sim-manajement-book/chapters/outlines/outline-bab-15.md

# OUTLINE DETAIL — BAB 15
## Risiko, Keamanan, dan Tata Kelola SI

> **Bagian:** VI — Implementasi, Evaluasi & Risiko  
> **Level:** Lanjutan–Mahir  
> **Estimasi Halaman:** 15–18  
> **Reader Outcome:** Pembaca mampu **mengidentifikasi** risiko SI utama, **mengevaluasi** kematangan tata kelola SI organisasi, dan **merancang** respons risiko berbasis perspektif manajerial.

---

### SEK 15.1 — PEMBUKA

**Hook:** Mei 2017, RS Kanker Dharmais Jakarta lumpuh. Sistem SIMRS tidak bisa diakses — pasien tidak bisa registrasi, obat tidak bisa diresepkan via sistem, rekam medis tidak bisa dibuka. Penyebabnya: ransomware WannaCry. Bukan serangan targeted — malware menyebar otomatis ke komputer yang belum di-patch. RS yang melayani pasien kanker kritis kehilangan akses informasi karena satu patch Windows yang belum dipasang.

**Opening Bridge (dari Bab 14):**
> Bab 14 mengevaluasi ROI — membuktikan bahwa SI memberikan value. Tetapi value tersebut bisa musnah dalam semalam jika risiko keamanan tidak dikelola. Bab ini membahas sisi gelap SI: risiko, ancaman, dan tata kelola yang memastikan investasi SI tetap dilindungi.

**Central Question:**
> *Mengapa risiko SI bukan hanya masalah teknis tetapi masalah manajerial — dan bagaimana tata kelola SI memastikan organisasi tahu risiko apa yang mereka ambil dan mengapa?*

---

### SEK 15.2 — MODEL UTAMA (Gambar 15.1)

**Nama Model:** Kerangka Tata Kelola & Risiko SI

```mermaid
graph TD
    RS[Risiko Strategis] --> ID[Identifikasi Risiko]
    RO[Risiko Operasional] --> ID
    RK[Risiko Keamanan] --> ID
    ID --> PA[Penilaian: Probabilitas × Dampak]
    PA --> MIT[Mitigasi & Respons]
    MIT --> GOV[IT Governance Framework]
    GOV --> COBIT[COBIT 2019]
    GOV --> ISO[ISO 27001]
    GOV --> NIST[NIST CSF]
    GOV --> POL[Kebijakan & Kontrol Organisasi]
    POL --> MON[Monitor & Review Berkelanjutan]
    MON -.-> ID
```

**Penjelasan Node:**
- **Risiko Strategis** — risiko SI tidak aligned dengan strategi bisnis, investasi SI yang salah arah, disrupsi teknologi yang meninggalkan organisasi.
- **Risiko Operasional** — downtime, data loss, system failure, human error, dependency pada key personnel.
- **Risiko Keamanan** — cyberattack (malware, ransomware, phishing), data breach, insider threat, unauthorized access.
- **Identifikasi → Penilaian → Mitigasi** — siklus manajemen risiko klasik. Manajer harus terlibat di identifikasi dan penilaian; IT di mitigasi teknis.
- **Governance Framework** — kerangka yang memastikan risiko dikelola secara terstruktur: COBIT untuk IT governance, ISO 27001 untuk information security, NIST CSF untuk cybersecurity.
- **Monitor & Review** — risiko berevolusi. Governance bukan one-time setup — ia continuous monitoring.

---

### SEK 15.3 — DEFINISI KUNCI

📌 **Model CIA** (*Confidentiality, Integrity, Availability*)
Tiga pilar keamanan informasi: Confidentiality (hanya yang berhak bisa akses), Integrity (data tidak diubah tanpa otorisasi), Availability (informasi tersedia saat dibutuhkan).
**Relevansi manajerial:** CIA memberi manajer bahasa untuk mengartikulasikan kebutuhan keamanan tanpa jargon teknis. "Data pasien harus confidential, laporan keuangan harus integrity-nya terjaga, dan SIMRS harus available 24/7."

