+ All Categories
Home > Documents > Enterprise Risk Management Sesi 4

Enterprise Risk Management Sesi 4

Date post: 31-Jul-2015
Category:

Documents
Upload: gule-mariam
View: 44 times
Download: 0 times
Download Report this document
Share this document with a friend
Description:
Enterprise Risk Management case study in IndonesiaSharing Vision (tm)
Popular Tags:
risk management report
risk management sumber
risk management d
risk management t sumber
risk mitigators
risk exposuresumber
operating risk index
risk balancer low
42
Transcript
Page 1: Enterprise Risk Management Sesi 4
Page 2: Enterprise Risk Management Sesi 4

Pola IT Risk Management

Fakta

Berdasarkan Analisa Clusters

IT Risk Mitigators

IT Risk BalancerH

igh

Eff

ecti

ven

esn

agem

ent

E

IT Risk

Low

T R

isk

Man

Low-Mid HighIT Risk Exposure

IT

Sumber: IT Risk Management Report,Symantec

2 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 3: Enterprise Risk Management Sesi 4

Authentication , Authorization and Access Memiliki Tingkat Efektifitas

Fakta

yang Paling Tinggi

Tingkat Keefektifan Organisasi dalam Proses IT Risk Management

Memiliki tingkat efektifitas yang paling yang paling tinggi

Sumber: IT Risk Management Report,Symantec, n = 528 responden

3 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 4: Enterprise Risk Management Sesi 4

Network Protocol and Host Security danPhysical Security Merupakan Teknologi

Fakta

Tingkat Keefektifan Organisasi dalam Menggunakan T k l i IT Ri k M t

y y p gyang Paling Efektif Digunakan

Teknologi IT Risk ManagementHampir 50% responden

mengatakan keefektifan organisasi

>90%

Sumber: IT Risk Management Report,Symantec, n = 528 responden

4 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 5: Enterprise Risk Management Sesi 4

Tingkat Keefektifan TeknologiD l IT Ri k M

Fakta

Dalam IT Risk Management Lebih Besar Daripada Prosesnya

Tingkat Keefektifan Teknologi vs Proses IT Risk Management

Sumber: IT Risk Management Report,Symantec, n = 528 responden

5 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 6: Enterprise Risk Management Sesi 4

Keefektifan Ekspektasi Insiden IT Menurun Walaupun Persepsi

Fakta

Menurun, Walaupun PersepsiTerhadap Risiko IT Meningkat

5

Insiden dan Risiko IT Berdasarkan Keefektifan IT Risk Management

3

4

Ind

ex

1

2

Worst Good Better Best

I

Klasifikasi perusahaan

Compliance Risk Business Process Risk Incidents

perusahaan

Sumber: IT Risk Management Report,Symantec, n = 528 responden

6 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 7: Enterprise Risk Management Sesi 4

Perusahaan Dengan Performansi TinggiM j kk K f k if Ti i

Fakta

Menunjukkan Keefektifan yang TinggiPada Hampir Semua Ukuran

Efektifitas Kontrol untuk Mengelola Risiko IT

Worst Good Better Best Mean

7 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Sumber: IT Risk Management Report,Symantec, n = 528 responden

7 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 8: Enterprise Risk Management Sesi 4

Perusahaan Mitigator MampuMenekan Risiko Melalu Efektifitas

Fakta

Menekan Risiko Melalu EfektifitasTeknologi dan Proses

IT Risk Exposure Keefektifan Kontrol dan Pengalaman Insiden

Compliance Risk Index

IT Risk Exposure, Keefektifan Kontrol dan Pengalaman Insiden Berdasarkan Performance Cluster

5

Operating Risk IndexTechnology Effectiveness 2

3

4

1

Incident IndexProcess Effectiveness Index

A t Risk Ba la n cer Mit iga t or

Sumber: IT Risk Management Report,Symantec, n = 528 responden

8 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

8 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 9: Enterprise Risk Management Sesi 4

