Apa itu manajemen risiko informasi?
Manajemen menyiratkan seseorang secara proaktif mengidentifikasi, menilai, mengevaluasi dan menangani risiko secara terus menerus, bersamaan dengan aspek tata kelola terkait seperti arahan, kontrol, otorisasi dan sumber proses.
Resiko, dalam konteks ini, adalah kemungkinan bahaya.
Informasi adalah makna atau pengetahuan berharga yang kita dapatkan dari data, dengan kata lain isi file komputer, dokumen, percakapan, keahlian, kekayaan intelektual dan sebagainya.
Tahap pertama prosesnya adalah mengidentifikasi risiko informasi potensial. Beberapa faktor atau sumber informasi masuk ke langkah Identifikasi, termasuk:
- Kerentanan adalah kelemahan yang melekat dalam fasilitas, teknologi, proses (termasuk pengelolaan risiko informasi itu sendiri!), Orang dan hubungan, beberapa di antaranya bahkan tidak dikenali;
- Ancaman adalah pelaku (orang dalam dan orang luar) dan kejadian alam yang mungkin menyebabkan insiden jika mereka bertindak berdasarkan kerentanan yang menyebabkan dampak.
- Aset, khususnya, aset informasi, khususnya konten informasi yang berharga, tetapi juga, pada tingkat yang lebih rendah, kapal penyimpanan, perangkat keras komputer, dan lain-lain, yang banyak komoditasnya relatif murah akhir-akhir ini.
- Dampak atau konsekuensi berbahaya dari insiden dan bencana yang mempengaruhi aset, merusak organisasi dan kepentingan bisnisnya, dan seringkali pihak ketiga.
- Insiden berkisar dalam skala kecil, kejadian sepele atau tidak penting sampai bencana, bencana dan bencana langsung
Penasehat, standar, dll. Mengacu pada peringatan dan saran yang relevan yang dikeluarkan oleh berbagai organisasi seperti CERT, FBI, ISO / IEC, wartawan, vendor teknologi ditambah profesional risiko dan keamanan informasi (jaringan sosial kami).
Tahap evaluasi menilai melibatkan mempertimbangkan / menilai semua informasi tersebut untuk menentukan signifikansi berbagai risiko, yang pada gilirannya mendorong prioritas untuk tahap berikutnya. Keluhan atau toleransi organisasi terhadap risiko merupakan perhatian utama di sini, yang mencerminkan strategi dan kebijakan perusahaan serta pembela budaya dan sikap pribadi orang-orang yang terlibat dalam kegiatan pengelolaan risiko.
Menangani perubahan mungkin tampak jelas namun disebut pada diagram karena kepentingannya. Risiko informasi terus berubah, sebagian sebagai hasil dari perawatan risiko, sebagian karena berbagai faktor lain baik di dalam maupun di luar organisasi.
Metode analisis resiko informasi manakah yang bisa kita gunakan?
Banyak metode dan metode analisis risiko informasi yang berbeda ada (lihat daftar di bawah untuk pemula), dalam dua kelompok utama yang memiliki karakteristik serupa: metode kuantitatif (matematis) dan kualitatif (eksperiensial). Tak satu pun dari mereka, tidak satu pun, secara eksplisit diminta atau direkomendasikan oleh standar ISO 27001 yang memberikan beberapa panduan namun membiarkan pilihan metode / s ke pengguna, tergantung pada persyaratan dan faktor mereka seperti keakraban mereka dengan metode tertentu. Jadi kepatuhan tidak benar-benar menjadi faktor pilihan, kecuali dalam pengertian yang paling umum.
itu bisa diterima/ disarankan bahkan, bagi sebuah organisasi untuk menggunakan beberapa metode analisis risiko. Mungkin masuk akal untuk menggunakan metode ikhtisar tingkat tinggi yang sederhana untuk mengidentifikasi aspek-aspek yang menjadi perhatian, dan kemudian beralih ke metode mendalam lainnya yang lebih terperinci untuk memeriksa aspek-aspek tertentu. sepenuhnya.
Selanjutnya, beberapa metode analisis risiko disukai oleh para ahli dalam fungsi seperti audit, manajemen risiko, kesehatan dan keselamatan, pengujian penetrasi, desain dan pengujian aplikasi, dan manajemen kesinambungan bisnis: tidak ada manfaat nyata dalam memaksa mereka untuk meninggalkan metode favorit mereka. dan alat hanya untuk menyesuaikan diri dengan ISO 27001. Kenyataannya, perspektif, pengalaman dan wawasan yang berbeda yang dapat dilakukan oleh alat dan alat ini bisa sangat berharga (misalnya, orang-orang yang peduli kesehatan dan keselamatan menilai "bahaya" dengan menggunakan metode yang sangat mirip dengan kita, sementara yang kritis terhadap keselamatan secara konseptual sama dengan bisnis penting).
