helmi-upb/sim-manajement-book
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
sim-manajement-book/worksheets/worksheet-A15.md
hb_alim 9652061f1c feat: complete manuscript — 18 chapters, 18 worksheets, back matter, audit, and PDF build scripts 
- foundation/: MASTER-ANCHOR, BOOK-SPEC, BLUEPRINT, WRITING-TEMPLATE, REFERENCE-BANK
- chapters/: 18 bab (bab-01 s.d. bab-18) + 18 outlines
- worksheets/: 18 worksheet pendamping (A01-A18)
- backmatter/: references, glosarium, indeks, kata-pengantar, tentang-penulis
- scripts/: build-book.ps1, build-worksheets.ps1 (Pandoc + XeLaTeX)
- templates/: book-template.tex (B5, Times New Roman, margin sesuai BOOK-SPEC)
- AUDIT-REPORT.md: Phase 6 consistency audit — all gates passed
- PRINT-GUIDE.md: instruksi lengkap cetak PDF

RTI-20252 methodology Phase 1-6 complete. Publication-ready.
2026-04-06 05:05:17 +07:00

7.3 KiB
Raw Blame History

WORKSHEET A.15 — Risk Register SI

Bab 15 — Risiko, Keamanan, dan Tata Kelola SI Dokumen ini bersifat standalone — dapat dikerjakan tanpa membuka buku teks.

Ringkasan Materi

Pipeline Konsep Bab 15

Identifikasi Risiko (Teknis, Operasional, Keamanan, Strategis, Reputasional)
  → Penilaian (Probabilitas × Dampak = Skor)
  → Pengendalian (Preventif, Detektif, Korektif)
  → Governance (Board menentukan arah, CIO mengeksekusi)
  → Monitoring & Review Berkala

Tabel Komparasi: Tipologi Risiko SI — 8 Skenario

Skenario Probabilitas Dampak Mitigasi
Ransomware attack Tinggi Kritis — operasi lumpuh Backup 3-2-1, patch management
Data breach (insider) Menengah Tinggi — reputasi + legal Access control, UU PDP compliance
Server failure Menengah Tinggi — downtime Redundansi, failover
Key person dependency Tinggi Menengah — knowledge loss Dokumentasi, cross-training
Vendor discontinue produk Rendah Tinggi — migrasi paksa Multi-vendor, data portability
Pelanggaran compliance Menengah Tinggi — sanksi hukum Audit berkala, compliance officer
Shadow IT Tinggi Menengah — data silos Kebijakan governance, daftar tool terotorisasi

Definisi Kunci

  1. Model CIA (Confidentiality, Integrity, Availability) — tiga pilar keamanan informasi: hanya yang berhak mengakses, data tidak diubah tanpa otorisasi, informasi tersedia saat dibutuhkan.
  2. IT Governance — kerangka tanggung jawab yang memastikan investasi TI menghasilkan nilai bisnis dan mengelola risiko. Governancemanagement: governance menentukan "apa", management menentukan "bagaimana."
  3. UU PDP — UU No. 27/2022 tentang Pelindungan Data Pribadi. Kewajiban: consent, minimisasi data, notifikasi breach 72 jam. Sanksi: hingga Rp 70 miliar.

Prinsip Utama

  1. Risiko SI bukan hanya soal hacker — meliputi teknis, operasional, keamanan, strategis, dan reputasional.
  2. CIA adalah lensa evaluasi keamanan: setiap keputusan dilihat dari confidentiality, integrity, availability.
  3. Governance (board + C-suite) menentukan arah; management (CIO + tim IT) mengeksekusi.
  4. Shadow IT, bias AI, dan halusinasi GenAI adalah risiko baru yang harus dikelola dalam governance.

