📂 Asset: Data Perusahaan
🛑 Issue 1: Kehilangan Data
| Kolom | Isi |
|---|---|
| Asset | Data Perusahaan |
| Issue | Kehilangan Data |
| Pelaku Ancaman | Insider Threat (human error, penghapusan tidak disengaja, kelalaian) Outsider Threat (peretasan, ransomware, kerusakan perangkat keras, bencana alam) |
| Root Cause | 1. Tidak adanya backup rutin & prosedur pemulihan 2. Kerusakan media penyimpanan (harddisk/server) 3. Serangan siber (malware, ransomware) 4. Prosedur penanganan data tidak standar & tidak terdokumentasi |
| WCGW (What Could Go Wrong) | Property: 1. Kehilangan sebagian atau seluruh database penting People: 1. Beban kerja tambahan bagi tim untuk recovery data Operation: 1. Operasi perusahaan terhenti / terganggu signifikan Business Reputation: 1. Penurunan kepercayaan pelanggan & mitra akibat hilangnya data |
| Risiko Melekat | Possible — Catastrophic — Extreme |
| Pengendalian Ancaman yang Ada | Man: 1. Pelatihan karyawan tentang pentingnya manajemen data & prosedur backup 2. Penugasan PIC yang bertanggung jawab untuk backup data & monitoring storage Method: 1. SOP manajemen data, backup & disaster recovery plan 2. Audit periodik sistem penyimpanan & pemulihan Machine: 1. Sistem backup otomatis dengan redundansi (onsite & offsite/cloud) 2. Storage server dengan RAID & failover system |
| Control Dokumen | 1. SOP Backup & Recovery Data Perusahaan 2. Jadwal Backup & Testing Pemulihan Data 3. Form Audit Data 4. Dokumen Disaster Recovery Plan |
| Risiko Residual | Unlikely — Moderate — Moderate |
| Kerawanan | 1. Beberapa backup belum diuji pemulihannya secara reguler 2. Karyawan masih melakukan penyimpanan di media tidak aman (flashdisk pribadi, email) 3. Area server belum sepenuhnya tahan bencana |
| Risiko yang Diharapkan | Rare — Minor — Low |
| Rencana Penanganan Risiko (Road Map) | 2025: 1. Sosialisasi & pelatihan pentingnya backup & security awareness 2. Implementasi backup otomatis harian (onsite & cloud) 2026: 3. Uji coba recovery data dua kali per tahun 4. Peninjauan & pembaruan disaster recovery plan 2027: 5. Upgrade sistem penyimpanan & monitoring berbasis dashboard |
| PIC | IT Security Head, Corporate Data Owner |
| Status | ✅ Accept |
🛑 Issue 2: Cyber Crime
| Kolom | Isi |
|---|---|
| Asset | Data Perusahaan |
| Issue | Cyber Crime |
| Pelaku Ancaman | Outsider Threat (hacker, ransomware group, malware) Insider Threat (karyawan menyalahgunakan akses) |
| Root Cause | 1. Sistem keamanan jaringan lemah 2. Tidak ada segmentasi jaringan & multi-factor authentication 3. Karyawan kurang awareness terhadap phishing & social engineering 4. Update patch & antivirus tidak rutin |
| WCGW (What Could Go Wrong) | Property: 1. Data dicuri atau dihapus People: 1. Karyawan menghadapi investigasi atau tekanan akibat insiden Operation: 1. Layanan perusahaan terhenti akibat serangan (DoS, ransomware) Business Reputation: 1. Citra perusahaan rusak & hilang kepercayaan pelanggan |
| Risiko Melekat | Possible — Catastrophic — Extreme |
| Pengendalian Ancaman yang Ada | Man: 1. Awareness training karyawan tentang phishing & social engineering 2. Pembatasan akses berbasis peran (Role-Based Access Control) Method: 1. SOP Keamanan Jaringan & Akses Data 2. Penilaian risiko & uji penetrasi sistem secara berkala Machine: 1. Firewall, IDS/IPS, endpoint protection, dan enkripsi 2. Sistem backup & disaster recovery berbasis cloud |
| Control Dokumen | 1. SOP Keamanan Siber & Penanganan Insiden 2. Jadwal Penetration Testing & Audit Keamanan 3. Disaster Recovery Plan 4. Matrix Akses Data |
| Risiko Residual | Unlikely — Major — High |
| Kerawanan | 1. Sebagian user masih menggunakan password yang lemah & reuse password 2. Infrastruktur IDS/IPS belum sepenuhnya menjangkau semua endpoint 3. Audit akses log belum dilakukan secara real-time |
| Risiko yang Diharapkan | Rare — Moderate — Moderate |
| Rencana Penanganan Risiko (Road Map) | 2025: 1. Implementasi MFA (Multi-Factor Authentication) di semua sistem 2. Awareness training karyawan secara berkala 2026: 3. Perluasan IDS/IPS coverage & SIEM implementation 4. Simulasi uji serangan (Red Team Exercise) setahun sekali 2027: 5. Sertifikasi ISO 27001 untuk sistem keamanan informasi |
| PIC | IT Security Head, Risk Management Dept Head |
| Status | ✅ Accept |
Tidak ada komentar:
Posting Komentar