---
marp: true
theme: gaia
class: invert
paginate: true
header: "BAB 15 — Risiko, Keamanan, dan Tata Kelola SI"
footer: "Helmi Bahar Alim, S.Kom., M.Kom. &nbsp;|&nbsp; Universitas Putra Bangsa — Kebumen"
style: |
  section {
    font-family: 'Segoe UI', Helvetica, sans-serif;
    font-size: 21px;
  }
  h1 { color: #ffd166; }
  h2 {
    color: #06d6a0;
    border-bottom: 2px solid #06d6a060;
    padding-bottom: 4px;
  }
  h3 { color: #8ecae6; }
  blockquote {
    border-left: 4px solid #ffd166;
    background: #ffffff15;
    padding: 0.5em 1em;
    font-style: italic;
  }
  table { font-size: 18px; width: 100%; }
  th { background: #06d6a040; }
  code { background: #ffffff20; }
  .lead h1 { font-size: 2em; color: #ffd166; }
  .lead h2 { font-size: 1.3em; border: none; color: #e0e0e0; }
  .bagian { font-size: 0.8em; color: #8ecae6; letter-spacing: 1px; }
  .lead p { font-size: 0.9em; color: #c0c0c0; }
---
<!-- _class: lead invert -->

# BAB 15
## Risiko, Keamanan, dan Tata Kelola SI

<p class="bagian">VI — Implementasi, Evaluasi & Risiko</p>

**Level:** Lanjutan–Mahir


---
## Reader Outcome

> Pembaca mampu mengidentifikasi risiko SI utama, mengevaluasi kematangan tata kelola SI organisasi, dan merancang respons risiko berbasis perspektif manajerial

| Info | Detail |
|------|--------|
| **Bagian** | VI — Implementasi, Evaluasi & Risiko |
| **Level** | Lanjutan–Mahir |
| **Sub-topik** | 6 konsep inti |


---
<!-- _class: invert -->

## Pertanyaan Pemantik

Bab 14 membekali Anda dengan kerangka evaluasi nilai bisnis SI — NPV, ROI, *Payback Period*, dan *Balanced Scorecard*. Template A.14 (*Business Case* Mini) memastikan setiap investasi SI dijustifikasi dengan data. Nilai sudah dibuktikan. Tetapi nilai itu bisa musnah dalam semalam.

---

_Mengapa risiko SI bukan hanya masalah teknis tetapi masalah manajerial — dan bagaimana tata kelola SI memastikan organisasi tahu risiko apa yang mereka ambil dan mengapa?_


---
## Model Utama — Gambar 15.1

```mermaid
graph TD
    RS["Risiko<br>Strategis"] --> ID["Identifikasi<br>Risiko"]
    RO["Risiko<br>Operasional"] --> ID
    RK["Risiko<br>Keamanan"] --> ID
    ID --> PA["Penilaian<br>Probabilitas × Dampak"]
    PA --> MIT["Mitigasi &<br>Respons"]
    MIT --> GOV["IT Governance<br>Framework"]
    GOV --> COBIT["COBIT 2019"]
    GOV --> ISO["ISO 27001"]
    GOV --> NIST["NIST CSF"]
    GOV --> POL["Kebijakan &<br>Kontrol Organisasi"]
    POL --> MON["Monitor &<br>Review Berkelanjutan"]
    MON -.-> ID
    style RS fill:#5c1a1a,stroke:#333,color:#fff
    style RO fill:#5c1a1a,stroke:#333,color:#fff
    style RK fill:#5c1a1a,stroke:#333,color:#fff
    style ID fill:#5c1a1a,stroke:#333,color:#fff
    style PA fill:#5c1a1a,stroke:#333,color:#fff
    style MIT fill:#5c1a1a,stroke:#333,color:#fff
    style GOV fill:#f5f5f5,stroke:#5c1a1a,color:#333
    style COBIT fill:#5c1a1a,stroke:#333,color:#fff
    style ISO fill:#5c1a1a,stroke:#333,color:#fff
    style NIST fill:#5c1a1a,stroke:#333,color:#fff
    style POL fill:#5c1a1a,stroke:#333,color:#fff
    style MON fill:#5c1a1a,stroke:#333,color:#fff
```

