Implementasi Dan Penilaian Risk Assessment Atas Infrastruktur Teknologi Informasi Di Pt. Xyz Menggunakan Framework Cobit 5
Abstract
Abstrak PT. XYZ merupakan perusahaan yang bergerak sebagai penyedia produk-produk elektronika industri dan prasarana serta infrastruktur yang luas. Dalam kegiatan operasionalnya, tentunya didukung Teknologi Informasi yang dapat meningkatkan nilai tambah dan daya saing perusahaan. PT. XYZ memiliki aset TI utama yang perlu dilindungi untuk menjaga fungsi hubungan dengan proses bisnis yang berjalan. Dalam perlindungan aset TI, perlu diketahui ancamanancaman yang mungkin terjadi dan menilai kontrol yang sudah ada untuk mengurangi dampak negatif dari risiko. PT. XYZ memiliki penerapan risk assessment dalam pengelolaan TI dan proses bisnis pada tiap divisi terkait. Akan tetapi, penerapan tersebut belum sepenuhnya menilai adanya ancaman pada aset TI dan menilai seberapa jauh kontrol yang sudah ada dapat mengurangi ancaman yang akan datang serta dampaknya. Maka dari itu, diperlukan implementasi dan penilaian risk assessment di PT. XYZ untuk menjaga fungsi TI dalam kegiatan operasionalnya. implementasi dan penilaian risk assessment terhadap infrastruktur TI dilakukan menggunakan framework COBIT 5 for risk yang difokuskan untuk melakukan pengelolaan/kontrol terhadap risiko TI. Penerapan risk assessment dilakukan dengan mengacu pada risk scenario dan control objective pada COBIT 5 for risk. Penelitian ini dilakukan dengan mengidentifikasi risk scenario pada aset TI berdasarkan penilaian kontrol yang ada dengan control objective pada COBIT 5 for risk, selanjutnya menentukan risk treatment yang disesuaikan dengan keputusan perusahaan sebagai kontrol untuk menjaga kemungkinan ancaman dan dampak yang terjadi. Hasil pada penelitian ini berupa rekomendasi implementasi dan penilaian risk assessment berupa risk potential dan risk treatment, sehingga diharapkan implementasi dan penilaian risk assessment yang mengacu pada COBIT 5 for risk dapat diterapkan pada PT. XYZ dalam melakukan kontrol sebagai pengelolaan pada aset TI.
Kata Kunci: COBIT 5 for risk, risk assessment, risk scenario, control objective, risk potential, risk treatment
Abstract PT. XYZ is a company engaged as a provider of industrial electronics products and infrastructure and extensive infrastructure. In its operational activities, of course, supported by Information Technology that can increase the added value and competitiveness of the company. PT. XYZ has major IT assets that need to be protected to maintain the functionality of relationships with running business processes. In the protection of IT assets, keep in mind possible threats and assess existing controls to reduce the negative impact of risk. PT. XYZ has the application of risk assessment in the management of IT and business processes in each related division. However, the application has not fully assessed the threat to IT assets and assesses how far existing controls can reduce future threats and their impacts. Therefore, it is necessary to design and assess risk assessment in PT. XYZ to maintain IT function in its operational activities. The design and assessment of risk assessment on the IT infrastructure is carried out using the COBIT 5 for risk framework that is focused on managing / controlling IT risks. Implementation of risk assessment is done by referring to risk scenario and control objective in COBIT 5 for risk. This study was conducted by identifying risk scenarios on IT assets based on the assessment of existing controls with control objectives in COBIT 5 for risk, subsequently determining risk treatments tailored to corporate decisions as controls to safeguard possible threats and impacts. The results of this study are recommendations on the implementation and assessment of risk assessment in the form of risk potential and risk treatment, so it is expected that the implementation and assessment of risk assessment referring to COBIT 5 for risk can be applied to PT. XYZ in control as management of IT assets.
Keywords: COBIT 5 for risk, risk assessment, risk scenario, control objective, risk potential, risk treatment