📌 **IT Governance**
Kerangka tanggung jawab yang memastikan investasi TI menghasilkan nilai bisnis, mengelola risiko TI, dan memastikan kepatuhan terhadap regulasi. Governance ≠ Management: governance menentukan "apa yang harus dicapai"; management menentukan "bagaimana mencapainya."
**Relevansi manajerial:** Governance adalah tanggung jawab board/C-suite — bukan IT department. IT mengelola operasional; governance memastikan TI aligned dengan tujuan organisasi.

📌 **UU PDP** (Undang-Undang Pelindungan Data Pribadi)
UU No. 27 Tahun 2022 yang mengatur pengumpulan, pemrosesan, dan penyimpanan data pribadi di Indonesia. Berlaku penuh Oktober 2024.
**Relevansi manajerial:** Setiap SI yang memproses data pribadi (nama, NIK, alamat, data kesehatan) harus compliant dengan UU PDP. Pelanggaran: sanksi hingga Rp 70 miliar atau 2% pendapatan tahunan.

---

### SEK 15.4 — KONSEP INTI (6 sub-seksi)

**15.4.1 Tipologi Risiko SI: Teknis, Operasional, Strategis, Reputasional**
- **Argumen:** Risiko SI bukan hanya "hacker menyerang" — ia mencakup spektrum luas dari kegagalan teknis (server down) hingga risiko strategis (investasi SI yang salah arah) dan reputasional (data breach yang menghancurkan kepercayaan).
- **Tabel tipologi:**

| Jenis Risiko | Contoh | Dampak | Siapa yang Mengelola |
|-------------|--------|--------|---------------------|
| Teknis | Server crash, bug kritis | Downtime, data loss | Tim IT |
| Operasional | Human error, proses gagal | Inefisiensi, error berulang | Manajer operasional |
| Keamanan | Ransomware, data breach | Data leak, financial loss | CISO + Board |
| Strategis | SI tidak aligned, tech obsolete | Invest gagal, tertinggal | C-suite |
| Reputasional | Kebocoran data pelanggan | Trust hancur, pelanggan pergi | Board + PR |

**15.4.2 Model CIA: Keamanan dalam Bahasa Bisnis**
- **Argumen:** CIA bukan framework teknis — ia framework bisnis. Setiap keputusan keamanan SI bisa diartikulasikan dalam 3 pertanyaan: apakah data di-protect dari akses unauthorized (C)? Apakah data tidak bisa diubah sembarangan (I)? Apakah data tersedia saat dibutuhkan (A)?
- **Contoh per pilar:** C: data gaji karyawan hanya bisa diakses HR. I: data keuangan tidak bisa diubah setelah closing. A: SIMRS harus accessible 24/7 termasuk saat disaster.

**15.4.3 Tata Kelola SI vs Manajemen SI: Perbedaan Krusial**
- **Argumen:** Governance menentukan direction and oversight; management menentukan execution. Governance bertanya "apakah kita melakukan hal yang benar?"; management bertanya "apakah kita melakukannya dengan benar?"
- **Data pendukung:** ISACA (2024) melaporkan bahwa organisasi dengan IT governance formal memiliki incident rate 40% lebih rendah dan IT spending efficiency 25% lebih tinggi.

**15.4.4 Framework Governance: COBIT 2019, ISO 27001 — Tinjauan Manajerial**
- **COBIT 2019:** Framework governance dan management TI dari ISACA. 40 proses, 6 principles. Manajer tidak perlu menguasai semuanya — cukup memahami 5 governance objectives: Evaluate, Direct, Monitor (EDM).
- **ISO 27001:** Standard international untuk Information Security Management System (ISMS). Sertifikasi yang bisa diaudit. Requirements-based, bukan prescriptive.
- **NIST CSF:** Framework cybersecurity dari NIST AS. 5 functions: Identify, Protect, Detect, Respond, Recover. Paling intuitif untuk manajer.

**15.4.5 Compliance dan Regulasi Data: UU PDP Indonesia, GDPR**
- **Argumen:** Post-2022, compliance data di Indonesia bukan opsional. UU PDP mengatur: consent, data minimization, purpose limitation, storage limitation, breach notification (72 jam).
- **Implikasi untuk SI:** Setiap SI yang memproses data pribadi harus: (1) minta consent, (2) simpan hanya data yang diperlukan, (3) sediakan mekanisme hapus data, (4) encrypt data at rest dan in transit, (5) laporkan breach dalam 72 jam.
- **Perbandingan:** UU PDP Indonesia terinspirasi GDPR Eropa — tetapi enforcement dan sanksi berbeda.

