IT Risk Management and Disaster Recovery

Session 2 - IT Risk Portfolio Method of IT Risk Analysis

Sebagai salah seorang calon IT Auditor atau IT Consultant terutama di Bidang IT
Risk Assessment, anda diminta untuk menceritakan pekerjaan anda di bidang IT
sekarang termasuk ke dalam industri apa : Mining, Oil and Gas, Financial,
Telecommunication, Services, atau industri apa ? Ceritakan secara ringkas.
Bila di perusahaan tempat anda bekerja itu akan dilakukan IT Risk Analysis,
manakah di antara metode-metode IT Risk Analysis berikut ini :
- CRAMM
- COBRA
- RuSecure
- OCTAVE
- FMEA
- BS
yang paling baik diterapkan di perusahaan anda ? Apa alasannya ?

Pak Tri DJOKO

1.Industri tempat saya bekerja PT Wasco, website : www.wascoenergy.com
,termasuk dalam kategori EPC, EPC itu singkatan dari Engineering, Procurement,
Construction. Bisa juga ditambah Installation, sehingga menjadi EPCI (biasanya ini
untuk yang bermain di offshore/platform). Juga bisa ditambah C lain (jadi EPCC) jika
dimasukkan Commissioning (test unjuk kerja).
Dari singkatannya itu sudah jelas bahwa tugas dari EPC adalah melakukan rekayasa
(engineering) dari suatu plant, melakukan pembelian (procure) barang2/ equipment
yang terkait dan kemudian mendirikannya / membangun (construct). Kadang kamikami yang di EPC ini lebih merasa sebagai integrator, karena di EPC lah yang
menjembatani dan mengkordinasikan seluruh bagian yang terkait dalam
pembangunan suatu plant, mulai dari licensor (yang punya lisensi), vendor (yang
jual barang) , shipper (yang ngirim barang) bahkan sampai operator (yang
mengoperasikan plant).
Berikut saya coba jabar kan satu persatu siklus pekerjaannya :
- Owner mengumumkan rencana pendirian plant baru (katakanlah Per tamina ingin
bangun kilang minyak dengan kapasitas 100ribu barel per day)
- Owner mengundang EPC company yang berminat untuk menyampaikan profil
perusahaan (fase Pra Kualifikasi)
- Owner mengumumkan siapa-siapa saja yang lolos dari Pra Kualifikasi dan berhak
mengikuti proses tender EPC dan melakukan proses Invitation To Bid (ITB)
- EPC company yang lolos mengambil dokumen tender dari Owner dan mendapat
penjelasan tentang rule-of -the game

- EPC diberi waktu untuk mendesain plant menurut spesifikasi teknis dan ketentuan
yang telah ditetapkan (proses ENGINEERING qualifikasi)
- Dalam rentang tertentu, EPC EPC company tersebut menyampaikan proposal
teknis dan rencana bagaimana merancang, membeli dan mengkonstruksi
- Jika menang, maka Owner akan meng -award project tersebut ke EPC terpilih
dengan kesepakatan harga yang di point 6 (bisa juga sih di nego lagi) dan kualifikasi
teknis dan rencana/waktu di point 5 (juga negotiable).
- EPC (yang menang) mulai mengerjakan proses E-P-C nya yang jauh lebih
mendetail daripada saat proposal tadi. Jika mampu hemat maka profit akan
bertambah (dari perkiraan saat proposal) .
- Proses construction biasanya dibagi menjadi beberapa bagian, structural works,
piping works, blasting painting works, architectural works, electrical and
instrumentation works.
2. Menurut hemat saya IT Risk FMEA lebih cocok digunakan, karena dalam EPC, ada
engineering design, dan proyek managemen. Jadi dalam proses engineering bisa
dilakukan FMEA dalam design process, dan juga dalam proses produksinya
(pengerjaan proyek). Failure Mode and Effects Analysis (FMEA) adalah salah satu
metode analisa failure yang diterapkan dalam product development, system
engineering dan manajemen operasional. FMEA dilakukan untuk menganalisa
potensi kesalahan / kegagalan dalam sistem, dan potensi yang teridentifikasi akan
diklasifikasikan menurut besarnya potensi kegagalan dan efeknya terhadap proses.
Alasan menggunakan FMEA:
Metode ini membantu tim proyek untuk mengidentifikasi potential failure mode
yang berbasis kepada kejadian dan pengalaman yang telah lalu yang berkaitan
dengan proyek atau proses yang serupa. FMEA membuat tim mampu merancang
proses yang bebas waste (sisa material) dan meminimalisir kesalahan serta
kegagalan.