Template A.15 — Risk Register SI

TEMPLATE A.15 — RISK REGISTER SI

Tanggal         : ________________________________________
Organisasi/Unit : ________________________________________
Risk Owner      : ________________________________________

═══════════════════════════════════════════════════════════════

| No | Risiko       | Kategori    | Prob (15) | Dampak (15) | Skor | Pengendalian Saat Ini | Status   | Rekomendasi  |
|----|-------------|-------------|-----------|-------------|------|----------------------|----------|-------------|
| 1  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [✅/⚠️/❌] | ___________ |
| 2  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [✅/⚠️/❌] | ___________ |
| 3  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [✅/⚠️/❌] | ___________ |
| 4  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [✅/⚠️/❌] | ___________ |
| 5  | ___________ | [T/O/K/S/R] | ___       | ___         | ___  | ____________________ | [✅/⚠️/❌] | ___________ |

Keterangan Kategori:
  T = Teknis | O = Operasional | K = Keamanan | S = Strategis | R = Reputasional

Status Pengendalian:
  ✅ Memadai | ⚠️ Partial | ❌ Tidak ada

═══════════════════════════════════════════════════════════════

PENILAIAN RISIKO (Prob × Dampak):
  Skor 2025 : KRITIS — mitigasi segera, eskalasi ke board
  Skor 1219 : TINGGI — action plan dalam 30 hari
  Skor 611  : MENENGAH — monitoring rutin
  Skor 15   : RENDAH — accepted dengan awareness

TOP 3 PRIORITAS MITIGASI:
  1. ________________________________________________________
  2. ________________________________________________________
  3. ________________________________________________________

CATATAN:
________________________________________________________
________________________________________________________

Latihan

Latihan 1 — Identifikasi Risiko SI Organisasi

Identifikasi 5 risiko SI di organisasi Anda dan kategorikan.

No Risiko Kategori Prob (15) Dampak (15) Skor Pengendalian?
1 Password admin shared di WhatsApp group K (Keamanan) 5 4 20 Tidak ada kebijakan password management
2 ________________________ ________ ___ ___ ___ ________________________
3 ________________________ ________ ___ ___ ___ ________________________
4 ________________________ ________ ___ ___ ___ ________________________
5 ________________________ ________ ___ ___ ___ ________________________

Latihan 2 — Evaluasi CIA

Untuk satu SI di organisasi Anda, evaluasi ketiga pilar CIA.

Pilar CIA Pertanyaan Evaluasi Skor (15) Temuan Rekomendasi
Confidentiality Apakah hanya yang berhak yang bisa akses? 2 — semua staff bisa akses semua data pelanggan Tidak ada role-based access control Implementasi RBAC, minimal 3 level akses
Integrity Apakah data terlindungi dari perubahan tidak sah? ___ ________________________ ________________________
Availability Apakah sistem tersedia saat dibutuhkan? ___ ________________________ ________________________

Latihan 3 — Checklist Kepatuhan UU PDP

Evaluasi kepatuhan organisasi terhadap UU PDP.

Kewajiban UU PDP Sudah Dipenuhi? Evidensi Tindakan
Persetujuan (consent) eksplisit dari subjek data Sebagian — form pendaftaran ada consent, tetapi data lama tidak ada Form baru sudah ada checkbox consent Data lama: kirim email consent retroactive ke pelanggan aktif
Minimisasi data ________ ________________________ ________________________
Notifikasi breach dalam 72 jam ________ ________________________ ________________________
Data retention policy ________ ________________________ ________________________

Refleksi

  1. Berapa banyak risiko SI di organisasi Anda yang berstatus " Tidak ada pengendalian" — dan mengapa manajemen cenderung mengabaikan risiko yang belum terjadi?

  2. Apakah organisasi Anda sudah memiliki rencana respons untuk data breach — dan jika belum, apa konsekuensinya setelah UU PDP berlaku?

Self-Check

[ ] Saya bisa mengidentifikasi, mengkategorikan, dan menilai risiko SI secara sistematis
[ ] Saya bisa mengevaluasi keamanan SI menggunakan model CIA
[ ] Template A.15 sudah terisi lengkap dengan minimal 5 risiko, penilaian, dan top 3 prioritas mitigasi