Profil Profil Profil Profil Perusahaan Perusahaan Perusahaan Perusahaan
Menjadi perusahaan logistik terdepan di regional dan
terkemuka di Asia
Visi
Memberikan layanan logistik yang berkualitas tinggi
bagi pelanggan berkualitas
LayananLayananLayananLayanan PerusahaanPerusahaanPerusahaanPerusahaan
Risk Management Process in chart
Manajemen
Risiko
Manajemen
RisikoRisikoRisikoProses BisnisProses Bisnis
IT EnablerIT Enabler
1) Gangguan Core Business
Systems “IBC System”
2) Hilangnya Data Pelanggan,
Data Job Order & Data
Keuangan Akuntansi
3) Bencana Alam
1) Gangguan Core Business
Systems “IBC System”
2) Hilangnya Data Pelanggan,
Data Job Order & Data
Keuangan Akuntansi
3) Bencana Alam
Risks
Identification
Risks
Identification
Risks AnalysisRisks Analysis
Risks
Assessment
Risks
Assessment
Risks ResponseRisks Response
Roles and Responsibility
Direktur Utama
Menetapkan dan menyetujui kebijakan
serta mengkoordinasikan tugas masing-
masing direktur
Memberi laporan kepada pemegang
saham
Direktur Keuangandan Administrasi
Menyetujui dan menetapkan
kebijakan keuangan perusahaan
Merancang dan menyusunstrategi keuangan perusahaan
Direktur Operasional
Melakukan fungsi planning,
organization, actuating dan
controling operasional
perusahaan
Direktur marketing dan business
Melakukan fungsi planning,
organization, actuating dan
controling pada bidang bisnis
dan marketing perusahaan
Manajer TIBertanggung jawab terhadap
segala aspek ketersediaan
layanan TI
Risk Analysis/Assessment
1. Asset
Identification
1. Asset
Identification
2. Thread &
Vulnerability
Identification
2. Thread &
Vulnerability
Identification
3. Risk
Prioritization
3. Risk
Prioritization
4. Develop
Controls
4. Develop
Controls
5.
Monitoring
5.
Monitoring
Asset & Threat IdentificationAsset & Threat IdentificationAsset & Threat IdentificationAsset & Threat IdentificationAsset Category Asset Listing Highly Probable Probable Possible, but
Unlikely
Vital
1. Perangkat Server IBC1.Pemutusan aliran listrik
2.Bencana alam
2. IBC System
1.Virus
2.Hacker
3. Fraud
3. Data Pelanggan
1.Virus
2.hacker
3.Fraud
4. Data Keuangan dan
Akuntansi
1. Virus
2. Fraud
3. Hacker
5. Infrastruktur
1. Bencana alam
2. Pemutusan aliran listrik
3. Network attack
4. Hacker
6. Data Job Order
1. Virus
2. Fraud
3. Hacker
Important
1. Staff TI 1. Resign
2. Koneksi Internet 1. Sambungan
putus
2. Hacker
3. Virus
Secondary
1. Web Perusahaan 1. Hacker
2. Email System
1. Virus
2. Spam
3. Hacker
3. Voip 1. Sambungan
putus
Risk Risk Risk Risk PriorizationPriorizationPriorizationPriorization & Develop Control& Develop Control& Develop Control& Develop ControlAset Informasi
Penanggung
Jawab AsetRisiko
Kerawanan terhadap Aset
(Vulnerabilities)Ancaman
Inheren
Kontrol yang AdaDampak Kecenderungan
Nilai Risiko
Dasar
1 2 3 4 5 6 7 8
Perangkat Server
IBCIT Section Availibility
Ketersediaan listrik tidak
mencukupi,Bencana Alam,
Major Possible High
Disediakan genset
Jumlah UPS yang terbatas Pemutusan aliran listrik Asuransi
Kerusakan pada perangkat
Disediakan
perangkat
cadangan
Aplikasi IBC IT Section
Confidentiality Access Control Fraud
Major Possible High
Firewall Internal
AvailabilityCode program yang tidak
memenuhi prinsip keamananHacker
Prosedur keamanan
dalam coding
process (security)
IntegritySystem yang belum di-patch
VirusProses single sign-
on
Pegawai yang tidak puas
Data PelangganDepartemen
Marketing
Confidentiality Access Control Fraud
Major Possible High
Firewall Internal
Availability Proses back-up data per 6 bulanHacker
Proses single sign-
on
Input data yang salah Pegawai yang tidak puas
Data Keuangan dan
Akuntansi
Departemen
Keuangan
Confidentiality Access Control Fraud
Catastrophic Likely High
Firewall Internal
IntegrityProses back-up data per 6 bulan
HackerProses single sign-
on
Availability Input data yang salah Pegawai yang tidak puas
Data Job OrderDepartemen
Operational
Confidentiality, Access Control Fraud
Major Likely High
Firewall Internal
Availability Proses back-up data per 6 bulan HackerProses single sign-
on
Integrity Input data yang salah Pegawai yang tidak puas
Infrastruktur IT Section
Integrity
Access Control Bencana alam
Catastrophic Likely High
user passwordKetersediaan listrik yang tidak
mencukupiNetwork Attack
AuthenticationHacker Firewall Internal
Availability Peletakan perangkat yang tidak
pada tempatnya
Pemutusan aliran listrikDisediakan genset
Monitoring• Perusahaan berencana melakukan proses monitoring dan audit internal setiap
6 bulan, tetapi hingga saat ini belum pernah dilaksanakan.