terimakasih
Anton Sudarmedi
NPM 1322401781

Dear pak Tri and Team,

Merespon dari pertanyaan pak Tri:
1. Saya bekerja di perusahaan yang bergerak di bidang perbankan yang berlokasi di
Kalimantan Tengah yang sudah memiliki 40 Kantor Cabang, Kantor Cabang
Pembantu, dan Kantor Kas di seluruh Kalimantan Tengah. Nama Perusahaan kami
adalah PT. Bank Pembangunan Daerah Kalimantan Tengah atau dikenal dengan
nama komersil Bank Kalteng. Bank yang berdiri sejak 28 Oktober 1961 ini hampir
80% sahammnya dimiliki oleh pemerintah daerah mulai dari kabupaten, kotamadya
dan provinsi Kalimantan Tengah, tidak heran kebijakan yang terjadi di Bank ini
sedikit banyak dipengaruhi oleh unsur politis. Posisi saya sekarang sebagai Asisten

Data Center di Bagian Pengelolaan Bisnis Kartu, pekerjaan sehari-hari saya adalah
memeriksa transaksi ATM, apakah ada yang gagal, berhasil atau ada transaksi yang
menyebabkan selisih kas ATM. Setiap hari saya melakukan query ke data center
untuk bahan analisa terhadap pengaduan nasabah, selisih kas ATM, settlement ATM
Bersama, settlement BPDNET Online, klaim Bank lain dan sebagai bahan evaluasi
dan pengembangan.
2. Menurut saya Risk Analysis yang paling tepat untuk perusahaan kami adalah
OCTAVE, karena metode pendekatan OCTAVE ini melihat dari sisi teknologi dan
organisasi yang di dalamnya ada asset yang harus dilindungi baik aset perusahaan,
aset nasabah dalam bentuk dana pihak ketiga (tabungan, giro dan deposito) dan
aset pemegang saham dalam bentuk modal yang disetor.

Terima kasih.
Leono Epatha
1322402001

Dear Pak Tri,

Chevron indonesia company bergerak di bidang eksplorasi dan produksi energi
Indonesia Chevron telah menjadi produsen minyak mentah dan panas bumi
terbesar di Indonesia.Chevron juga memasarkan produk pelumas di Indonesia
melalui anak perusahaan PT Chevron Oil Products Indonesia. PT Chevron Oil
Products Indonesia memasarkan pelumas Caltex ke seluruh Indonesia melalui
jaringan distribusi. Chevron juga memasarkan minyak mentah, bahan bakar mentah
lain dan minyak . Chevron di bidang eksplorasi dan produksi energi Indonesia dan
panas bumi terbesar di Indonesia. Saat ini saya bekerja sebagai IT Senior Technician
pada Information technology Departemen. Tugas utama sebagai memastikan semua
perangkat telekomunikasi dan Jaringan (network ) berjalan dengan lancar ( meliputi
Switch, Hub , Router , Akses Transmisi ( Fiber optik , Microwave , Radio BWA, Radio
PTMP ) . Selain itu memastikan network di End user berjalan dengan baik .
IT Risk menggunakan OCTAVE Method di mana selain di develop untuk perusahaan
besar seperti chevron serta memiliki beberapa hirarki organisasi dan memaintain
fasilitas infrastuktur IT sendiri , dari sisi internal memiliki kemampuan untuk
melakukan evalusi tools untuk menjalankan vulnerability dan berkaitan dengan
Critical asset perusahaan . menggunakan 3 phase pendekatan untuk menkaji
organisasi dan isu teknology, merangkai secara komprehensif gambaran dari
kebutuhan sekuriti informasi dari organisasi. Dengan Fokus sebagai berikut :
1. Identifikasi kritikal asset dan melakukan pemilahan asset tersebut.
2. Identifikasi Vulnerability baik organisasi dan teknologi , mengidentifikasi resiko
dari organisasi
3. Mengembangkan strategy proteksi berdasakan based Practice dan Perencanaan
Resiko Mitigasi untuk mensupport misi organisasi dan prioritas

Terima Kasih,
Anwar Fattah
1322402090

Dear pak Tri Djoko Wahjono, Ir., M.Sc.