Satu hal yang perlu diperhatikan, bagaimana cara mengatasi perbedaan yang tak terelakkan dalam hasil dari metode yang berbeda. Kebijakan kasar seperti "Pilih mana yang merekomendasikan kontrol yang paling tidak mahal dan kurangi risiko yang nyata" tidak lebih baik daripada "Pilih yang paling komprehensif dan kurangi semua risikonya". Analisis hanyalah alat pendukung keputusan untuk memandu manajemen, yang masih perlu membuat keputusan penting mengenai seberapa besar investasi keamanan sesuai, berapa banyak risiko yang dapat ditoleransi, berapa banyak kepastian yang benar-benar dibutuhkan dalam proses pengambilan keputusan, dan kapan harus membuat keputusan perbaikan keamanan informasi yang dibutuhkan Mengatasi dilema semacam itu membutuhkan visi dan pengalaman manajemen, ditambah dengan analisis / saran ahli dan naluri. Semoga berhasil dan jangan mengabaikan rencana kontingensi Anda!
Bagaimana kita memilih alat atau metode analisis risiko?
Pertama daftar dan lihatlah metode dan alat yang tersedia, pikirkan baik-baik tentang kebutuhan Anda. Apa yang Anda harapkan metode atau alat untuk mencapainya? Faktor dan / atau fitur mana yang paling penting? Adakah hal-hal yang Anda inginkan dari metode atau alat yang Anda pilih yang tidak boleh dilakukan (misal: melahap sumber daya terbatas yang berlebihan)? Pertimbangkan aspek di bawah judul seperti:
- Kuantitatif atau kualitatif: pendapat bervariasi mengenai nilai relatif metode kuantitatif versus kualitatif. Beberapa pakar keamanan informasi atau manajemen risiko akan merekomendasikan analisis risiko informasi kuantitatif secara benar-benar kuantitatif dalam segala situasi karena kurangnya data yang dapat dipercaya mengenai insiden (probabilitas dan dampak), walaupun dapat berpotensi berguna dalam situasi yang lebih sempit. Salah satu solusi untuk dilema ini adalah dengan menggunakan penilaian risiko kualitatif cepat / sederhana yang diikuti oleh analisis risiko pada area 'risiko tinggi' terpilih dengan menggunakan metode kualitatif atau kuantitatif yang lebih rinci;
- Lingkup: apakah Anda benar-benar melihat "risiko informasi" atau risiko secara lebih luas, dan apa yang sebenarnya Anda maksud dengan "risiko informasi": apakah Anda benar-benar khawatir dengan risiko terhadap aset informasi, atau risiko bisnis yang terjadi dengan melibatkan informasi , atau sesuatu yang lain? Selanjutnya, aset informasi mana yang anda minati? Pertanyaan-pertanyaan ini sangat terkait dengan lingkup ISMS Anda dan perlu dipangkas oleh manajemen untuk menyusun Pernyataan Penerapan Anda (SoA);
- Scaleability: apakah Anda ingin mendukung analisis risiko yang relatif sederhana untuk satu proses atau sistem TI, analisis keseluruhan organisasi, atau semua hal di atas? Apakah Anda akan menyelesaikan analisis hanya sekali atau berulang kali, dan jika demikian seberapa sering? Jika Anda bermaksud mengumpulkan dan menganalisis sejumlah besar data dari waktu ke waktu, Anda mungkin lebih memilih alat berdasarkan basis data daripada spreadsheet;
- Maintainability and support: beberapa metode menggunakan perangkat lunak pendukung keputusan yang cerdas untuk mendukung analisis yang dilakukan, sementara yang lain bersifat prosedural atau dapat didukung oleh alat generik seperti spreadsheet. Jelas, oleh karena itu, mereka berbeda dalam jumlah keahlian teknis yang dibutuhkan untuk menginstal, mengkonfigurasi dan merawatnya. Alat yang ditanam di rumah bisa lebih mudah dan murah dimodifikasi sesuai dengan pengalaman Anda dibandingkan dengan alat komersial (setidaknya sampai pengembang asli berangkat, kecuali jika dia melakukan upaya sadar untuk mendokumentasikan sistem!) Sedangkan alat komersial cenderung jas dan lebih dipoles. Perangkat lunak komersial yang memiliki fleksibilitas sebagai tujuan perancangan kunci dapat memberikan yang terbaik dari kedua dunia;
- Kegunaan: beberapa metode dan alat mengarahkan pengguna melalui proses analisis risiko selangkah demi selangkah, sedangkan yang lainnya lebih bebas-bentuk tapi bisa dibilang mengasumsikan lebih banyak pengetahuan dan keahlian pengguna. Beberapa upaya untuk mengurangi fase pengumpulan informasi ke kuesioner penyelesaian mandiri yang sederhana untuk spesialis non-spesialis risiko, yang lain memerlukan analis risiko yang kompeten untuk mengumpulkan data;
Nilai: dengan ini berarti manfaat bagi organisasi Anda dari alat ini, diimbangi oleh biaya untuk memperoleh, menggunakan dan merawat alat ini. Harga beli hanya satu faktor. Alat mahal mungkin sepenuhnya sesuai untuk organisasi yang akan mendapatkan banyak nilai dari fitur tambahan. Alat yang murah atau gratis mungkin terbukti mahal untuk dipelajari, sulit digunakan dan terbatas pada fitur yang ditawarkannya ... atau mungkin sangat ideal untuk Anda. Penilaian nilai dan pemilihan akhir Anda adalah hasil akhir dari proses evaluasi. Anda bahkan mungkin memutuskan untuk mengadopsi lebih dari satu untuk situasi dan tujuan yang berbeda!
