang sesuai

13. b) menentukan semua kendali yang mencukupi untuk mengimplementasikan pilihan
penanganan risiko keamanan informasi
c) membandingkan kendali yang telah ditentukan dengan Annex A dan melakukan
verifikasi untuk memastikan bahwa tidak ada kendali penting yang diabaikan
d) menghasilkan Statement of Applicability yang mengandung kendali yang dibutuhkan
serta justifikasi yang menentukan apakah kendali telah diimplementasikan atau tidak.
e) memformulasikan perencanaan penanganan risiko keamanan informasi
f) memperoleh persetujuan dari risk owner terkait perencanaan penanganan risiko
keamanan informasi dan persetujuan dari resiko residu keamanan informasi
Studi Kasus.
Pada tugas ini, saya akan memaparkan manajemen risiko yang dilakukan oleh Kota
Exeter. Kota Exeter adalah sebuah kota yang terletak di Inggris dengan penduduk
berjumlah sekitar 100.000 orang dan luas wilayah 47,6 km2 . Meskipun dapat dikatakan
bahwa kota ini merupakan kota yang sangat kecil, Kota Exeter sudah menjalankan
manajemen risiko dalam pemerintahannya.
Studi kasus pada manajemen risiko di Kota Exeter ini dilakukan berdasarkan klausul 6.1
pada ISO27001:2015. Berdasarkan klausul tersebut, hal yang pertama dilakukan adalah
penilaian risiko keamanan informasi.
Klausul 6.1.1 umum
Berdasarkan klausul 6.1.1, ketika melakukan perencanaan terhadap SMKI, Kota Exeter
harus mempertimbangkan isu dan kebutuhan serta menentukan risiko dan kesempatan.
Berikut ini adalah isu terkait SMKI yang terdapat di Kota Exeter.
 kerugian atau kerusakan aset dan properti
 kehilangan reputasi
 kerugian finansial
 pencemaran lingkungan

14.  cedera personal atau terganggunya kesehatan personal
Klausul 6.1.2 Penilaian risiko keamanan informasi
a) Kriteria manajemen risiko keamanan informasi yang digunakan oleh Kota Exeter
adalah sebagai berikut:
1. Manajemen risiko harus dapat memelihara dan menjaga aset dewan kota, reputasi,
dan staf
2. Manajemen risiko harus mempromosikan tata kelola perusahaan dengan
mengintegrasikan manajemen risiko lama perusahaan dengan kontrol internal
3. meningkatkan dan melindungi lingkungan
4. meningkatkan performa bisnis
5. Mempromosikan budaya kesadaran terhadap risiko
b) Point (b) klausul 6.1.2 menyebutkan bahwa organisasi harus memastikan bahwa
penilaian risiko keamanan informasi yang dilakukan secara berulang menghasilkan
hasil yang konsisten, valid, dan dapat diperbandingkan (comparable). Pada Kota
Exeter, terdapat Risk Management Policy dan Risk Management Procedure untuk
memastikan bawa penilaian risiko dilakukan secara berulang, konsisten, dan valid.
Kedua dokumen ini dapat diunduh pada
tautan http://www.exeter.gov.uk/index.aspx?articleid=5613 .
c) Identifikasi risiko terlampir pada file excel. Sejumlah pendekatan yang diambil
untuk mengidentifikasi risiko yang dilakukan oleh council (anggota dewan) dan
memastikan bahwa risiko dapat dikelola dari tahap awal. Beberapa pendekatan yang
dilakukan oleh Kota Exeter untuk mengidentifikasi risiko adalah sebagai berikut:
 Pemantauan berkala dari Forward Plan / Corporate Plan
 Pemantauan berkala Laporan Komite
 laporan pemantauan kinerja
 pertemuan kuartal dengan Asisten stakeholder Kota Exeter
 diskusi di SMT (Kinerja) untuk memastikan bahwa semua risiko telah ditangkap
pada register (Risk register)

15. Secara umum, identifikasi risiko dilakukan dengan mencari risiko dan opportunity pada
kategori tertentu dalam keamanan informasi. Pada manajemen risiko yang dilakukan
oleh Kota Exeter, terdapat 3 kategori utama dalam mengidentifikasi risiko, yaitu:
 ICT Security
 ICT Hardware and Software
 IT Software License
Selain kategori lain diatas, terdapat kategori lain diluar kategori keamanan informasi
yang berdampak pada aspek keamanan informasi. Untuk lebih jelasnya, silakan lihat
pada file excel yang terlampir dalam blog ini
d) menganalisis risiko keamanan informasi. Terdapat beberapa hal yang dilakukan
dalam analisis risiko keamanan informasi, yaitu menilai potensi konsekuensi, menilai
kemungkinan, dan menentukan tingkatan risiko.
Berdasarkan dokumen Risk Management Procedure Exeter, berikut ini adalah dasar
paniaian dari potensi konsekuensi:

16. Dalam melakukan manajemen risiko, Kota Exeter pun mendefinisikan matriks
kemungkinan (likelihood) sebagai berikut:

17. e) mengevaluasi risiko keamanan informasi
Pada bagian ini dilakukan penentuan rating risiko. Rating ini diperoleh dengan cara
mengalikan nilai dampak (impact) dengan kemungkinan (likelihood) sehingga risiko
dapat dikelompokkan sebagai berikut:
 12 hingga 9 : high
 6 hingga 9 : medium
 1 hingga 4 : low
RISK MATRIX

18. Klausul 6.1.3 Penanganan risiko keamanan informasi
Penanganan risiko keamanan informasi pada Kota Exeter termuat dalam file excel risk
register yang terlampir pada bagian akhir artikel ini. Tools excel risk register yang
dibuat terdiridari beberapa bagian. Berikut ini adalah header tabel yang menunjukkan
elemen yang terdapat pada tools file excel.
CONTOH TABEL RISK REGISTER
Berdasarkan gambar contoh tabel risk register diatas, terdapat beberapa elemen yang
digunakan dalam risk register, yaitu:
1. Kategori risiko
2. Risk event (kejadian risiko)
3. Cause (Penyebab Risiko)
4. Effect (Dampak Risiko)
5. Pilihan Jenis : Risk atau Opportunity
6. Inherent Risk yang terdiridari : Nilai Probabilitas dan Nilai dampak
atau impact. Berdasarkan nilai probabilitas dan dampak, dapat dibuat suatu risk
matriks yang menunjukan posisi risiko (low, medium, high)
7. Kendali risiko untuk inherent risk
8. Residual risk yang terdiridari nilai probabilitas, nilai dampak, serta risk matriks.
9. Kendali risiko untuk residual risk
Beberapa risiko keamanan informasi yang teridentifikasi di Kota Exeter adalah sebagai
berikut.

19. 1. Terjadinya kebocoran informasi (Risk)
2. Kerusakan fisik pada hardware, kegagalan sistem hardware dan software, hilagnya
peralatan ICT, dan gangguan listrik (Risk)
3. Adanya ketidapatuhan (non-compliance) terhadap lisensi software (Risk)
4. Dengan adanya ICT Security, Keamanan kota Exeter lebih terjamin / keamanan
dapat ditingkatkan dengan memanfaatkan teknologi (Opportunity)
5. Penggunaan teknologi dapat membuat aspek availability dari layanan kepada publik
selalu terjaga dengan baik (Opportunity)
6. Penggunaan software original aman dari malware dan virus sehingga aspek CIA
(Confidentiallity, Integrity, Availability) dapat lebih terjaga dan ditingkatkan
(Opportunity)
Contoh penjelasan risk register (Risk)
CONTOH TABEL RISK REGISTER
Pada bagian ini akan dijelaskan sebuah contoh yang terdapat pada risk register yang
terlampir pada file excel (nomor 1)
 Kategori : ICT Security
 Risk Event : Terjadinya kebocoran informasi
 Cause : Adanya akses yang tidak sah terhadap informasi yang sensitif
 Effect : Hilangnya kredibilitas dan reputasi dari Council (Dewan perwakilan)
 Jenis : Threat
 Manajemen risiko pada pada Kota Exeter membagirisiko menjadi dua, yaitu
inherent risk dan residual risk. inherent risk adalah risk level sebelum diterapkan
control dan residual risk adalah risk level setelah diterapkan control.
 Dalam Inherent risk, berdasarkan tabel probabilitas dan tabel dampak (impact),
dapat diketahui bahwa risiko ini memiliki probalilitas bernilai 4 dan impact bernilai
4.

