Manajemen Risiko Keamanan Informasi iso 27005

https://en.wikipedia.org/wiki/Manajemen_Risiko_Keamanan_Informasi_iso_27005

ISO 27005

Suatu pendekatan sistematis terhadap manajemen risiko keamanan informasi diperlukan untuk mengidentifikasi kebutuhan organisasi mengenai persyaratan keamanan informasi dan menciptakan sistem manajemen keamanan informasi yang 4 efektif (SMKI). Pendekatan ini harus sesuai untuk lingkungan organisasi, dan khususnya harus diselaraskan dengan manajemen risiko perusahaan secara keseluruhan ^[1].

Kontribusi Risiko Manajemen

Kontribusi risiko manajemen diantaranya ^[2]:
a.       Risiko yang diidentifikasi;
b.      Risiko yang dinilai dalam hal konsekuensi mereka untuk bisnis dan kemungkinan terjadinya;
c.       Kemungkinan dan konsekuensi risiko ini sedang dikomunikasikan dan dipahami;
d.      Urutan prioritas untuk perlakuan resiko yang didirikan;
e.      Prioritas tindakan untuk mengurangi risiko yang terjadi;
f.       Para pemangku kepentingan terlibat ketika keputusan manajemen risiko dibuat dan selalu diinformasikan mengenai status manajemen risiko;
g.       Efektivitas pemantauan perlakuan risiko;
h.      Risiko dan proses manajemen risiko dipantau dan dikaji secara berkala;
i.        Informasi ditangkap untuk meningkatkan pendekatan manajemen risiko;
j.       Manajer dan staf dididik tentang risiko dan tindakan yang diambil untuk menanggulanginya.
Proses manajemen risiko keamanan informasi dapat diterapkan pada organisasi secara keseluruhan, setiap bagian diskrit organisasi (misalnya departemen, lokasi fisik, layanan), setiap sistem informasi, aspek yang ada atau yang direncanakan atau kontrol tertentu (misalnya perencanaan kelangsungan bisnis) .

Dalam SMKI, menetapkan konteks, penilaian risiko, mengembangkan rencana penanganan dan penerimaan risiko adalah bagian dari fase "rencana". Dalam fase "melakukan" dari SMKI, tindakan dan kontrol yang diperlukan untuk mengurangi risiko ke tingkat yang dapat diterima dilaksanakan sesuai dengan rencana penanganan. Dalam fase "pemeriksaan" dari SMKI, manajer akan menentukan kebutuhan untuk perbaikan penilaian risiko dan perlakuan risiko mengingat insiden dan perubahan keadaan. Dalam fase "tindakan", setiap tindakan yang diperlukan, termasuk aplikasi tambahan dari proses manajemen risiko keamanan informasi, dilakukan ^[3].
Tabel 1 - Penyelarasan antara SMKI dan Proses Manajemen Risiko Keamanan ^[4]

Proses SMKI
Perencanaan	Proses Manajemen Risiko Keamanan Informasi
Tindakan	Meningkatkan dan memelihara Proses Manajemen Risiko Keamanan Informasi
Pemeriksaan	Pemantauan dan peninjauan berkala terhadap risiko

Organisasi manajemen risiko keamanan informasi

Organisasi dan tanggung jawab untuk proses manajemen risiko keamanan informasi harus dibentuk dan dipelihara. Berikut ini adalah peran dan tanggung jawab utama organisasi ini ^[5]:
a.       Pengembangan proses manajemen risiko keamanan informasi yang sesuai bagi organisasi;
b.      Identifikasi dan analisis pemangku kepentingan;
c.        Definisi peran dan tanggung jawab semua pihak baik internal maupun eksternal organisasi; 11
d.      Penetapan hubungan yang diperlukan antara organisasi dan pemangku kepentingan, serta antarmuka untuk fungsi manajemen risiko tingkat tinggi organisasi (misalnya manajemen risiko operasional), serta antarmuka untuk proyek-proyek atau kegiatan lain yang relevan;
e.       Definisi jalur eskalasi keputusan;
f.        Spesifikasi catatan untuk disimpan;

Analisis risiko

Identifikasi risiko^[6]

a.      Pengenalan terhadap identifikasi risiko
b.      Identifikasi aset-aset
c.       Identifikasi ancaman
d.      Identifikasi kontrol yang ada
e.      Identifikasi kerentanan
f.       Identifikasi konsekuensi

Estimasi risiko^[7]

a.      Metodologi estimasi risiko
b.     Penilaian konsekuensi
c.      Penilaian kemungkinan insiden
d. Tingkat estimasi risiko