Proses Finansial dan AdminstrasiM iliki Ri ik P li Ti i

Fakta

Memiliki Risiko yang Paling Tinggi

Risiko IT berdasarkan Proses Bisnis

!!Berisiko

tinggi

Sumber: IT Risk Management Report,Symantec, n = 528 responden

9 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 10: Enterprise Risk Management Sesi 4

Data Retention dan Data Protection M iliki Ri ik P li Ti i

Fakta

Memiliki Risiko yang Paling Tinggi

Risiko IT berdasarkan Compliance Area

Berisiko tinggi

!!

tinggi

Sumber: IT Risk Management Report,Symantec, n = 528 responden

10 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 11: Enterprise Risk Management Sesi 4

IT Risk Management Process

Awareness of IT Awareness of IT

Asset Id ifi i

Asset Id ifi i

RisksRisks

IdentificationIdentification

Risk AssessmentRisk Assessment

Risk MitigationRisk Mitigation

ReportReport

11 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 12: Enterprise Risk Management Sesi 4

Memahami Risiko Risiko IT

Awareness of IT Risks

Memahami Risiko – Risiko IT

Risiko IT merupakan risiko operasional, mulai dari kesalahan operasional aset IT sehari-hari hingga kesalahan besar & fatal

Sumber: IT Risk Management Report,Symantec

Page 13: Enterprise Risk Management Sesi 4

Setiap SDM Dalam Perusahaan Harus

Awareness of IT Risks

Memiliki Pemahaman Yang CukupTerhadap Risiko – Risiko IT

Kategori Risiko IT Sumber Pengaruh Risiko

• Serangan eksternal • Korupsi informasiSecurity

• Serangan eksternal• Kerusakan fisik• Akses ilegal

• Korupsi informasi• Kerusakan pada aset• Pencurian aset finansial

Availability

• Kegagalan hardware• Proses manajemen perubahan yang

lemah

• Kegagalan transaksi• Berkurangnya pelanggan & partner• Terlambatnya proses bisnislemah

• Kegagalan data centre Terlambatnya proses bisnisyang penting

Performance• System architecture yang lemah• Kemacetan jaringan• Kapasitas yang tidak cukup

• Berkurangnya kepuasan klien• Berkurangnya produktifitas user• Hilangnya produktifitas IT

Compliance

• Legal action• Pengamanan IT internal

yang mendukung compliance• Standar compliance pihak ketiga yang

tidak cukup

• Kerusakan reputasi• Tuntutan hukum• Berkurangnya kepercayaan klien

13 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 14: Enterprise Risk Management Sesi 4

Mengidentifikasi Aset

Asset Identification

P i b d l id ifik i Aset adalah apapun yang berharga bagiAset adalah apapun yang berharga bagi

Pertimbangan dalam mengidentifikasi aset kritis

sebuah organisasi, tingkatannya mulai dariaset dasar hingga aset kritis. sebuah organisasi, tingkatannya mulai dariaset dasar hingga aset kritis.

• Tingkat kerugian

• Potensi aset untuk mengalami kerugian

Aset

• Potensi aset untuk mengalami kerugian, kerusakan, atau kehancuran

• Kerusakan terhadap landasan politik

• Kekacauan terhadap operasi perusahaanCritical

PeopleProperty

Information

• Kekacauan terhadap ekonomi perusahaan

• Perhatian media

• Pengaruh terhadap reputasi perusahaan

• Pengaruh terhadap moral karyawan

High

Medium

Pengaruh terhadap moral karyawan

• Kekhawatiran Low

14 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 15: Enterprise Risk Management Sesi 4

Pengkategorian Aset

Asset Identification

Contoh aset IT yang memiliki kepentingan yang signifikan/besar

• Data bisnis yang sensitif : dokumen – dokumen keuangan yang rahasia dan y g g y grahasia perdagangan

• Informasi personal : nama, alamat, nomor – nomor keamanan sosial, dan informasi kesehatan pegawai

• Informasi pelanggan : nama, alamat, nomor – nomor identifikasi pajak, dan sejarah pemasukan pelanggan

