Pendahuluan IT Risk Managemen

Menurut Committee on National Security Systems (sebuah departemen di negara
Amerika yang bertanggung jawab terhadap system keamanan dunia maya), information
security atau keamanan system informasi adalah perlindungan informasi dan elemen
elemennya termasuk system dan perangkat kerasnya. Jika dihubungkan dengan goal
dari information security, yaitu confidentiality, integrity dan availability (dikenal dengan
segitiga CIA), maka information security adalah sebuah perlindungan informasi dari
confidentiality, integrity dan availability pada saat informasi tersebut sedang di proses,
di transmisikan, ataupun dalam penyimpanannya. Dalam hal ini, yang dimaksud segi
tiga CIA adalah:
 Confidentiality, yaitu proses untuk mengamankan dan memastikan bahwa hanya
orang yang berhak saja yang dapat mengakses informasi tertentu. Informasi ini
berkaitan dengan data personal dan dan bersifat rahasia. Data personal lebih
berkaitan dengan data pribadi, sedang data yang bersifat rahasia lebih berkaitan
dengan data yang dimiliki oleh suatu organisasi.
 Integrity, yaitu sebuah jaminan bahwa semua data tersedia dalam keadaan utuh
dan lengkap sesuai apa adanya. Menjamin bahwa data tersebut tidak dapat
dimodifikasi oleh orang yang tidak berhak.
 Availability, yaitu usaha supaya data akan dapat diakses setiap saat, tanpa
delay, dan tersedia dengan utuh tanpa cacat.
Jenis-jenis ancaman
Menurut Whitman dalam bukunya Principles of Incident Response and Disaster
Recovery, faktor faktor atau ancaman ancaman yang dapat mengganggu tujuan dari
information security ini adalah:
1. Kesalahan manusia (Acts of human error or failure): ancaman karena kesalahan
manusia di mana kejadian tersebut bukan disengaja atau tanpa maksud jahat.2. HAKI (Compromises to intellectual property (IP)): ancaman dari pelanggaran
dalam penggunaan HAKI seperti hak cipta, rahasia dagang, merek dagang, hak
paten. Pelanggaran HAKI yang paling umum adalah pembajakan perangkat
lunak.
3. Pelanggaran yang disengaja (Deliberate acts of trespass): mengakses secara
tidak sah ke informasi yang bersifat rahasia dan pribadi. Contohnya seorang
hacker menggunakan perangkat lunak untuk mendapatkan akses ke informasi
secara ilegal.
4. Tindakan untuk tujuan pemerasan: menuntut kompensasi untuk mengembalikan
rahasia informasi yang diperoleh oleh penyerang.
5. Tindakan disengaja untuk sabotase atau vandalisme: Upaya untuk
menghancurkan aset atau merusak citra organisasi.
6. Tindakan pencurian yang disengaja: mengambil barang orang lain secara illegal.
7. Serangan dengan perangkat lunak: perangkat lunak yang berbahaya yang
dirancang untuk merusak, menghancurkan, atau menolak layanan ke system,
termasuk virus, worm, trojan horse, backdoors, serangan DoS, dan distributed
denial of service (DDoS).
8. Kejadian alam: Tak terduga dan sering tidak dapat diramalkan, termasuk
kebakaran, banjir, gempa bumi, petir, badai, letusan gunung berapi, serangan
serangga.Dapat juga mempengaruhi personil serta peralatan.
9. Penyimpangan dalam kualitas pelayanan, oleh penyedia layanan. Produk atau
jasa terhenti atau tidak dapat berjalan sebagai mana mestinya. (listrik, air,
bandwidth jaringan, dll).
10.Kerusakan atau kesalahan teknis dari peralatan: Cacat bawaan peralatan yang
menyebabkan sistem bekerja tidak sesuai dengan diharapkan, menyebabkan
layanan tidak dapat diberikan dengan baik atau kurangnya ketersediaan.
11.Kesalahan dan kegagalan Software:. Termasuk bug dan kondisi tertentu yang
belum teruji. Mungkin termasuk cara pintas (shortcut) yang sengaja dibuat oleh
programmer untuk alasan tertentu tetapi lupa untuk di hapus.
12.Teknik dan peralatan yang telah usang: infrastruktur yang sudah ketinggalan
jaman menyebabkan sistem tidak dapat diandalkan dan tidak dapat dipercaya.Risk Management
Sebagai bagian dari information security, risk management adalah proses untuk
mengindentifikasi resiko termasuk ancaman ancaman terhadap kelangsungan bisnis
perusahaan dan bagaimana cara mengontrol ancaman ancaman tersebut. Salah
satu program dari risk management adalah pembuatan dan penerapan contingency
planning. Sebelum berbicara contingency planning secara lebih dalam, maka harus
dipahami dulu konsep risk management.
Proses untuk mengindentifikasi risk dan mengontrol risk yang mungkin akan
terjadi disebut risk management.
Risk Identification:
– Process untuk mengindentifikasi dan membuat dokumen tentang semua
ancaman yang mungkin terjadi. Selanjutnya pada tahap ini juga dilakukan
risk assessment, yaitu sebuah proses untuk memilah milah mana
ancaman yang sangat berpotensial untuk merugikan dan mana yang
kemungkinan kecil dapat terjadi.
• Risk Control:
– Proses untuk mengontrol ancaman ancaman sehingga dapat mengurangi
atau menghilangkan akibat dari ancaman ancaman terhadap informasi.