Dokumen tersebut membahas tentang pengembangan rencana manajemen risiko yang meliputi beberapa langkah seperti memilih metodologi penilaian risiko, mendefinisikan ruang lingkup penilaian, meninjau temuan sebelumnya, mengidentifikasi aset dan aktivitas yang tercakup, mengidentifikasi ancaman dan kerentanan, serta mengembangkan rekomendasi mitigasi risiko.

1. Mengembangkan Rencana Manajemen Risiko
(Developing Risk Management Plan)
MANAJEMEN RISIKO [IS6324803]
Tim Dosen:
Yudha Saintika, S.T., M.T.I
Darmansah, S.Kom., M.Kom

2. Mengembangkan Rencana Manajemen Risiko
• Memilih Metodologi Penilaian Risiko
• Mendefinisikan penilaian
• Karakteristik Operasional
• Misi sistem
• Tinjau Temuan Sebelumnya
• Identifikasi Struktural Manajemen
• Mengidentifikasi Aset dan Kegiatan dalam Batas Penilaian Risiko
• Mengidentifikasi dan Mengevaluasi Ancaman yang Relevan
• Memilih Metodologi berdasarkan Kebutuhan Penilaian.
• Kembangkan Rekomendasi Mitigasi
• Hadirkan Hasil Penilaian Risiko

3. Memilih Metodologi Penilaian Risiko
• Setelah Anda memutuskan untuk melakukan penilaian risiko (RA),
Anda harus menjabarkan bagaimana Anda harus memutuskan
langkah spesifik apa yang harus diambil.
• RA bukan proyek yang bisa kita putuskan untuk dilakukan suatu hari
dan selesaikan di hari berikutnya, ini membutuhkan waktu dan
perencanaan.
• Bab ini membantu melukis gambaran keseluruhan RA. Bab-bab
selanjutnya akan memberikan perincian dari setiap langkah dalam
proses.
• Sebelum melanjutkan dengan RA, Anda perlu menyelesaikan dua
tindakan pendahuluan:
• Meniadakan penilaian,
• meninjau temuan sebelumnya.

4. Mendefinisikan penilaian
• Anda perlu mendefinisikan dengan jelas apa yang akan Anda
nilai. Jika ini sebuah sistem, Anda perlu mendeskripsikan
sistem tersebut. Jika ini suatu proses, Anda perlu menjelaskan
prosesnya.
• Saat menjelaskan sistem atau proses, Anda akan sering fokus
pada:
- Karakteristik operasional
- Misi sistem

5. Karakteristik Operasional
Server E
Mail dalam
jaringan

6. Misi sistem
• Misi sistem mendefinisikan apa yang dilakukan sistem 
Mudah ditemukan.
• Misalnya, Sistem email dapat memiliki misi berikut:
“Server email menyediakan semua layanan email untuk
jaringan.
• Ini termasuk fungsi-fungsi berikut:
1. Merutekan email antara klien internal
2. Menerima email dari server email eksternal.
3. Menerima email dari klien internal

7. Tinjau Temuan Sebelumnya
•Jika penilaian risiko sebelumnya tersedia, Anda
harus memeriksanya. Laporan-laporan ini dapat
berisi banyak informasi berharga untuk membuat
pekerjaan Anda lebih mudah.
Rekomendasi
Status
rekomendasi
yang diterima
saat ini
Rekomendasi
yang tidak
disetujui

8. Identifikasi Struktural Manajemen
•Organisasi kecil mungkin memiliki Bagian IT
tunggal. Namun organisasi yang lebih besar dapat
memiliki beberapa bagian atau divisi IT.
•Organisasi kecil dapat melakukan penilaian risiko
untuk banyak sistem secara bersamaan, namun
organisasi yang lebih besar kemungkinan akan
memisahkan penilaian risiko

9. Mengidentifikasi Aset dan Kegiatan dalam Batas
Penilaian Risiko
• Penilaian Aset  Proses menentukan nilai pasar wajar
suatu aset
• Saat mempertimbangkan nilai aset, Anda dapat melihatnya
dari berbagai perspektif :
- Nilai penggantian, Mis: Jika laptop gagal atau dicuri,
harga untuk membeli laptop baru dengan perangkat
keras dan lunak yang serupa mungkin $ 1500
- Nilai pemulihan, Mis: Anda juga dapat
mempertimbangkan waktu yang diperlukan untuk
melakukan perbaikan, Jika perbaikan memerlukan 2
jam, sistem tidak tersedia selama 2 jam, Jika server web
menghasilkan $ 10.000 per jam dalam pendapatan,
Anda akan memasukkan $ 20.000 sebagai bagian dari
nilai pemulihan

10. Mengidentifikasi dan Mengevaluasi Ancaman yang Relevan
ANCAMAN SERANGAN KERENTANAN
DAMPAK
Ancaman menciptakan
serangan
serangan
mengeksploitasi
kerentanan
kerentanan yang
dieksploitasi
menyebabkan kerugian

11. Mengidentifikasi dan Mengevaluasi Kerentanan yang Relevan
• Dua hal yang pasti terkait dengan kerentanan:
- Semua Sistem memiliki kerentanan
- Tidak semua Kerentanan menghasilkan kerugian
• Salah satu cara untuk mengidentifikasi dan mengevaluasi
kerentanan adalah dengan menggunakan penilaian.
Penilaian Kerentanan Penilaian Eksploitasi

12. Mengidentifikasi dan Mengevaluasi Penanggulangan
Penanggulangan adalah kontrol keamanan atau
perlindungan. Kita menerapkan tindakan
balasan untuk mengurangi risiko.

13. Memilih Metodologi berdasarkan Kebutuhan
Penilaian
Kualitatif atau Kuantitatif

14. Kembangkan Rekomendasi Mitigasi
• Setelah melakukan analisis, Anda dapat memberikan
rekomendasi spesifik, Rekomendasi ini harus mengurangi
risiko.
• Data pendukung dapat mencakup:
- Pasangan ancaman / kerentanan
- Perkiraan biaya dan waktu untuk mengimplementasikan
- Perkiraan dampak operasional
- Analisis Biaya Manfaat

15. Hadirkan Hasil Penilaian Risiko
•Setelah Anda menyelesaikan RA, kita membuat
laporan yang mendokumentasikan hasilnya. Laporan
ini harus mencakup dua fase.
•Pada fase pertama, kita menyajikan rekomendasi
kepada manajemen. Sebagai pengingat, manajemen
memutuskan rekomendasi mana yang akan
diterapkan.
•Pada fase kedua, Anda mendokumentasikan
keputusan yang dibuat oleh manajemen. Kemudian
Anda membuat rencana tindakan dan tonggak sejarah
/ Then you create plan of actions and milestones
(POAM)

16. Praktik Terbaik untuk Melakukan Penilaian Risiko
•Pastikan sistem dijelaskan sepenuhnya
•Tinjau audit yang lalu
•Tinjau penilaian risiko sebelumnya
•Cocokkan RA dengan struktur manajemen
•Identifikasi aset dalam batas-batas RA
•Identifikasi dan evaluasi ancaman yang relevan
•Identifikasi dan evaluasi kerentanan yang relevan
•Identifikasi dan evaluasi tindakan pencegahan
•hasilnya

17. Terimakasih
“Hidup hanya satu kali, maka lakukan apa yang membuat mu nyaman”