• Informasi otentikasi : nama user dan password untuk sistem – sistem yang Aset dikategorikan b d k Informasi otentikasi : nama user dan password untuk sistem sistem yang

penting, kunci – kunci cryptographic, dan alat – alat otentikasi hardwareberdasarkan dampak dalam kerahasiaan, integritas dan ketersediaannya Contoh aset IT yang memiliki kepentingan yang sedangyyang menyebabkan kerugian terhadap perusahaan

y g p g y g g

• Data bisnis : informasi tagihan pelanggan dan daftar supplier• Informasi personal : nomor – nomor telepon, sejarah pegawai

Contoh aset IT yang memiliki kepentingan yang kecil

• Peningkatan akses publisitas melalui website• Informasi dasar perusahan seperti chart organisasi, building map,

dan informasi kontak darurat

15 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 16: Enterprise Risk Management Sesi 4

IT Risk Assessment ProcessRisk

Assessment

Risk Determination

IT System Characteriza-

tion

RiskAssessment

tion

Threat assessment

Vulnerability assessment

16 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 17: Enterprise Risk Management Sesi 4

Menggolongkan Sistem IT Risk

Assessment

Risk Determina-tion

IT System Characterization

Menggolongkan Sistem IT Berdasarkan Tahapan SDLC

Threat assessment

Vulnerability assessment

Tahapan SDLC

1 Initiation and design• Utilisasi hardware dan software

Elemen yang harus didefinisikan

1. Initiation and design

2. Development or Acquisition

• Interface sistem• Data dan informasi• Komunitas user• Orang – orang pendukung

3. Implementation

4. Operation

• Tujuan sistem• Proses – proses dependen• Sensitivitas data• Kekritisan sistem

5. Disposal • Lingkungan IT, seperti arsitektur sistem keamanan, dll

Page 18: Enterprise Risk Management Sesi 4

Metode PengumpulanRiskAssessment

Risk Determina-tion

IT System Characterization

Informasi DalamMenggolongkan Sistem IT

Threat assessment

Vulnerability assessment

Review dokumen

Interview

Kuesioner

Tool scanning otomatis

18 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 19: Enterprise Risk Management Sesi 4

Threat/AncamanRiskAssessment

Risk Determina-tion

IT System Characterization

Threat assessment

Vulnerability assessment

Ancaman adalah keadaan atau peristiwa apapun yang dapat membahayakan sistem teknologi informasi

HumanPhysical/ Environment

Ancaman

NaturalTechnical

19 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 20: Enterprise Risk Management Sesi 4

Threat Assessment(under construction)

RiskAssessment

Risk Determina-tion

IT System Characterization

(under construction)Threat

assessmentVulnerability assessment

20 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 21: Enterprise Risk Management Sesi 4

21 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 22: Enterprise Risk Management Sesi 4

Threat AnalysisRiskAssessment

Risk Determina-tion

IT System Characterization

yThreat

assessmentVulnerability assessment

WhatWhat Memberitahu apa yang terjadi secara spesifik

WhereWhere

WhenWhen

Memberikan jawaban mengenai lokasi secara spesifik

Memberikan detail sementara dari setiap insiden

WhoWho Pertanyaan yang membantu dalam membuat program keamanan yang efektif

HowHow Memberitahu bagaimana tindak kejahatan biasanya dilakukan

22 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 23: Enterprise Risk Management Sesi 4

Metode PengumpulanI f i D l H

RiskAssessment

Risk Determina-tion

IT System Characterization

Informasi Dalam Human Threat Assessment

Threat assessment

Vulnerability assessment

√ Meninjau sejarah break-ins sistem

√ Meninjau laporan pelanggaran keamanan

√ Meninjau laporan insiden

√ Mewawancara pemilik bisnis, orang – orang pendukung sistem, user sistem, dan manajemen yang berkaitan

23 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 24: Enterprise Risk Management Sesi 4

VulnerabilityRiskAssessment

Risk Determina-tion

IT System Characterization

Threat assessment

Vulnerability assessment

Vulnerability adalah titik kelemahan atau gap dalam program keamanan yang dapat dieksploitasi oleh ancaman untuk mendapatkan akses ilegal terhadap aset