Mitigasi Risiko
Risiko
Kecenderungan
Rare Unlikely Moderate Likely Certain
Dampak
Catastrophic High High High High High
Major Moderate Moderate High High High
Moderate Low Moderate Moderate High High
Minor Low Low Moderate Moderate High
Insignificant Low Low Low Moderate Moderate
Proses mitigasi risiko, dilakukan dengan 3 cara :
• Avoidance/Ignore : Menghindari atau menghilangkan kondisi yang memungkinkan risiko
untuk hadir sama sekali, biasanya dilakukan untuk risiko yang berdampak sangat besar
terhadap aset perusahaan.
• Acceptance : Menerima risiko atau mengakui keberadaan risiko dan kemudian berusaha
untuk meminimalisir dampak yang terjadi terhadap aset perusahaan.
• Deflection/Transfer : Mentransfer risiko, secara sebagian ataupun keseluruhan kepada
entitas, organisasi atau individu yang lain.
Aset InformasiPenanggung
Jawab AsetRisiko
Kerawanan
terhadap Aset
(Vulnerabilities)
Ancaman
InherenKontrol yang
Ada
Residual
Strategi MitigasiDampak
Kecenderungan
Nilai Risiko
DasarDampak
Kecenderungan
Nilai Risiko
Akhir
1 2 3 4 5 6 7 8 9 10 11 13
Perangkat Server
IBCDivisi TI Availibility
Ketersediaan
listrik tidak
mencukupi,
Bencana Alam,
Major Possible High
Disediakan
genset
Moderate Unlikely Moderate
Pembuatan DRC
(Data Recovery
Center)
Jumlah UPS yang
terbatas
Pemutusan
aliran listrikAsuransi
Kerusakan pada
perangkat
Disediakan
perangkat
cadangan
Aplikasi IBC Divisi TI
Confidentiality Access Control Fraud
Major Possible High
Firewall
Internal
Moderate Unlikely Moderate
Melakukan
update service
pack
Availability
Code program
yang tidak
memenuhi
prinsip
keamanan
Hacker
Prosedur
keamanan
dalam coding
process
(security)
IntegritySystem yang
belum di-patchVirus
Proses single
sign-on
Pegawai yang
tidak puas
Data PelangganDivisi
Marketing
Confidentiality Access Control Fraud
Major Possible High
Firewall
Internal
Moderate Unlikely Moderate
Melakukan
proses back-up
(mirroring,
archiving) secara
teraturAvailability
Proses back-up
data per 6 bulanHacker
Proses single
sign-on
Input data yang
salah
Pegawai yang
tidak puas
Data Keuangan
dan Akuntansi
Divisi
Keuangan
Confidentiality Access Control Fraud
Catastrophic Likely High
Firewall
Internal
Moderate Unlikely Moderate
Melakukan
proses back-up
(mirroring,
archiving) secara
teratur
IntegrityProses back-up
data per 6 bulanHacker
Proses single
sign-on
AvailabilityInput data yang
salah
Pegawai yang
tidak puas
Data Job OrderDivisi
Operational
Confidentiality, Access Control Fraud
Major Likely High
Firewall
Internal
Moderate Unlikely Moderate
Melakukan
proses back-up
(mirroring,
archiving) secara
teratur
AvailabilityProses back-up
data per 6 bulanHacker
Proses single
sign-on
IntegrityInput data yang
salah
Pegawai yang
tidak puas
Infrastruktur Divisi TI
Integrity
Access Control Bencana alam
Catastrophic Likely High
user password
Moderate Unlikely Moderate
Pembuatan
Redudancy
perangkat
infrastruktur
Ketersediaan
listrik yang tidak
mencukupi
Koneksi hilang
Availability
Peletakan
perangkat yang
tidak pada
tempatnya
Network
Attack Disediakan
gensetHacker
Specific Trends (Current) & Future TrendsSpecific Trends (Current) & Future TrendsSpecific Trends (Current) & Future TrendsSpecific Trends (Current) & Future Trends
Specific Trends (Current)
• PT Silkargo belum memiliki departemen manajemen pengendalian risiko
• Penanganan terhadap risiko yang muncul pada layanan TI sepenuhnya menjadi
tanggung jawab IT Section perusahaan.
• Apabila terjadi gangguan terhadap layanan TI, maka staff TI akan melakukan kontrol
terhadap gangguan tersebut secara ad-hoc, sesuai dengan kontrol yang yang telah
ditetapkan.