20.  Berdasarkan risk matriks (Hasil pengalian probabilitas dan impact) yang bernilai 16,
risiko ini dapat dikategorikan sebagai risiko high.
INHERENT RISK
 Untuk mengatasi risiko ini, Kota Exeter melakukan beberapa hal sebagai berikut
• Diadakan forum Keamanan
• Berusaha untuk comply dengan BS7799
• Analis Kualitas
• Firewall & virus perlindungan di tempat & diperbarui secara teratur
• Didirikan kontrol & kebijakan untuk mematuhi Government Connect Code of
Connection (CoCo)
 Setelah diterapkan kontrol, masih terdapat risiko dengan tingkat probabilitas 3 dan
impact 3. Risiko residu ini memiliki kategori medium.
RESIDUAL RISK

21.  Resiko residu ini pun perlu ditangani. Respon yang dilakukan terhadap risiko ini
adalah memastikan bahwa prosedur dan kualitas sistem telah berjalan dengan baik
Contoh penjelasan risk register (Opportunity)
Selain menampilkan risiko, risk register yang dimiliki oleh Kota Exeter juga
memiliki opportunity. Berikut ini adalah contoh opportunity yang terdapat di
dalam risk register Kota Exeter.
CONTOH OPPORTUNITY
 Kategori : ICT hardware & software
 Risk Event : Aspek availability dari layanan kepada publik selalu terjaga dengan baik
 Cause : Penggunaan software dan hardware yang aman dan handal
 Effect : Layanan kepada publik yang menggunakan hardware dan software selalu
tersedia
 Jenis : Opportunity
 Berdasarkan tabel probabilitas dan tabel dampak (impact), dapat diketahui bahwa
risiko ini memiliki probalilitas bernilai 3 dan impact bernilai 4.
 Berdasarkan risk matriks (Hasil pengalian probabilitas dan impact) yang bernilai 12,
risiko ini dapat dikategorikan sebagai risiko high.

22. Pengelolaan TI yang baik pasti mengidentifikasikan segala bentuk risiko dari penerapan
TI dan penanganan dari risiko-risiko yang akan dihadapi. Ada beberapa dampak dan
risiko pengelolaan TI yang tidak optimal dengan kebutuhan organisasi seperti:
1. Overspent Budgets
Overspends terjadi bila risiko pengelolaan teknologi informasi tidak
diidentifikasi sama sekali. Sehingga, sering terjadi, tim proyek mengeluarkan
anggaran yang tidak terduga. Dengan terjadinyaoverspent budget, tim proyek
harus mencari uang dari suatu tempat untuk melakukan sesuatu sebelum proyek
tersebut mengalami kendala yang berarti.
2. Late-running Projects
Terkadang risiko yang tidak terduga dapat menyebabkan proyek melambat
karena memerlukan waktu untuk memahaminya, menganalisisnya dan
menyiapkan rencana pengelolaan, yang digunakan untuk memantau, melakukan
tindakan dan melacak risiko tersebut. Penundaan waktu dapat mengakibatkan
pengeluaran biaya yang lebih tinggi (overspent budget) dan penurunan kualitas
proyek.
3. Reputational Damage
Reputasi damage terjadi pada perusahaan apabila perusahaan membut klien
merasa tidak puas.Review dari klien lain terhadap tanggapan yang buruk dapat
memiliki implikasi luas untuk pekerjaan di masa yang akan datang.
Point-point yang terjadi diatas berdampak pada resiko pengelolaan TI, karena tata
kelola TI menciptakan nilai bagi organisasi. Oleh karena itu, IT Governance berkaitan
dengan identifikasi, pembentukan, dan penghubung mekanisme sistem TI untuk
mengelola risiko.
Daftar Pustaka
referensi modul kuliah mata kuliah SIM sbb: Putra, Yananto Mihadi. (2018).
Modul Kuliah Sistem Informasi Manajemen: Implementasi Sistem
Informasi. FEB - Universitas Mercu Buana: Jakarta.
https://jigokushoujoblog.wordpress.com/2010/11/20/pentingnya-manajemen-kontrol-
keamanan-pada-sistem/
https://blogs.itb.ac.id/23215097yogikristiawannel5007mkisem1t15d16mr/2015/11/29/
13/
https://blogs.itb.ac.id/23215139gilangramadhanel5216mrkisem1t15d16mr/2015/11/30/
manajemen-risiko-dalam-perspektif-positif-dan-negatif/
https://www.dictio.id/t/bagaimana-dampak-risiko-pengelolaan-ti-yang-tidak-optimal-
terhadap-keselarasan-antara-penerapan-ti-dengan-kebutuhan-organisasi/15795/4