π’ 1. Pendahuluan
Setelah organisasi berhasil mengidentifikasi berbagai risiko teknologi informasi, langkah berikutnya adalah melakukan analisis dan penilaian risiko. Tahapan ini sangat penting karena membantu organisasi menentukan:
- Risiko mana yang paling berbahaya
- Risiko mana yang harus ditangani terlebih dahulu
- Besarnya dampak kerugian
- Tingkat prioritas pengendalian
Analisis risiko membantu organisasi mengambil keputusan secara tepat dalam mengelola keamanan sistem informasi.
π Narasi
Bayangkan sebuah universitas memiliki dua risiko:
- Printer laboratorium rusak
- Database mahasiswa diretas
Kedua risiko tersebut tentu memiliki tingkat dampak yang berbeda. Analisis risiko digunakan untuk menentukan risiko mana yang lebih kritis dan membutuhkan penanganan prioritas.
πΌοΈ Ilustrasi Analisis Risiko
12
π’ 2. Pengertian Analisis Risiko
π Definisi
Analisis risiko adalah proses mengevaluasi kemungkinan terjadinya risiko dan dampaknya terhadap organisasi.
Tujuan utama analisis risiko:
- Mengukur tingkat risiko
- Menentukan prioritas risiko
- Membantu pengambilan keputusan
- Menentukan kontrol keamanan
π Narasi
Analisis risiko seperti dokter yang memeriksa tingkat keparahan penyakit pasien sebelum menentukan tindakan pengobatan.
π’ 3. Pengertian Penilaian Risiko
π Definisi
Penilaian risiko (risk assessment) adalah proses keseluruhan yang meliputi:
- Identifikasi risiko
- Analisis risiko
- Evaluasi risiko
π Tujuan Penilaian Risiko
- Mengetahui risiko paling kritis
- Mengurangi ancaman keamanan
- Menentukan strategi mitigasi
- Menjamin keamanan informasi
πΌοΈ Diagram Risk Assessment
6
π’ 4. Komponen Analisis Risiko
π‘ A. Likelihood (Kemungkinan)
π Definisi
Kemungkinan suatu risiko akan terjadi.
Contoh:
- Serangan hacker sering terjadi β likelihood tinggi
- Gempa bumi jarang terjadi β likelihood rendah
π‘ B. Impact (Dampak)
π Definisi
Besarnya kerugian jika risiko terjadi.
Contoh:
- Data mahasiswa bocor β dampak tinggi
- Printer rusak β dampak rendah
π‘ C. Risk Level (Tingkat Risiko)
π Definisi
Gabungan antara likelihood dan impact.
π Rumus Dasar Risiko
Risk=LikelihoodΓImpact
π Narasi
Semakin tinggi kemungkinan dan dampak suatu ancaman, maka semakin tinggi tingkat risikonya.
π Tabel Komponen Risiko
| Komponen | Penjelasan |
|---|---|
| Likelihood | Kemungkinan risiko terjadi |
| Impact | Besarnya kerugian |
| Risk Level | Tingkat risiko akhir |
π’ 5. Metode Analisis Risiko
π‘ A. Analisis Risiko Kualitatif
π Definisi
Analisis menggunakan kategori deskriptif seperti:
- Rendah
- Sedang
- Tinggi
π Karakteristik
- Cepat dilakukan
- Mudah dipahami
- Tidak membutuhkan data angka detail
π Contoh Analisis Kualitatif
| Risiko | Kemungkinan | Dampak | Level |
|---|---|---|---|
| Virus komputer | Tinggi | Sedang | Tinggi |
| Mati listrik | Sedang | Tinggi | Tinggi |
| Printer rusak | Rendah | Rendah | Rendah |
π‘ B. Analisis Risiko Kuantitatif
π Definisi
Analisis menggunakan data numerik atau angka statistik.
π Karakteristik
- Lebih akurat
- Membutuhkan data historis
- Digunakan pada organisasi besar
π Contoh Analisis Kuantitatif
| Risiko | Kerugian | Probabilitas | Nilai Risiko |
|---|---|---|---|
| Kebocoran data | Rp100.000.000 | 50% | Rp50.000.000 |
| Kerusakan server | Rp20.000.000 | 30% | Rp6.000.000 |
πΌοΈ Ilustrasi Analisis Risiko
6
π’ 6. Matriks Risiko (Risk Matrix)
π Pengertian
Matriks risiko digunakan untuk menentukan tingkat prioritas risiko berdasarkan:
- Kemungkinan
- Dampak
π Matriks Risiko
| Dampak / Kemungkinan | Rendah | Sedang | Tinggi |
|---|---|---|---|
| Rendah | Low | Low | Medium |
| Sedang | Low | Medium | High |
| Tinggi | Medium | High | Critical |
π Narasi
Risiko yang berada pada kategori βCriticalβ harus segera ditangani karena dapat mengganggu operasional organisasi secara serius.