Vulnerability bermacam – macam, tergantung kepada tahap sistem dalam SDLC

• Jika sistem berada pada tahap inisiasi, pencarian vulnerability sebaiknya dimasukkan ke dalam kebijakan dan prosedur pengembangan/akuisisi aplikasi perusahaanp g g / p p

• Jika sistem berada dalam tahap implementasi, sebaiknya dilakukan pengujian untuk menentukan kepastian integritas data

• Jika sistem berada dalam tahap operasional, sebaiknya dilakukan review terhadap user permission dan pengujian terhadap kontrol keamanan

24 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 25: Enterprise Risk Management Sesi 4

Vulnerability AssessmentRiskAssessment

Risk Determina-tion

IT System Characterization

Threat assessment

Vulnerability assessment

Membuat checklist persyaratan keamanan

Impact Analysis

25 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 26: Enterprise Risk Management Sesi 4

Membuat Checklist Persyaratan

Membuat checklist persyaratan keamanan

Impact Analysis

Membuat Checklist PersyaratanKeamanan Sebagai Awal Risk Assessment

Area Keamanan Kriteria KeamananArea Keamanan Kriteria Keamanan

Management security • Kebijakan dan prosedur resmi• Penempatan tanggung jawab• Kemampuan merespon insiden• Review rutin terhadap kontrol – kontrol

• Personal yang melakukanrisk assessment harusmenentukan apakahkebutuhan keamanan telah Review rutin terhadap kontrol kontrol

keamanan• Investigasi izin dan background personal• Risk assessment• Pelatihan keamanan dan teknis• Pemisahan kewajiban

tercapai• Setiap kebutuhan dipetakan kepada

penjelasan apakah kontrol – kontroldi sekitar desain atau implementasisistem memuaskan atau tidak j

Operational security • Akses dan pembagian media data• Distribusi dan pelabelan data eksternal• Kontrol – kontrol untuk memastikan kualitas

power supply elektrikKo t ol kele baba da te e at

• Tujuan langkah ini adalahmenujukan standar dasar keamananyang sebaiknya digunakan untukmengevaluasi dan mengidentifikasivulnerability di area KeamananM j O i l d T k i • Kontrol kelembaban dan temperatur

Technical security • Kontrol terhadap password• Kriptografi• Kontrol akses bebas• Identifikasi dan otentikasi

Manajemen, Operasional dan Teknis• Checklist kebutuhan keamanan

digunakan untuk mengevaluasikontrol – kontrol yang sudah adadan membantu pembuatan kontrol –kontrol di masa mendatang

• Deteksi kekacauan• Reuse objek• Audit sistem

kontrol di masa mendatang

Page 27: Enterprise Risk Management Sesi 4

Impact Analysis

Membuat checklist persyaratan keamanan

Impact Analysis

Impact Analysis

Klasifikasi Deskripsi dampak

• Loss of Confidentiality

dampak

High Eksploitasi vulnerability mengakibatkan kerugian biaya, asetdan resource yang kritis, sangat

• Loss of Integrity• Loss of Availability

membahayakan misi dan reputasiperusahaan, atau menyebabkankorban luka parah bahkan kematian

Medium Eksploitasi vulnerability p ymengakibatkan kerugian biayakarena aset dan resource, membahayakan misi dan reputasiperusahaan, atau menyebabkankorban lukakorban luka

Low Eksploitasi vulnerability mengakibatkan kehilangan beberapaaset dan resource atau efek nyatat h d i i d t iterhadap misi dan reputasiperusahaan

Page 28: Enterprise Risk Management Sesi 4

Penentuan RisikoRisk

Assessment

Risk Determina-

tion

IT System Characterization

Penentuan RisikoThreat assessment

Vulnerability assessment

Penentuan risiko berdasarkan ancaman dan vulnerability dapat di gka ka sebagai f gsi da i KemungkinanKemungkinan DampakDampak