**15.4.6 Peran Board dan Manajemen Senior dalam Oversight SI**
- **Argumen:** IT governance bukan tanggung jawab CIO/CTO saja — ia tanggung jawab board. Board harus memahami: risiko SI apa yang dihadapi, berapa risk appetite organisasi, apakah control adequate, dan apakah IT spending aligned dengan strategi.
- **Data pendukung:** 78% board Fortune 500 sekarang memiliki setidaknya satu member dengan IT expertise (Spencer Stuart, 2024). Di Indonesia, angka ini masih <20%.

---

### SEK 15.5 — KOMPARASI (Tabel 15.1)

**Judul:** "Tipologi Risiko SI: Probabilitas × Dampak × Strategi Mitigasi — 8 Skenario Nyata"

| No | Skenario Risiko | Probabilitas | Dampak | Strategi Mitigasi |
|----|----------------|-------------|--------|------------------|
| 1 | Ransomware attack | Tinggi | Kritis (operasi lumpuh) | Backup 3-2-1, patch management, security awareness |
| 2 | Data breach (insider) | Menengah | Tinggi (reputasi + legal) | Access control, monitoring, UU PDP compliance |
| 3 | Server failure | Menengah | Tinggi (downtime) | Redundancy, failover, SLA cloud provider |
| 4 | Key person dependency | Tinggi | Menengah (knowledge loss) | Documentation, cross-training, succession plan |
| 5 | Vendor discontinue | Rendah | Tinggi (migration force) | Multi-vendor strategy, data portability |
| 6 | Compliance violation | Menengah | Tinggi (sanksi hukum) | Compliance officer, regular audit, training |
| 7 | Shadow IT proliferation | Tinggi | Menengah (data silos) | IT governance policy, approved tool list |
| 8 | Strategic misalignment | Menengah | Kritis (invest sia-sia) | IT strategy review tahunan, BSC |

💡 **Insight:** 6 dari 8 skenario ini bisa dimitigasi dengan kebijakan dan proses (governance) — bukan dengan teknologi. Ini menegaskan bahwa risiko SI adalah masalah manajerial, bukan masalah IT.

---

### SEK 15.6 — REALITAS LAPANGAN (3 fenomena)

**Fenomena 1: RS Kanker Dharmais — Ransomware WannaCry**
> 13 Mei 2017: WannaCry menyerang >200.000 komputer di 150 negara. RS Dharmais Jakarta termasuk korban. Seluruh SIMRS lumpuh: registrasi manual, obat ditulis resep kertas, rekam medis tidak bisa diakses. Penyebab: OS Windows yang belum di-patch. Microsoft sudah merilis patch 2 bulan sebelumnya — tetapi RS belum menerapkannya. Dampak: layanan terdisrupsi 2 hari, reputasi terpengaruh, pasien kanker kritis terdampak.

💡 **Insight:** RS Dharmais bukan korban serangan targeted — ia korban kelalaian patching. Risiko keamanan SI paling sering bukan dari sophisticated attack tetapi dari basic hygiene yang diabaikan: patch, password, backup. 80% breach bisa dicegah dengan kontrol dasar.

**Fenomena 2: Equifax Data Breach 2017 — Kegagalan Governance**
> September 2017: data 148 juta orang bocor dari Equifax (biro kredit AS). Penyebab: vulnerability di Apache Struts yang sudah diketahui 2 bulan sebelum breach — tetapi tidak di-patch. Setelah lebih dalam: CISO Equifax bukan orang security (berlatar belakang musik); board tidak memiliki IT security committee; audit internal tidak efektif.

💡 **Insight:** Equifax bukan kegagalan teknologi — ia kegagalan governance. Board yang tidak memiliki IT expertise tidak bisa melakukan oversight. CISO tanpa kompetensi keamanan tidak bisa memimpin defense. Governance failure → security failure.

**Fenomena 3: Shadow IT di Indonesia — Ketika Karyawan Jadi "IT Department Sendiri"**
> Survei Microsoft Indonesia (2023): 62% karyawan menggunakan aplikasi yang tidak disetujui IT department (WhatsApp untuk share data sensitif, Google Sheets untuk data keuangan, Dropbox personal untuk backup). Alasan: "aplikasi resmi terlalu sulit" atau "IT terlalu lama approve." Dampak: data tersebar di platform tidak terkontrol, risiko breach meningkat, compliance UU PDP terancam.