• Namun apabila staff TI perusahaan tidak dapat menyelesaikan masalah / gangguan
tersebut, maka langkah yang dilakukan melakukan eskalasi kepada Divisi Corporate IT
dalam hal ini divisi TI PT Samudera Indonesia Tbk (Holding Co) ataupun kepada vendor
yang terkait.
Future Trends
• Membangun departemen manajemen pengendalian risiko untuk melakukan kegiatan
manajemen risiko dengan menggunakan framework berdasarkan ISO/IEC 27001.
• Melakukan beberapa prosedur yang sesuai dengan framework ISO/IEC 27001 yang
dilakukan sebagai dasar pelaksanaan manajemen risiko yang disesuaikan dengan kondisi
serta proses bisnis yang ada di PT Silkargo Indonesia.
• Perlunya dibangun BCP (Business Continuity Plan) serta DRP (Disaster Recovery Plan)
pada perusahaan.
No Lingkup Prosedur yang dapat dilakukan oleh perusahaan
1. Security Policy Membuat kebijakan mengenai information security berdasarkan proses bisnis yang dikaitkan dengan aset pada pihak
internal dan pihak eksternal perusahaan.
2. Organization of Information Secuity Adanya komitmen dari pihak manajemen, pegawai serta pihak ketiga untuk menerapkan manajemen risiko baik aset fisik
maupun aset informasi.
3. Asset Management Melakukan pendataan seluruh aset di semua divisi/unit di perusahaan yang terkait dengan proses bisnis.
4. Human Resource Security Melakukan pelatihan terhadap kesadaran keamanan TI, screening terhadap karyawan baru, pemberian pembatasan hak
akses pegawai, memberikan peran dan tanggung jawab yang jelas kepada masing-masing individu terhadap keamanan
TI.
5. Physical dan Enviroment Security Melakukan pengamanan terhadap asset-aset fisik terutama yang terkait dengan aset fisik jaringan / infrastruktur
telekomunikasi, perancangan gedung fisik untuk datacenter yang disesuaikan dengan kondisi geografis yang ada.
6. Communication and Operations Melakukan monitoring terhadap keamanan proses bisnis yang terjadi, melakukan pengawasan terhadap kinerja IT,
membuat cadangan (back-up) serta enkripsi terhadap aset yang dianggap penting.
7. Access Control Melakukan pembatasan hak akses pada sistem serta pengamanan yang terhadap akses suatu lokasi.
8. Information System Aquition,
Development and Maintenance
Melakukan assurance terhadap aplikasi dan sistem baru, atau pada aplikasi dan sistem yang mengalami perubahan baik
dari sistem dan aplikasi dari pihak internal dan pihak eksternal.
9. Information Security Incident
Management
Melakukan pelaporan setiap terjadi insiden secara rutin dan melakukan rapat secara rutin
10. Business Continuity Melakukan kesiapan terhadap pusat data(datacenter) serta aset fisik yang berhubungan dengan jaringan/infrastruktur
apabila terjadi insiden
11. Complience Memastikan seluruh level dari manajemen patuh kepada pelaksanaan manajemen risiko TI yang ada serta memastikan
proses bisnis yang berhubungan dengan pihak-pihak ketiga terlaksana sesuai dengan peraturan dan perundangan yang
ada.
Future TrendsFuture TrendsFuture TrendsFuture Trends
Simpulan
• Manajemen pengendalian risiko keamanan informasi diperlukan oleh perusahaanuntuk melindungi jaringan maupun aset informasi yang ada pada perusahaanberdasarkan kebutuhan bisnis.
• Ruang lingkup manajemen risiko keamanan informasi meliputi people, process dantechnology yang ada didalam perusahaan. Serta berprinsip pada confidentiality,
integrity dan availability.
• Dukungan serta komitmen dari manajemen, seluruh staff TI, serta awareness dankerja sama dari seluruh pihak yang ada didalam perusahaan menjadi faktorpenting dalam terciptanya manajemen pengendalian risiko yang tepat dan handal.
Saran
• Perlunya diterapkan manajemen pengendalian risiko terhadap pengamanan informasi di PT Silkargo Indonesia dengan mengadopsi standard compliancy
ISMS/ISO 27001.
• Proses manajemen pengendalian risiko dapat mengikuti setiap tahapan dalam ISO tersebut, mulai dari risk assessment, risk mitigation strategy hingga prosedur dan kebijakan dalam mekanisme pelaksanaan manajemen resiko di setiap lapisan perusahaan.
• Dukungan manajemen dan kebijakan yang dibangun bersama-sama menjadi faktor penting dalam terciptanya lingkungan dan suasana kerja yang aman dan teratur (sadar pengamanan informasi), mencegah kebocoran informasi dan meningkatkan kepercayaan antar karyawan dan stakeholder.
Simpulan Simpulan Simpulan Simpulan dandandandan SaranSaranSaranSaran