Risk Risk –– Level MatrixLevel Matrix

diungkapkan sebagai fungsi dari:

• Kemungkinan sebuah ancaman berusaha untuk mengeksploitasi sebuah vulnerability

KemungkinanKemungkinanancamanancaman

DampakDampak

Low (1)Low (1) Medium (5)Medium (5) High (10)High (10)

High (10)High (10) LowLow

10 x 1 = 1010 x 1 = 10

MediumMedium

10 x 5 = 5010 x 5 = 50

HighHigh

10 x 10 = 10010 x 10 = 100b b y• Besarnya dampak yang diperoleh

jika sebuah ancaman mengeksploitasi vulnerability

• Legitimasi kontrol – kontrol yang

5 55 5

Medium (5)Medium (5) LowLow

5 x 1 = 50 5 x 1 = 50

MediumMedium

5 x 5 = 255 x 5 = 25

HighHigh

5 x 10 = 505 x 10 = 50

Low (1)Low (1) LowLow LowLow LowLowg y gdidesain untuk mengurangi atau menghilangkan risiko

1 x 1 = 11 x 1 = 1 1 x 5 = 51 x 5 = 5 1 x 10 = 101 x 10 = 10

Page 29: Enterprise Risk Management Sesi 4

Skala RisikoRiskAssessment

Risk Determina-

tion

IT System Characterization

Threat assessment

Vulnerability assessment

High• Penemuan berisiko tinggi yang sangat membutuhkan

tindakan perbaikan. Sistem mungkin tetap dapat beroperasi, tetapi tindakan yang terencana harus dilakukan secepat mungkindilakukan secepat mungkin

Medium• Penemuan berisiko tinggi yang membutuhkan

tindakan perbaikan. Sistem mungkin tetap dapat b i d ti d k t h beroperasi, dan tindakan yang terencana harus dilakukan dalam kerangka waktu yang masuk akal

• Penemuan berisiko rendah yang membuat pembuat Low

y g pkeputusan dala keamanan harus memasukkan rencana perbaikan atau memutuskan untuk menerima risiko

29 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 30: Enterprise Risk Management Sesi 4

Pendekatan KuantitatifRisk

Assessment

Risk Determina-

tion

IT System Characterization

untukMenentukan Risiko

Threat assessment

Vulnerability assessment

Probability

Loss Event

Probability

Loss Event

Criticality

30 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 31: Enterprise Risk Management Sesi 4

Menghitung Probabilitas

Probability

Loss Event

Faktor faktor yang

fP

Faktor-faktor yang mempengaruhi probabilitas :

• Lingkungan fisik (konstruksi, lokasi, komposisi konfigurasi)f

nfP = komposisi, konfigurasi)

• Lingkungan sosial (demografi, dinamika populasi)

• Lingkungan politik (stabilitas pemerintahan sumber pelaksanaan

nfP =

P = Probabilitas loss event

f = Frekuensi loss event yang terjadi

l

pemerintahan, sumber pelaksanaan undang-undang)

• Pengalaman historis (tipe dan frekuensi loss event sebelumnya)P d d (b i t n = Total pengamatan • Prosedur dan proses (bagaimana aset digunakan, disimpan dan dilindungi)

• State of the art tindak kejahatan(tipe dan efektifitas tool serangan)

31 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 32: Enterprise Risk Management Sesi 4

Membuat Matrik Risiko

Probability

Membuat Matrik Risiko

Pengontrolani i k P i

Pembuatand k

PengadaanAl Lokasi Nilai ($)

izin masuk(Ya/Tidak)

Penguncian area (Ya/Tidak)

dokumen(Ya/tidak)

Alarm (Ya/Tidak) Lainnya

Warehouse dll …

Front Office dll …

Laboratory dll …

Shipping dll …

f i dllManufacturing dll …

dll … dll …

L k i d k di i hi i ik d d di difik i• Lokasi dan kondisi yang mempengaruhi risiko dapat dapat dimodifikasisesuai dengan kondisi perusahaan

