# WORKSHEET A.15 — Risk Register SI

> **Bab 15 — Risiko, Keamanan, dan Tata Kelola SI**
> Dokumen ini bersifat *standalone* — dapat dikerjakan tanpa membuka buku teks.

---

## Ringkasan Materi

### Pipeline Konsep Bab 15

```
Identifikasi Risiko (Teknis, Operasional, Keamanan, Strategis, Reputasional)
  → Penilaian (Probabilitas × Dampak = Skor)
  → Pengendalian (Preventif, Detektif, Korektif)
  → Governance (Board menentukan arah, CIO mengeksekusi)
  → Monitoring & Review Berkala
```

### Tabel Komparasi: Tipologi Risiko SI — 8 Skenario

| Skenario | Probabilitas | Dampak | Mitigasi |
|----------|-------------|--------|---------|
| *Ransomware attack* | Tinggi | Kritis — operasi lumpuh | *Backup* 3-2-1, *patch management* |
| *Data breach* (*insider*) | Menengah | Tinggi — reputasi + legal | *Access control*, UU PDP *compliance* |
| *Server failure* | Menengah | Tinggi — *downtime* | Redundansi, *failover* |
| *Key person dependency* | Tinggi | Menengah — *knowledge loss* | Dokumentasi, *cross-training* |
| Vendor *discontinue* produk | Rendah | Tinggi — migrasi paksa | *Multi-vendor*, *data portability* |
| Pelanggaran *compliance* | Menengah | Tinggi — sanksi hukum | Audit berkala, *compliance officer* |
| *Shadow IT* | Tinggi | Menengah — *data silos* | Kebijakan *governance*, daftar *tool* terotorisasi |

### Definisi Kunci

1. **Model CIA** (*Confidentiality, Integrity, Availability*) — tiga pilar keamanan informasi: hanya yang berhak mengakses, data tidak diubah tanpa otorisasi, informasi tersedia saat dibutuhkan.
2. **IT *Governance*** — kerangka tanggung jawab yang memastikan investasi TI menghasilkan nilai bisnis dan mengelola risiko. *Governance* ≠ *management*: *governance* menentukan "apa", *management* menentukan "bagaimana."
3. **UU PDP** — UU No. 27/2022 tentang Pelindungan Data Pribadi. Kewajiban: *consent*, minimisasi data, notifikasi *breach* 72 jam. Sanksi: hingga Rp 70 miliar.

### Prinsip Utama

1. Risiko SI bukan hanya soal *hacker* — meliputi teknis, operasional, keamanan, strategis, dan reputasional.
2. CIA adalah lensa evaluasi keamanan: setiap keputusan dilihat dari *confidentiality*, *integrity*, *availability*.
3. *Governance* (board + C-suite) menentukan arah; *management* (CIO + tim IT) mengeksekusi.
4. *Shadow IT*, bias AI, dan halusinasi GenAI adalah risiko baru yang harus dikelola dalam *governance*.

---

## Template A.15 — Risk Register SI

```
TEMPLATE A.15 — RISK REGISTER SI

Tanggal         : ________________________________________
Organisasi/Unit : ________________________________________
Risk Owner      : ________________________________________

═══════════════════════════════════════════════════════════════

| No | Risiko       | Kategori    | Prob (1–5) | Dampak (1–5) | Skor | Pengendalian Saat Ini | Status   | Rekomendasi  |
|----|-------------|-------------|-----------|-------------|------|----------------------|----------|-------------|
| 1  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [✅/⚠️/❌] | ___________ |
| 2  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [✅/⚠️/❌] | ___________ |
| 3  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [✅/⚠️/❌] | ___________ |
| 4  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [✅/⚠️/❌] | ___________ |
| 5  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [✅/⚠️/❌] | ___________ |

Keterangan Kategori:
  T = Teknis | O = Operasional | K = Keamanan | S = Strategis | R = Reputasional

Status Pengendalian:
  ✅ Memadai | ⚠️ Partial | ❌ Tidak ada

═══════════════════════════════════════════════════════════════

PENILAIAN RISIKO (Prob × Dampak):
  Skor 20–25 : KRITIS — mitigasi segera, eskalasi ke board
  Skor 12–19 : TINGGI — action plan dalam 30 hari
  Skor 6–11  : MENENGAH — monitoring rutin
  Skor 1–5   : RENDAH — accepted dengan awareness

TOP 3 PRIORITAS MITIGASI:
  1. ________________________________________________________
  2. ________________________________________________________
  3. ________________________________________________________

CATATAN:
________________________________________________________
________________________________________________________
```

---

## Latihan

### Latihan 1 — Identifikasi Risiko SI Organisasi

Identifikasi 5 risiko SI di organisasi Anda dan kategorikan.

| No | Risiko | Kategori | Prob (1–5) | Dampak (1–5) | Skor | Pengendalian? |
|----|--------|---------|-----------|-------------|------|-------------|
| *1* | *Password admin shared di WhatsApp group* | *K (Keamanan)* | *5* | *4* | *20* | *❌ Tidak ada kebijakan password management* |
| 2 | ________________________ | ________ | ___ | ___ | ___ | ________________________ |
| 3 | ________________________ | ________ | ___ | ___ | ___ | ________________________ |
| 4 | ________________________ | ________ | ___ | ___ | ___ | ________________________ |
| 5 | ________________________ | ________ | ___ | ___ | ___ | ________________________ |

### Latihan 2 — Evaluasi CIA

Untuk satu SI di organisasi Anda, evaluasi ketiga pilar CIA.

| Pilar CIA | Pertanyaan Evaluasi | Skor (1–5) | Temuan | Rekomendasi |
|----------|-------------------|-----------|--------|------------|
| *Confidentiality* | *Apakah hanya yang berhak yang bisa akses?* | *2 — semua staff bisa akses semua data pelanggan* | *Tidak ada role-based access control* | *Implementasi RBAC, minimal 3 level akses* |
| Integrity | Apakah data terlindungi dari perubahan tidak sah? | ___ | ________________________ | ________________________ |
| Availability | Apakah sistem tersedia saat dibutuhkan? | ___ | ________________________ | ________________________ |

### Latihan 3 — Checklist Kepatuhan UU PDP

Evaluasi kepatuhan organisasi terhadap UU PDP.

| Kewajiban UU PDP | Sudah Dipenuhi? | Evidensi | Tindakan |
|-----------------|----------------|---------|---------|
| *Persetujuan (consent) eksplisit dari subjek data* | *Sebagian — form pendaftaran ada consent, tetapi data lama tidak ada* | *Form baru sudah ada checkbox consent* | *Data lama: kirim email consent retroactive ke pelanggan aktif* |
| Minimisasi data | ________ | ________________________ | ________________________ |
| Notifikasi breach dalam 72 jam | ________ | ________________________ | ________________________ |
| Data retention policy | ________ | ________________________ | ________________________ |

---

## Refleksi

1. Berapa banyak risiko SI di organisasi Anda yang berstatus "❌ Tidak ada pengendalian" — dan mengapa manajemen cenderung mengabaikan risiko yang belum terjadi?

2. Apakah organisasi Anda sudah memiliki rencana respons untuk *data breach* — dan jika belum, apa konsekuensinya setelah UU PDP berlaku?

---

## Self-Check

```
[ ] Saya bisa mengidentifikasi, mengkategorikan, dan menilai risiko SI secara sistematis
[ ] Saya bisa mengevaluasi keamanan SI menggunakan model CIA
[ ] Template A.15 sudah terisi lengkap dengan minimal 5 risiko, penilaian, dan top 3 prioritas mitigasi
```