**Signature Model — Bab 15**


---
## Definisi Kunci

**Model CIA**
Tiga pilar keamanan informasi: *Confidentiality* — hanya pihak yang berhak yang bisa mengakses informasi; *Integrity* — informasi tidak diubah tanpa o

> __


---
## Konsep Inti — Bagian 1

- **1.** Tipologi Risiko SI: Bukan Hanya Soal *Hacker*
- **2.** Model CIA: Keamanan dalam Bahasa Bisnis
- **3.** Tata Kelola SI vs Manajemen SI: Perbedaan Kritis


---
## Konsep Inti — Bagian 2

- **4.** *Framework Governance*: COBIT 2019, ISO 27001, NIST CSF
- **5.** *Compliance* dan Regulasi Data: UU PDP dan Implikasinya
- **6.** Peran *Board* dan Manajemen Senior dalam *Oversight* SI


---
## ⚠️ Salah Kaprah

> ⚠️ _"Keamanan SI itu urusan tim IT dan cybersecurity, bukan manajer umum"_

↳ Setiap manajer harus mengetahui minimal tiga hal tentang unit kerjanya: data sensitif apa yang dimiliki (*inventory*), siapa yang boleh mengaksesnya (*access co

> ⚠️ _"Sudah pasang antivirus, berarti aman"_

↳ Keamanan adalah kombinasi tiga elemen: teknologi (*antivirus*, *firewall*, *encryption*) + proses (*patch management*, *access review*, *backup*) + manusia (*se

> ⚠️ _"Risiko SI hanya berupa serangan hacker dari luar"_

↳ Terapkan *principle of least privilege*: setiap orang hanya mendapatkan akses minimum yang diperlukan untuk pekerjaannya.

> ⚠️ _"Compliance = keamanan"_

↳ Perlakukan *compliance* sebagai *baseline* — bukan *ceiling*.


---
## 🔧 Template A.15
### Template A.15

```
```
TEMPLATE A.15 — RISK REGISTER SI
Tanggal         : ________________________________________
Organisasi/Unit : ________________________________________
Risk Owner      : ________________________________________
═══════════════════════════════════════════════════════════════
| No | Risiko       | Kategori    | Prob (1–5) | Dampak (1–5) | Skor | Pengendalian Saat Ini | Status   | Rekomendasi  |
|----|-------------|-------------|-----------|-------------|------|----------------------|----------|-------------|
| 1  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [Baik/Sedang/Kritis] | ___________ |
| 2  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [Baik/Sedang/Kritis] | ___________ |
| 3  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [Baik/Sedang/Kritis] | ___________ |
| 4  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [Baik/Sedang/Kritis] | ___________ |
| 5  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [Baik/Sedang/Kritis] | ___________ |
Keterangan Kategori:
  T = Teknis | O = Operasional | K = Keamanan | S = Strategis | R = Reputasional
Status Pengendalian:
  Memadai | Partial | Tidak ada
═══════════════════════════════════════════════════════════════
```


---
## Rangkuman

1. Risiko SI bukan hanya soal serangan *hacker* — ia mencakup risiko teknis, operasional, keamanan, strategis, dan reputasional.
2. Model CIA (*Confidentiality, Integrity, Availability*) memberikan bahasa bisnis untuk mengartikulasikan kebutuhan keamanan.
3. IT *governance* ≠ IT *management*.
4. Delapan puluh persen *breach* bisa dicegah dengan *basic hygiene*: *patch management*, *strong password*, *backup* rutin (aturan 3-2-1), dan *access control* ya
5. *Compliance* (UU PDP, ISO 27001) adalah *baseline* — bukan *ceiling*.


---
<!-- _class: lead invert -->

## 🔥 Final Statement

> "Tata kelola sistem informasi bukan tentang mencegah semua risiko — yang mustahil — melainkan tentang memastikan organisasi tahu risiko apa yang mereka ambil dan mengapa."


---
## Latihan & Refleksi

### 📝 Latihan 15.1 — *Risk Register* SI (Template A.15)

untuk mengidentifikasi dan menilai 5 risiko SI di sebuah organisasi atau unit kerja yang Anda kenal.

### ➡️ Menuju Bab 16

_Bagian VI — Implementasi, Evaluasi & Risiko — selesai. SI sudah diimplementasikan (Bab 13), nilai bisnisnya sudah dievaluasi (Bab 14), dan risiko serta tata kelolanya sudah dibangun (Bab 15). Fondasi _


---