• Jawaban “Ya” menunjukkan proteksi yang baik, “Tidak” menunjukkanproteksi yang kurang baikp y g g

Page 33: Enterprise Risk Management Sesi 4

Menentukan

Probability

Rating Probabilitas

Vi t ll C t iVi t ll C t i Ri ik k t j diVirtually CertainVirtually Certain

Highly ProbableHighly Probable

Risiko akan terjadi

Kemungkinan risiko akan terjadi jauh lebih besar Highly ProbableHighly Probable

Moderately ProbableModerately Probable

daripada tidak terjadi

Risiko lebih mungkin terjadi daripada tidak terjadi

Less ProbableLess Probable

terjadi

Risiko lebih mungkin tidak terjadi daripada terjadi

Probability UnknownProbability Unknown

j

Data tidak cukup tersedia untuk dievaluasi

33 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 34: Enterprise Risk Management Sesi 4

Mengukur Loss Event Criticality

Criticality

Berdasarkan Efeknya Terhadap Finansial

Komponen biaya

Biaya penggantian permanen1• Harga pembelian dan manufaktur• Biaya pengangkutan• Biaya persiapan untuk membuatnya

i di k

Komponen biaya

Biaya penggantian sementara2

siap digunakan

• Biaya sewa atau rental• Bayaran tenaga kerja

Biaya konsekuensi3 • Biaya karena downtime

Biaya kehilangan pemasukan yang seharusnya diperoleh4

34 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 35: Enterprise Risk Management Sesi 4

Menghitung Biaya Kerugian dan

Criticality

Menentukan Rating Criticality

K = Cp + Ct + Cr + Ci - I Fatal 1

K = criticality, total biaya kerugianCp = biaya karena penggantian permanenCt = biaya karena penggantian sementara

Sangat serius 2

il i d i i

y p ggCr = biaya konsekuensiCi = biaya karena kehilangan pemasukanI = asuransi/ganti kerugian yang tersedia

Cukup serius

Secara relatif

3

4Nilai dari sistem rating tergantung

kepada perusahaan

tidak penting

Keseriusannyatidak diketahui

4

5tidak diketahui 5

35 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 36: Enterprise Risk Management Sesi 4

Risk Mitigation

Dapatkah IT Risk Management yang baik hil k i ik IT ?

Ri k “ id k”

menghilangkan risiko IT ?

Riset mengatakan “tidak”. Risiko IT dan biaya pada area yang paling vital dalam perusahaan harus dikelola dan

diminimalisasi tanpa mengurangi p g gperformansi bisnis.

Sumber: IT Risk Management ReportSumber: IT Risk Management Report,Symantec

36 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 37: Enterprise Risk Management Sesi 4

Risk MitigationRisk Mitigation

Align IT/ Membangu

Design Solution

Align IT/ Business Value & Implement Solution

Membangun & MengaturKemampuan

Build & Manage Unified Capabilityn

• Membuat solusii i i i ikmitigasi risiko yang

meliputi elemenpeople, proses danteknologi.

• Melakukan cost

• Mengimplementasi-kan solusi mitigasirisiko yang melibatkan para

• Membuat program perbaikan dan ketertataan IT Risk Management Melakukan cost

benefit analysis agar biaya dan benefit selaras dengantujuan perusahaan

melibatkan parastakeholder perusahaan

Management perusahaan yang kontinu

37 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 38: Enterprise Risk Management Sesi 4

Misalignment: Sumber IT RiskRisk Mitigation

• Berada dalam internal IT: Menimbulkan gap

2 jenismisalignment

dalam penggunaan, pengaturan dan pengembangan proses dan sistem.