Dapatkan Diskon Nya Hingga 25% Mulai Tanggal 25 Febuary s/d 10 Maret.
Hubungi Untuk Info Lebih Lanjut :
Ibu Jessica Amanda
Manager Development - BSU Konsultan
PT Bintang Solusi Utama
Alamat : Indonesia Stock Exchange Building, Tower 2 Lantai 17, Jl. Jend. Sudirman No.Kav 52-53,, RT.5/RW.3, Senayan, Kby. Baru, Kota Jakarta Selatan, Daerah Khusus Ibukota Jakarta 12190
Telpon Kantor : 021 5291-7466
Handphone : +62 812-1000-3431 (Telkomsel)
Whats App : +62 813-2000-8163 (Telkomsel)
Website Resmi 1 : bintangsolusiutama.com
Website Resmi 2 : bsukonsultan.com
Email 1 : Konsultan ISOTerbaik@gmail.com
Email 2 : info@bintangsolusiutama.com
Email 3 : info@bsukonsultan.com
Manajemen menyiratkan seseorang secara proaktif mengidentifikasi, menilai, mengevaluasi dan menangani risiko secara terus menerus, bersamaan dengan aspek tata kelola terkait seperti arahan, kontrol, otorisasi dan sumber proses.
Resiko, dalam konteks ini, adalah kemungkinan bahaya.
Informasi adalah makna atau pengetahuan berharga yang kita dapatkan dari data, dengan kata lain isi file komputer, dokumen, percakapan, keahlian, kekayaan intelektual dan sebagainya.
Tahap pertama prosesnya adalah mengidentifikasi risiko informasi potensial. Beberapa faktor atau sumber informasi masuk ke langkah Identifikasi, termasuk:
- Kerentanan adalah kelemahan yang melekat dalam fasilitas, teknologi, proses (termasuk pengelolaan risiko informasi itu sendiri!), Orang dan hubungan, beberapa di antaranya bahkan tidak dikenali;
- Ancaman adalah pelaku (orang dalam dan orang luar) dan kejadian alam yang mungkin menyebabkan insiden jika mereka bertindak berdasarkan kerentanan yang menyebabkan dampak.
- Aset, khususnya, aset informasi, khususnya konten informasi yang berharga, tetapi juga, pada tingkat yang lebih rendah, kapal penyimpanan, perangkat keras komputer, dan lain-lain, yang banyak komoditasnya relatif murah akhir-akhir ini.
- Dampak atau konsekuensi berbahaya dari insiden dan bencana yang mempengaruhi aset, merusak organisasi dan kepentingan bisnisnya, dan seringkali pihak ketiga.
- Insiden berkisar dalam skala kecil, kejadian sepele atau tidak penting sampai bencana, bencana dan bencana langsung
Penasehat, standar, dll. Mengacu pada peringatan dan saran yang relevan yang dikeluarkan oleh berbagai organisasi seperti CERT, FBI, ISO / IEC, wartawan, vendor teknologi ditambah profesional risiko dan keamanan informasi (jaringan sosial kami).
Tahap evaluasi menilai melibatkan mempertimbangkan / menilai semua informasi tersebut untuk menentukan signifikansi berbagai risiko, yang pada gilirannya mendorong prioritas untuk tahap berikutnya. Keluhan atau toleransi organisasi terhadap risiko merupakan perhatian utama di sini, yang mencerminkan strategi dan kebijakan perusahaan serta pembela budaya dan sikap pribadi orang-orang yang terlibat dalam kegiatan pengelolaan risiko.