Penanganan risiko keamanan informasi

Pengurangan risiko

Ada banyak kendala yang dapat mempengaruhi pemilihan kontrol. Kendala teknis seperti persyaratan kinerja, pengelolaan (persyaratan dukungan operasional) dan isu kompatibilitas dapat menghambat penggunaan kontrol tertentu atau bisa menyebabkan kesalahan manusia baik meniadakan kontrol, memberikan rasa aman palsu atau bahkan meningkatkan risiko melebihi tidak memiliki kontrol ( misalnya mengharuskan password yang kompleks tanpa pelatihan yang tepat, sehingga mengarah ke pengguna untuk menuliskan password). Selain itu, bisa menjadi kasus bahwa kontrol akan mempengaruhi kinerja. Manajer harus mencoba untuk mengidentifikasi solusi yang memenuhi persyaratan kinerja sembari menjamin keamanan informasi yang memadai. Hasil dari langkah ini adalah daftar kemungkinan kontrol, beserta biaya, manfaat, dan prioritas pelaksanaannya ^[8].

Penghindaran risiko

Ketika risiko yang teridentifikasi dianggap terlalu tinggi, atau biaya pelaksanaan pilihan penanganan risiko lain melebihi manfaatnya, keputusan dapat dilakukan untuk menghindari risiko sepenuhnya, dengan membatalkan suatu kegiatan yang direncanakan atau yang sudah ada atau serangkaian kegiatan, atau mengubah kondisi di mana kegiatan tersebut dijalankan. Sebagai contoh, untuk risiko yang disebabkan oleh alam mungkin alternatif yang paling efektif adalah untuk memindahkan fasilitas pengolahan informasi secara fisik ke tempat dimana tidak ada risiko atau berada di bawah kendali ^[9].

Transfer risiko

Transfer risiko meliputi keputusan untuk berbagi risiko tertentu dengan pihak eksternal. Transfer risiko dapat menimbulkan resiko baru atau memodifikasi yang sudah ada, mengidentifikasi risiko. Oleh karena itu, penanganan resiko yang mungkin diperlukan.

Contoh Ancaman

Ancaman mungkin disengaja, tidak disengaja atau lingkungan (alam) dan dapat mengakibatkan, sebagai contoh, pada kerusakan atau kehilangan layanan penting. Daftar berikut menunjukkan untuk setiap jenis ancaman di mana D (disengaja), A (tidak disengaja), E (lingkungan) adalah relevan. D digunakan untuk semua tindakan sengaja ditujukan untuk aset informasi, A digunakan untuk semua tindakan manusia yang tidak sengaja dapat merusak aset informasi, dan E digunakan untuk semua Insiden yang tidak didasarkan pada tindakan manusia. Kelompok-kelompok dari ancaman tidak dalam urutan prioritas.^[10]
Tabel 2 - Contoh ancaman yang khas

Jenis	Ancaman	Asas
Kerusakan fisik	Api,air, polusi	A, D, E
Peristiwa alam	gempa bum, iklim, vulkanik
Kegagalan teknis	Kegagalan peralatan Kerusakan peralatan Kejenuhan sistem informasi Kerusakan perangkat lunak	A A D,A A

Perhatian khusus harus diberikan pada sumber ancaman manusia. Tabel berikut adalah sumber ancaman manusia yang telah dirinci secara khusus ^[11]:
Tabel 3 - Sumber ancaman dari manusia ^[12]

Asal Ancaman	Motivasi	Kemungkinan konsekuensi
Hacker, cracker	Tantangan Ego Pemberontakan Status Uang	·         -Hacking - Social engineering ·          Gangguan sistem, penyusupan – ·         Akses yang tidak sah ke sistem
Kriminal komputer	Perusakan informasi Penyingkapan informasi ilegal Keuntungan moneter Perubahan data yang tidak sah	·         Kejahatan komputer (seperti cyber stalking) ·         Tindakan penipuan (mis. replay, peniruan, intersepsi) ·          Informasi suap ·          Spoofing - Intrusi Sistem
Orang dalam (karyawan yang kurang terlatih, tidak puas, berbahaya, lalai, tidak jujur, atau dipecat)	Keuntungan moneter Balas dendam Kesalahan dan kelalaian yang tidak disengaja (seperti kesalahan entri data, kesalahan pemrograman)	·         Penyalahgunaan komputer ·         Kecurangan dan pencurian ·         Penyuapan informasi - Input dipalsukan, data yang rusak ·          Penangkapan - Kode berbahaya

Share on Google Plus

About riki aldi pari

This is a short description in the author block about the author. You edit it by entering text in the "Biographical Info" field in the user admin panel.