• Berada antara fungsi IT dan Organisasi: program IT Risk tidak dapat memenuhi misalignment program IT Risk tidak dapat memenuhi kebutuhan organisasi, dan organisasi tidak memiliki awareness of IT Risk yang cukup

• Memastikan departemen IT diselaraskan secara internal

Solusi pencegahanrisiko

Solusi pencegahanrisiko

Memastikan departemen IT diselaraskan secara internal

• Manajemen IT harus mempererat kerja sama dengan klien dan pemegang saham dalam organisasi

38 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 39: Enterprise Risk Management Sesi 4

Memilih Mitigasi RisikoRisk Mitigation

Risk Assumption/ Menerima risiko dan meneruskan operasi sistem informasi teknologi t i l t ik k t l d i ik l bih d h Risk Assumption/

Acceptanceatau mengimplementasikan kontrol dengan risiko yang lebih rendah untuk level yang sesuai

Risk Avoidance Menghindari risiko dengan menghapuskan penyebab risikorisiko

Risk Limitation Mengurangi risiko dengan mengimplementasikan kontrol preventif

Mengelola risiko dengan mengembangkan rencana mitigasi risiko l k l dRisk Planning yang mengevaluasi, memprioritaskan, mengimplementasi dan

mempertahankan kontrol

Research and Mengurangi risiko kerugian menggunakan kontrol penelitian dan kontrol vulnerability untuk melindungi atau menghilangkan

Acknowledgmentkontrol vulnerability untuk melindungi atau menghilangkan vulnerability

Risk Transference Memindahkan risiko kepada pihak lain, misalnya membeli asuransi

39 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 40: Enterprise Risk Management Sesi 4

Elemen-Elemen Report

• Ruang lingkupRisk assessment report merupakan

Report

• Ruang lingkup

• Pendekatan risk assessment

sebuah pendekatan analitisuntuk meng-assess risikosehingga perusahaan memahamirisiko yang akan terjadi dan

• Karakterisasi sistemteknologi informasi

• Evaluasi dan identifikasi

risiko yang akan terjadi danmenempatkan sumber dayayang tepat untuk mengurangirisiko tersebut

Evaluasi dan identifikasiancaman dan vulnerability

• Rekomendasi kontrol

• Kesimpulan dan ulasan

40 /42Information Technology and ERM (2): Treating the Risk Behind Information Technology Resiliency (application systems risks, effective continuity planning, and worms, viruses, and systems network access risks, etc)

Page 41: Enterprise Risk Management Sesi 4

Penutup

A

p

Awareness of IT Risk

• Tujuan akhir dari IT risk management adalah

ReportingAsset

Identification

awareness

• Sedikit sekali yang sudahsampai pada stage

i di iperiodic reporting

• IT risk management adalahsuatu proses ERM yang

diRisk Mitigation

Risk Assessment

never ending

Page 42: Enterprise Risk Management Sesi 4

Recommended
Sesi Pottery

Sesi Pottery

Documents

Risk Culture: of Enterprise Risk Management

Risk Culture: of Enterprise Risk Management

Documents

Enterprise Risk Management EXECUTIVE POLICY GROUP Enterprise Risk Management Enterprise Risk Management Campus Safety.

Enterprise Risk Management EXECUTIVE POLICY GROUP Enterprise Risk Management Enterprise Risk Management Campus Safety.

Documents

Risk Mgt - Journal on Enterprise Risk

Risk Mgt - Journal on Enterprise Risk

Documents

ENTERPRISE RISK MANAGEMENT FRAMEWORK AND … · ENTERPRISE RISK MANAGEMENT FRAMEWORK AND ... The Enterprise Risk Management Framework specifically addresses ... this policy and framework

ENTERPRISE RISK MANAGEMENT FRAMEWORK AND … · ENTERPRISE RISK MANAGEMENT FRAMEWORK AND ... The Enterprise Risk Management Framework specifically addresses ... this policy and framework

Documents

adminku.kemenag.go.id...Sesi 2- In Basket Exercise Sesi 3- Kuesioner kompetensi & Critical Incident Istirahat Sesi 4- Inventory Sikap Kerja dan Talents Mapping Sesi 5- Tes Psikologi

adminku.kemenag.go.id...Sesi 2- In Basket Exercise Sesi 3- Kuesioner kompetensi & Critical Incident Istirahat Sesi 4- Inventory Sikap Kerja dan Talents Mapping Sesi 5- Tes Psikologi