πΌοΈ Diagram Heatmap Risiko
7
π’ 7. Penentuan Prioritas Risiko
π Tujuan Prioritas Risiko
Organisasi tidak selalu mampu menangani seluruh risiko sekaligus. Oleh karena itu perlu menentukan prioritas berdasarkan tingkat bahaya.
π Kategori Prioritas
| Level Risiko | Prioritas |
|---|---|
| Critical | Sangat tinggi |
| High | Tinggi |
| Medium | Sedang |
| Low | Rendah |
π Narasi
Kebocoran database pelanggan tentu lebih prioritas dibanding kerusakan printer kantor.
π’ 8. Teknik Penilaian Risiko
π‘ A. Checklist Assessment
Menggunakan daftar pemeriksaan keamanan.
π‘ B. Interview
Wawancara dengan staf TI dan pengguna.
π‘ C. Observasi
Mengamati kondisi sistem secara langsung.
π‘ D. Vulnerability Assessment
Mencari kelemahan sistem menggunakan tools keamanan.
π Tabel Teknik Penilaian
| Teknik | Fungsi |
|---|---|
| Checklist | Pemeriksaan standar |
| Interview | Menggali informasi |
| Observasi | Pemeriksaan langsung |
| Vulnerability Assessment | Analisis kelemahan |
π’ 9. Risk Register
π Pengertian
Risk Register adalah dokumen yang berisi daftar risiko beserta tingkat prioritasnya.
π Contoh Risk Register
| No | Risiko | Likelihood | Impact | Level |
|---|---|---|---|---|
| 1 | Hacker | Tinggi | Tinggi | Critical |
| 2 | Virus | Sedang | Tinggi | High |
| 3 | Printer rusak | Rendah | Rendah | Low |
π’ 10. Framework Penilaian Risiko
π Framework yang Digunakan
| Framework | Fungsi |
|---|---|
| ISO 31000 | Manajemen risiko |
| ISO 27005 | Risiko keamanan informasi |
| NIST RMF | Penilaian risiko siber |
| COBIT | Tata kelola TI |
πΌοΈ Ilustrasi Framework Risiko
5
π’ 11. Studi Kasus
π Kasus: Sistem Akademik Kampus
Risiko:
- Database diretas
- Website down
- Kehilangan data
Analisis Risiko
| Risiko | Likelihood | Impact | Level |
|---|---|---|---|
| Database diretas | Tinggi | Tinggi | Critical |
| Website down | Sedang | Sedang | Medium |
| Printer rusak | Rendah | Rendah | Low |
Solusi:
- Firewall
- Backup rutin
- Password policy
- Audit keamanan berkala
πΌοΈ Ilustrasi Sistem Kampus Digital
7
π’ 12. Tutorial Praktikum
π» Praktikum Analisis Risiko Sistem Informasi
π Tujuan
Mahasiswa mampu melakukan analisis dan penilaian risiko sederhana.
π‘ Langkah Praktikum
1. Tentukan Sistem
Contoh:
- Website kampus
- Sistem perpustakaan
- E-learning
2. Identifikasi Risiko
| Risiko |
|---|
| Hacker |
| Virus |
| Mati listrik |
3. Tentukan Likelihood
| Risiko | Likelihood |
|---|---|
| Hacker | Tinggi |
| Mati listrik | Sedang |
4. Tentukan Impact
| Risiko | Impact |
|---|---|
| Hacker | Tinggi |
| Virus | Sedang |
5. Tentukan Level Risiko
Gunakan matriks risiko untuk menentukan prioritas.
π Contoh Hasil Praktikum
| Risiko | Likelihood | Impact | Level |
|---|---|---|---|
| Hacker | Tinggi | Tinggi | Critical |
| Virus | Sedang | Sedang | Medium |
π’ 13. Latihan dan Diskusi
π― Diskusi
1.
Mengapa organisasi perlu melakukan analisis risiko?
2.
Apa perbedaan analisis kualitatif dan kuantitatif?
3.
Mengapa likelihood dan impact sangat penting dalam penilaian risiko?
π― Latihan Soal
π Pilihan Ganda
1.
Komponen utama analisis risiko adalahβ¦
- A. Printer dan scanner
- B. Likelihood dan impact
- C. Password dan username
- D. Firewall dan switch
β Jawaban: B
2.
Dokumen daftar risiko disebutβ¦
- A. Database
- B. Firewall
- C. Risk Register
- D. SOP
β Jawaban: C
π Essay
- Jelaskan pengertian analisis risiko!
- Apa perbedaan risiko kualitatif dan kuantitatif?
- Jelaskan fungsi matriks risiko!
π’ 14. Kesimpulan
Analisis dan penilaian risiko merupakan proses penting dalam manajemen risiko sistem informasi. Tahapan ini membantu organisasi:
- Mengetahui tingkat bahaya risiko
- Menentukan prioritas pengendalian
- Mengurangi ancaman keamanan
- Menjaga keberlangsungan bisnis
Dengan analisis risiko yang baik, organisasi dapat mengambil keputusan keamanan TI secara lebih efektif dan terukur.