Menangani perubahan mungkin tampak jelas namun disebut pada diagram karena kepentingannya. Risiko informasi terus berubah, sebagian sebagai hasil dari perawatan risiko, sebagian karena berbagai faktor lain baik di dalam maupun di luar organisasi.
Metode analisis resiko informasi manakah yang bisa kita gunakan?
Banyak metode dan metode analisis risiko informasi yang berbeda ada (lihat daftar di bawah untuk pemula), dalam dua kelompok utama yang memiliki karakteristik serupa: metode kuantitatif (matematis) dan kualitatif (eksperiensial). Tak satu pun dari mereka, tidak satu pun, secara eksplisit diminta atau direkomendasikan oleh standar ISO 27001 yang memberikan beberapa panduan namun membiarkan pilihan metode / s ke pengguna, tergantung pada persyaratan dan faktor mereka seperti keakraban mereka dengan metode tertentu. Jadi kepatuhan tidak benar-benar menjadi faktor pilihan, kecuali dalam pengertian yang paling umum.
itu bisa diterima/ disarankan bahkan, bagi sebuah organisasi untuk menggunakan beberapa metode analisis risiko. Mungkin masuk akal untuk menggunakan metode ikhtisar tingkat tinggi yang sederhana untuk mengidentifikasi aspek-aspek yang menjadi perhatian, dan kemudian beralih ke metode mendalam lainnya yang lebih terperinci untuk memeriksa aspek-aspek tertentu. sepenuhnya.
Selanjutnya, beberapa metode analisis risiko disukai oleh para ahli dalam fungsi seperti audit, manajemen risiko, kesehatan dan keselamatan, pengujian penetrasi, desain dan pengujian aplikasi, dan manajemen kesinambungan bisnis: tidak ada manfaat nyata dalam memaksa mereka untuk meninggalkan metode favorit mereka. dan alat hanya untuk menyesuaikan diri dengan ISO 27001. Kenyataannya, perspektif, pengalaman dan wawasan yang berbeda yang dapat dilakukan oleh alat dan alat ini bisa sangat berharga (misalnya, orang-orang yang peduli kesehatan dan keselamatan menilai "bahaya" dengan menggunakan metode yang sangat mirip dengan kita, sementara yang kritis terhadap keselamatan secara konseptual sama dengan bisnis penting).
Satu hal yang perlu diperhatikan, bagaimana cara mengatasi perbedaan yang tak terelakkan dalam hasil dari metode yang berbeda. Kebijakan kasar seperti "Pilih mana yang merekomendasikan kontrol yang paling tidak mahal dan kurangi risiko yang nyata" tidak lebih baik daripada "Pilih yang paling komprehensif dan kurangi semua risikonya". Analisis hanyalah alat pendukung keputusan untuk memandu manajemen, yang masih perlu membuat keputusan penting mengenai seberapa besar investasi keamanan sesuai, berapa banyak risiko yang dapat ditoleransi, berapa banyak kepastian yang benar-benar dibutuhkan dalam proses pengambilan keputusan, dan kapan harus membuat keputusan perbaikan keamanan informasi yang dibutuhkan Mengatasi dilema semacam itu membutuhkan visi dan pengalaman manajemen, ditambah dengan analisis / saran ahli dan naluri. Semoga berhasil dan jangan mengabaikan rencana kontingensi Anda!
Bagaimana kita memilih alat atau metode analisis risiko?