Documents

Understanding Enterprise Risk Management: An … · Enterprise Risk Management 3 What is Enterprise Risk Management? Enterprise risk management is a process designed to identify potential

Understanding Enterprise Risk Management: An … · Enterprise Risk Management 3 What is Enterprise Risk Management? Enterprise risk management is a process designed to identify potential

Documents

Enterprise Risk Management - COSO€¦ · Enterprise Risk Management Applying enterprise risk management to environmental, social and governance-related risks • October 2018 An

Enterprise Risk Management - COSO€¦ · Enterprise Risk Management Applying enterprise risk management to environmental, social and governance-related risks • October 2018 An

Documents

Sesi 4_SBAR.pptx

Sesi 4_SBAR.pptx

Documents

Enterprise Risk Management - ICPAK · PDF fileSource: COSO Enterprise Risk Management ... Enterprise Risk Management Sources of Risk Notes: •Sources of risk may depend on the industry

Enterprise Risk Management - ICPAK · PDF fileSource: COSO Enterprise Risk Management ... Enterprise Risk Management Sources of Risk Notes: •Sources of risk may depend on the industry

Documents

GUIDELINES REVIEW 5.2. ENTERPRISE RISK MANAGEMENT … · Enterprise Risk Management (ERM) - Enterprise risk management encompasses all the major risk categories (including financial,

GUIDELINES REVIEW 5.2. ENTERPRISE RISK MANAGEMENT … · Enterprise Risk Management (ERM) - Enterprise risk management encompasses all the major risk categories (including financial,

Documents

Sesi 5 Case Study Enterprise Resource Planning Implementation

Sesi 5 Case Study Enterprise Resource Planning Implementation

Documents

Waqf Core Principles (WCP) Sesi-7€¦ · Waqf Core Principles (WCP) Sesi-7: Risk Management and Collection management H. Hendri Tanjung, Ph.D Anggota Badan Wakaf Indonesia (BWI)

Waqf Core Principles (WCP) Sesi-7€¦ · Waqf Core Principles (WCP) Sesi-7: Risk Management and Collection management H. Hendri Tanjung, Ph.D Anggota Badan Wakaf Indonesia (BWI)

Documents

Benefit Administration Enterprise Risk Profile · Enterprise Risk Profile | September 2017 Page 1 of 16 Benefit Administration Enterprise Risk Profile Enterprise Risk Owner Oversight

Benefit Administration Enterprise Risk Profile · Enterprise Risk Profile | September 2017 Page 1 of 16 Benefit Administration Enterprise Risk Profile Enterprise Risk Owner Oversight

Documents

ENTERPRISE RISK MANAGEMENTassets.metricstream.com/pdf/datasheets/Enterprise Risk...ENTERPRISE RISK MANAGEMENT Responsive and personalized interface designed for risk assessors and

ENTERPRISE RISK MANAGEMENTassets.metricstream.com/pdf/datasheets/Enterprise Risk...ENTERPRISE RISK MANAGEMENT Responsive and personalized interface designed for risk assessors and

Documents

Enterprise Risk Management...Enterprise Risk Management Enterprise risk management is a process, applied in strategy setting across the enterprise, designed to identify potential events

Enterprise Risk Management...Enterprise Risk Management Enterprise risk management is a process, applied in strategy setting across the enterprise, designed to identify potential events

Documents

Enterprise Risk Management at MnDOT Management Tool: SOP Register FHWA Risk Assessment Capital Governance Operating Enterprise Agency Risk Register 8 Enterprise Agency Risk Register

Enterprise Risk Management at MnDOT Management Tool: SOP Register FHWA Risk Assessment Capital Governance Operating Enterprise Agency Risk Register 8 Enterprise Agency Risk Register

Documents

Risk Management of Enterprise Mobility - Cyber - Risk... · Risk management of enterprise mobility Potential benefits of enterprise mobility Potential benefits of enterprise mobility

Risk Management of Enterprise Mobility - Cyber - Risk... · Risk management of enterprise mobility Potential benefits of enterprise mobility Potential benefits of enterprise mobility

Documents