Framework MR COBIT terdiri dari :
- Pemahaman objectives
- Identifikasi resiko
- Penilaian resiko
- Respon resiko
- Pemantauan resiko
Pemahaman objectives
Kriteria informasi dari COBIT dapat digunakan sebagai dasar/patokan dlam mendefinisikan tujuan IT
Terdapat 7 kriteria dari pemahaman objectives IT :
-
Effectivesness and efficiency
- Mis : Manajemen yang burukk (perencanaan dan kebijakan)
- Sistem (h/w, s/w, dan teknologi)
- Kemampuan IT dan non IT
- Manajemen proses (desain dan eksekusi)
-
Confidentiality
- Manajemen keamanan (kebijakan dan prosedur)
- Sistem (h/w, s/w, teknologi dan jaringan)
- Kesadaran pengguna
- Hacker dan virus
-
Integrity and reliability
- Desain sistem (input, proses, dan output)
- Hacker dan pelanggar akses
- Prosedur pemberian otoritas yang buruk
-
Availability
- Desain system dan jaringan
- Kegagalan hardware
- Sabotase dari luar
- Virus dan serangan
- Tidak ada BCP, backup, dan recovery
-
Compliance
- Tidak sadar atau tidak mengerti terhadap aturan dan regulasi
- Tidak ada monitoring
Identifikasi Resiko
Identifikasi resiko merupakan roses untuk mengetahui resiko (baik itu yang sedang terjadi; fakta dilapangan; ataupun resiko2 yang akan terjadi; dengan melihat 7 komponen dari pemahaman objectives)
Sumber resiko :
- Manusia, proses, dan teknologi
- Internal dan eksternal
- Bencana (hazard), uncertainty, dan opportunity
Penilaian Resiko
- Proses untuk menilai seberapa sering resiko terjadi atau seberapa besar dampaknya
-
Dampak terhadap bisnis bisa berupa :
- Finansial
- Reputasi menurun karena sistem tidak aman
- Terhentinya operasi bisnis
- Kegagalan aset yang dapat dinilai (informasi dan data)
- Penundaan proses pengambilan keputusan (karena ada resiko2 yang terjadi)
Memilih dan memilah resiko-resiko mana yang memiliki dampak yang paling besar terhadap proses bisnis perusahaan dan melihat seberapa sering resiko tersebut muncul (hanya membuat leveling resiko tanpa membuat respon atau usulan)
Respon Resiko
- Untuk melakukan respon terhadap resiko adalah dengan menerapkan kontrol objektif yang sesuai dalam melakukan manajemen resiko
- Jika sisa resiko masih melebihi resiko yang dapat diterima (acceptable risks), maka diperlukan respon resiko tambahan
Pemantauan Resiko
Setiap langkah dimonitor dan dievaluasi untuk menjamin bahwa resiko dan respon berjalan sepanjang waktu
Tujuannya untuk mengawal apakah yang sudah dilakukan tadi berjalan (on the track) atau tidak / apakah usulan2 yang dibuat pada tahap respon resiko dilakukan atau tidak!?
teh onaaaahhh… ai itu dari mana sumber gambarnya? :O
dari modulny pa wawan ne.. 🙂
Kind regards, Onah Siti Fatonah