Pertama daftar dan lihatlah metode dan alat yang tersedia, pikirkan baik-baik tentang kebutuhan Anda. Apa yang Anda harapkan metode atau alat untuk mencapainya? Faktor dan / atau fitur mana yang paling penting? Adakah hal-hal yang Anda inginkan dari metode atau alat yang Anda pilih yang tidak boleh dilakukan (misal: melahap sumber daya terbatas yang berlebihan)? Pertimbangkan aspek di bawah judul seperti:
- Kuantitatif atau kualitatif: pendapat bervariasi mengenai nilai relatif metode kuantitatif versus kualitatif. Beberapa pakar keamanan informasi atau manajemen risiko akan merekomendasikan analisis risiko informasi kuantitatif secara benar-benar kuantitatif dalam segala situasi karena kurangnya data yang dapat dipercaya mengenai insiden (probabilitas dan dampak), walaupun dapat berpotensi berguna dalam situasi yang lebih sempit. Salah satu solusi untuk dilema ini adalah dengan menggunakan penilaian risiko kualitatif cepat / sederhana yang diikuti oleh analisis risiko pada area 'risiko tinggi' terpilih dengan menggunakan metode kualitatif atau kuantitatif yang lebih rinci;
- Lingkup: apakah Anda benar-benar melihat "risiko informasi" atau risiko secara lebih luas, dan apa yang sebenarnya Anda maksud dengan "risiko informasi": apakah Anda benar-benar khawatir dengan risiko terhadap aset informasi, atau risiko bisnis yang terjadi dengan melibatkan informasi , atau sesuatu yang lain? Selanjutnya, aset informasi mana yang anda minati? Pertanyaan-pertanyaan ini sangat terkait dengan lingkup ISMS Anda dan perlu dipangkas oleh manajemen untuk menyusun Pernyataan Penerapan Anda (SoA);
- Scaleability: apakah Anda ingin mendukung analisis risiko yang relatif sederhana untuk satu proses atau sistem TI, analisis keseluruhan organisasi, atau semua hal di atas? Apakah Anda akan menyelesaikan analisis hanya sekali atau berulang kali, dan jika demikian seberapa sering? Jika Anda bermaksud mengumpulkan dan menganalisis sejumlah besar data dari waktu ke waktu, Anda mungkin lebih memilih alat berdasarkan basis data daripada spreadsheet;
- Maintainability and support: beberapa metode menggunakan perangkat lunak pendukung keputusan yang cerdas untuk mendukung analisis yang dilakukan, sementara yang lain bersifat prosedural atau dapat didukung oleh alat generik seperti spreadsheet. Jelas, oleh karena itu, mereka berbeda dalam jumlah keahlian teknis yang dibutuhkan untuk menginstal, mengkonfigurasi dan merawatnya. Alat yang ditanam di rumah bisa lebih mudah dan murah dimodifikasi sesuai dengan pengalaman Anda dibandingkan dengan alat komersial (setidaknya sampai pengembang asli berangkat, kecuali jika dia melakukan upaya sadar untuk mendokumentasikan sistem!) Sedangkan alat komersial cenderung jas dan lebih dipoles. Perangkat lunak komersial yang memiliki fleksibilitas sebagai tujuan perancangan kunci dapat memberikan yang terbaik dari kedua dunia;
- Kegunaan: beberapa metode dan alat mengarahkan pengguna melalui proses analisis risiko selangkah demi selangkah, sedangkan yang lainnya lebih bebas-bentuk tapi bisa dibilang mengasumsikan lebih banyak pengetahuan dan keahlian pengguna. Beberapa upaya untuk mengurangi fase pengumpulan informasi ke kuesioner penyelesaian mandiri yang sederhana untuk spesialis non-spesialis risiko, yang lain memerlukan analis risiko yang kompeten untuk mengumpulkan data;
Nilai: dengan ini berarti manfaat bagi organisasi Anda dari alat ini, diimbangi oleh biaya untuk memperoleh, menggunakan dan merawat alat ini. Harga beli hanya satu faktor. Alat mahal mungkin sepenuhnya sesuai untuk organisasi yang akan mendapatkan banyak nilai dari fitur tambahan. Alat yang murah atau gratis mungkin terbukti mahal untuk dipelajari, sulit digunakan dan terbatas pada fitur yang ditawarkannya ... atau mungkin sangat ideal untuk Anda. Penilaian nilai dan pemilihan akhir Anda adalah hasil akhir dari proses evaluasi. Anda bahkan mungkin memutuskan untuk mengadopsi lebih dari satu untuk situasi dan tujuan yang berbeda!
Dapatkan Diskon Nya Hingga 25% Mulai Tanggal 25 Febuary s/d 10 Maret.
Hubungi Untuk Info Lebih Lanjut :
Ibu Jessica Amanda
Manager Development - BSU Konsultan
PT Bintang Solusi Utama
Alamat : Indonesia Stock Exchange Building, Tower 2 Lantai 17, Jl. Jend. Sudirman No.Kav 52-53,, RT.5/RW.3, Senayan, Kby. Baru, Kota Jakarta Selatan, Daerah Khusus Ibukota Jakarta 12190
Telpon Kantor : 021 5291-7466
Handphone : +62 812-1000-3431 (Telkomsel)
Whats App : +62 813-2000-8163 (Telkomsel)
Website Resmi 1 : bintangsolusiutama.com
Website Resmi 2 : bsukonsultan.com
Email 1 : Konsultan ISOTerbaik@gmail.com
Email 2 : info@bintangsolusiutama.com
Email 3 : info@bsukonsultan.com
Komentar
Posting Komentar