💡 **Insight:** Shadow IT bukan musuh — ia sinyal bahwa SI resmi tidak memenuhi kebutuhan pengguna. Respons yang tepat bukan "larang semuanya" tetapi: (1) dengarkan kenapa user menggunakan shadow IT, (2) perbaiki SI resmi, (3) sediakan approved alternatives.

---

### SEK 15.7 — SALAH KAPRAH (⚠️)

⚠️ **Jebakan 1:** *"Keamanan SI itu urusan tim IT dan cybersecurity, bukan manajer umum"*
> **Mengapa salah:** Manajer menentukan data apa yang dikumpulkan, siapa yang boleh akses, dan bagaimana data digunakan — semua keputusan keamanan dimulai dari bisnis, bukan dari IT.
> **Koreksi:** Manajer harus minimal mengetahui: data sensitif apa yang dimiliki unit mereka, siapa yang boleh akses, dan apa yang terjadi jika data bocor. CIA model membantu mengartikulasikan ini.

⚠️ **Jebakan 2:** *"Kita sudah pasang antivirus, berarti aman"*
> **Mengapa salah:** Antivirus hanyalah satu layer dari defense-in-depth. 80% breach terjadi bukan karena malware tembus antivirus, tetapi karena: phishing (social engineering), weak password, unpatched software, insider threat, misconfigured access.
> **Koreksi:** Security adalah kombinasi: technology (antivirus, firewall) + process (patch management, access review) + people (security awareness training). Semua tiga harus ada.

⚠️ **Jebakan 3:** *"Risiko SI hanya berupa serangan hacker dari luar"*
> **Mengapa salah:** 60%+ insiden keamanan melibatkan insider: karyawan yang lalai, ex-employee yang masih punya akses, contractor yang share credential. Ancaman dari dalam sering lebih berbahaya karena insider sudah punya akses legitimate.
> **Koreksi:** Implementasi principle of least privilege: setiap orang hanya punya akses minimum yang diperlukan. Review akses berkala. Revoke akses segera saat karyawan pindah/resign.

⚠️ **Jebakan 4:** *"Compliance = keamanan"*
> **Mengapa salah:** Compliance memastikan organisasi memenuhi standar minimum regulasi — bukan bahwa organisasi aman. Organisasi bisa 100% compliant tetapi tetap breach jika standar minimum tidak cukup untuk ancaman spesifik yang dihadapi.
> **Koreksi:** Compliance adalah baseline — bukan ceiling. Security posture harus disesuaikan dengan threat landscape spesifik organisasi, bukan hanya checklist regulasi.

---

### SEK 15.8 — STUDI KASUS (📊)

**📊 Studi Kasus Dasar — RS Dharmais: Dampak Ransomware pada Layanan Kesehatan Kritis**

❌ **Kondisi Awal:**
SIMRS RS Dharmais terinfeksi WannaCry. Seluruh terminal registrasi, farmasi, dan rekam medis terkunci. Tim IT tidak memiliki: (a) backup offline terkini, (b) incident response plan, (c) komunikasi krisis terstruktur.

✅ **Analisis dari Perspektif Governance:**

| Dimensi Governance | Kondisi Aktual | Seharusnya |
|-------------------|---------------|-----------|
| Patch management | Tidak teratur | Patch kritis ≤7 hari setelah release |
| Backup policy | Backup bulanan (1 bulan data hilang) | Backup harian + offline copy (3-2-1 rule) |
| Incident response plan | Tidak ada | IRP tertulis, tested 2×/tahun |
| Business continuity | Manual paper-based (chaos) | BCP tertulis: SOP manual mode 48 jam |
| Security awareness | Tidak ada training | Training quarterly + phishing simulation |

💡 **Pelajaran:** RS Dharmais memiliki SIMRS yang canggih — tetapi tidak memiliki governance keamanan yang memadai. WannaCry mengeksploitasi kelemahan paling basic: OS belum di-patch. Governance yang baik bukan tentang teknologi mahal — tetapi tentang disiplin: patch tepat waktu, backup rutin, dan incident response plan yang tested.

**📊 Studi Kasus Lanjutan — Equifax: Kegagalan Governance yang Mengorbankan 148 Juta Orang**

❌ **Kondisi Awal (2017):**
Equifax menyimpan data kredit 800+ juta orang. Compliance: PCI-DSS certified. Tetapi governance: CISO non-technical, board tanpa IT committee, vulnerability management tidak efektif.

✅ **Timeline Kegagalan:**

| Tanggal | Event | Apa yang Seharusnya Terjadi |
|---------|-------|-----------------------------|
| 8 Mar 2017 | Apache Struts vuln dipublikasikan | Patch dalam 48 jam (critical) |
| 10 Mar 2017 | US-CERT mengirim advisory | IT security team prioritaskan |
| 15 Mar 2017 | Equifax scan gagal mendeteksi | Review manual untuk critical assets |
| 13 Mei 2017 | Attacker mulai exfiltrate data | IDS seharusnya mendeteksi traffic anomaly |
| 29 Jul 2017 | Breach akhirnya terdeteksi | Seharusnya terdeteksi 77 hari lebih awal |
| 7 Sep 2017 | Public disclosure | Incident response in 72 jam (regulasi) |

**Dampak:** $700 juta settlement, CEO/CIO/CISO resign, reputasi hancur, regulasi baru.

💡 **Pelajaran:** Equifax compliant (PCI-DSS) tetapi tidak secure. Governance failure di multiple levels: board tanpa oversight, CISO tanpa kompetensi, vulnerability management tanpa accountability. Compliance checklist tidak menggantikan security culture.

---

### SEK 15.9 — TEMPLATE PRAKTIS (🔧)

**Nama:** Risk Register SI

```
TEMPLATE A.15 — RISK REGISTER SI

Tanggal         : ________________________________________
Organisasi/Unit : ________________________________________
Risk Owner      : ________________________________________

═══════════════════════════════════════════════════════════════

| No | Risiko | Kategori | Prob (1-5) | Dampak (1-5) | Skor | Pengendalian Saat Ini | Status | Rekomendasi |
|----|--------|----------|-----------|-------------|------|---------------------|--------|------------|
| 1  | ______ | [T/O/K/S/R] | ___ | ___ | ___ | ___________________ | [✅/⚠️/❌] | ___________ |
| 2  | ______ | [T/O/K/S/R] | ___ | ___ | ___ | ___________________ | [✅/⚠️/❌] | ___________ |
| 3  | ______ | [T/O/K/S/R] | ___ | ___ | ___ | ___________________ | [✅/⚠️/❌] | ___________ |
| 4  | ______ | [T/O/K/S/R] | ___ | ___ | ___ | ___________________ | [✅/⚠️/❌] | ___________ |
| 5  | ______ | [T/O/K/S/R] | ___ | ___ | ___ | ___________________ | [✅/⚠️/❌] | ___________ |

Keterangan Kategori: T=Teknis, O=Operasional, K=Keamanan, S=Strategis, R=Reputasional
Status Pengendalian: ✅ Memadai, ⚠️ Partial, ❌ Tidak ada

PENILAIAN RISIKO:
  Skor 20-25 : KRITIS — mitigasi segera, eskalasi ke board
  Skor 12-19 : TINGGI — action plan dalam 30 hari
  Skor 6-11  : MENENGAH — monitoring rutin
  Skor 1-5   : RENDAH — accepted dengan awareness

TOP 3 PRIORITAS MITIGASI:
  1. ________________________________________
  2. ________________________________________
  3. ________________________________________
```

---

### SEK 15.10 — PETA KONSEP (Gambar 15.2)

```mermaid
mindmap
  root((Risiko, Keamanan & Tata Kelola SI))
    Tipologi Risiko
      Teknis
      Operasional
      Keamanan
      Strategis
      Reputasional
    Model CIA
      Confidentiality
      Integrity
      Availability
    Governance Framework
      COBIT 2019
      ISO 27001
      NIST CSF
    Compliance
      UU PDP Indonesia
      GDPR
      Sanksi dan penegakan
    Anti-pattern
      Compliance = keamanan
      Hanya fokus external threat
      Governance = urusan IT
```

---

### SEK 15.11 — RANGKUMAN

**Takeaway utama:**
1. Risiko SI bukan hanya serangan hacker — ia mencakup risiko teknis, operasional, keamanan, strategis, dan reputasional. Manajer harus memahami semua dimensi.
2. Model CIA (Confidentiality, Integrity, Availability) memberikan bahasa bisnis untuk mengartikulasikan kebutuhan keamanan tanpa jargon teknis.
3. IT Governance ≠ IT Management. Governance adalah tanggung jawab board — menentukan arah dan oversight. Management menjalankan operasional.
4. 80% breach bisa dicegah dengan basic hygiene: patch management, strong password, backup rutin, access control, security awareness.
5. Compliance (UU PDP, ISO 27001) adalah baseline — bukan ceiling. Organisasi yang compliant belum tentu secure.
6. Shadow IT adalah sinyal bahwa SI resmi tidak memenuhi kebutuhan. Respons: dengarkan, perbaiki, sediakan alternative — bukan sekadar larang.
7. Board dan C-suite harus memiliki IT governance awareness — risiko SI yang tidak di-govern oleh level tertinggi akan selalu menjadi blind spot organisasi.

**Closing Bridge (ke Bab 16):**
> Risiko SI sudah dipahami dan tata kelola sudah dibangun sebagai fondasi. Aman dan well-governed — sekarang saatnya melihat ke depan. Bab 16 membahas transformasi digital: bagaimana organisasi tidak hanya "menggunakan SI" tetapi "bertransformasi melalui digital" — mengubah model bisnis, customer experience, dan cara kerja secara fundamental.

🔥 **Final Statement:**
> "Tata kelola sistem informasi bukan tentang mencegah semua risiko — yang mustahil — melainkan tentang memastikan organisasi tahu risiko apa yang mereka ambil dan mengapa."

---

### SEK 15.12 — LATIHAN & REFLEKSI

**Pertanyaan Refleksi:**
1. Apa 3 risiko SI teratas di organisasi Anda saat ini? Apakah ada yang mengelola risiko tersebut secara formal?
2. Jika data pelanggan di organisasi Anda bocor besok, apakah ada incident response plan? Siapa yang bertanggung jawab?
3. Diskusikan: apakah UU PDP Indonesia akan benar-benar di-enforce atau hanya "macan kertas"? Apa implikasinya bagi SI organisasi?
4. Berikan contoh shadow IT di organisasi Anda. Mengapa karyawan menggunakannya?

**Tugas Artefak:**
> Gunakan Template A.15 (Risk Register SI) untuk mengidentifikasi 5 risiko SI di organisasi yang Anda kenal. Berikan skor probabilitas × dampak dan rekomendasikan mitigasi untuk 3 risiko teratas.

---

### REFERENSI BAB 15

1. Whitman, M. E., & Mattord, H. J. (2022). *Principles of Information Security* (7th ed.). Cengage Learning.
2. ISACA. (2024). *COBIT 2019 framework* (Updated ed.). ISACA.
3. ISO/IEC 27001:2022. *Information security management systems — Requirements*. ISO.
4. Schinagl, S., & Shahim, A. (2022). What do we know about information security governance? *Information Security Journal*, *31*(2), 162–191.
5. NIST. (2024). *Cybersecurity framework 2.0*. U.S. Department of Commerce.
6. Rahardjo, E., & Susanto, A. (2022). Analisis tata kelola data dalam era transformasi digital di Indonesia. *Jurnal Ilmu Administrasi*, *19*(2), 112–130.
7. UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi. Republik Indonesia.
8. Laudon, K. C., & Laudon, J. P. (2022). *Management Information Systems* (17th ed.). Pearson.
9. Spencer Stuart. (2024). *Board index 2024: IT expertise on corporate boards*. Spencer Stuart.

---

### QUALITY GATES CHECK

```
[✓] Gate 1 — THINK   : Mengubah pandangan dari "keamanan = urusan IT" ke "governance risiko SI = tanggung jawab manajerial"
[✓] Gate 2 — APPLY   : Template A.15 langsung applicable untuk menyusun risk register SI per organisasi
[✓] Gate 3 — REFLECT : Pembaca merefleksikan apakah organisasinya memiliki governance SI formal atau masih "pasang antivirus saja"
```