PT. Datascrip di dirikan pada tahun 1969 oleh bapak joe kamdani. Visi dari
perusahaan ini menjadi perusahaan One Stop Bussiness Solution Secara
fungsional PT. Datascrip terdiri dari 7 divisi yaitu:
1. Digital imaging
2. Office design space management and filing system
3. Stationary, office equipment and supplies
4. Multimedia presentation and conference room
5. Time management andsecurity system
6. Surveying and engginering
7. Business software and IT solution
Di perusahaan ini saya bekerja pada divisi 1 yaitu digital imaging. Divisi ini
mengkhususkan dalam produk pengolahan gambar, optik cth: kamera SLR, pocket
dan termasuk juga Printer, scanner, document reader, selpy, Laser Beam printer,
Large Format Printer. Dan juga saya menangani layanan after-sale yang meliputi
pelatihan dan consultasi, menjalin hubungan baik dengan konsumen, perbaikan
produk dan prawatannya.

Menurut pendapat saya Metode paling baik diterapkan di perusahaan ialah OCTAVE
karena , perusahaan telah dapat mengurus infrastruktur IT sendiri, memiliki
kemampuan untuk melakukan alat evaluasi kerantaan, dan memiliki kemampuan
untuk menginterpretasikan hasil dari evaluasi kerantaan.

Thnkz
Masquriansyah
1322402033

Dear pak Tri Djoko Wahjono,

Saya bekerja di PT. AXIS Telekom Indonesia (Operator GSM) yang bergerak di bidang
telekomunikasi dimana perusahaan ini merupaka anak perusahaan dari PT Saudi
Telco Company (STC).

Menurut pendapat saya metode yang paling tepat untuk diterapkan di industri
telekomunikasi adalah metode OCTAVE , karena dengan metode OCTAVE kita dapat
Mendokumentasikan dan mengukur risiko kemanan TI secara keseluruhan.

Dear Pak Tri,

1. Karena di tempat saat ini saya baru bekerja 2 bulan, maka saya akan
menjelaskan pengalaman singkat saya sebelumnya sebagai IT Developer di PT.
Smartfren Telecom.
Berikut Siklus Jobdesc saya adalah:
Analisa permasalahan yang ada
Membuat Dokumentasi Change Request (CR) dari User
Mendevelop aplikasi dari CR
Proses UAT (User Acceptance Testing) bersama Tim Auditor
Request update ke production ke IT Change Management
Implementasi
Review oleh user
Change Request terjadi antara lain karena:
Bug Fixing error aplikasi
Performance and Tuning aplikasi dan database
New Request dari User
Perubahan di sistem
2. Metodologi CRAMM cocok buat diterapkan di PT. Smartfren Telecom, karena
karakter dari siklus yang harus dilalui developer untuk membentuk sebuah karya
baru dapat diterapkan dengan CRAMM. CRAMM memiliki 3 tahapan, yaitu:
1. Asset identification and valuation
Dimana CRAMM mampu meriviu untuk identifikasi secara hardware, software, data,
lokasi dimana yang membangun sistem informasi. Tahap ini sesuai dengan tahap
analisa
2. Penilaian terhadap ancaman dan kerentanan
Setelah memahami sejauh mana potensi masalah, tahap berikutnya adalah
mengidentifikasi seberapa besar masalah tersebut terjadi. Cramm mencakup
berbagai ancaman yang disengaja dan tidak disengaja yang dapat mempengaruhi
sistem informasi, termasuk:Hacking, virus, Kegagalan peralatan atau perangkat
lunak, Kerusakan disengaja atau terorisme, Kesalahan oleh orang-orang
3. Penanggulangan seleksi dan rekomendasi

Cramm berisi penanggulangan perpustakaan yang sangat besar yang terdiri dari
lebih dari 3000 penanggulangan secara rinci diatur dalam lebih dari 70 kelompok
logis. Perangkat lunak Cramm menggunakan ukuran risiko ditentukan selama tahap
sebelumnya dan membandingkannya dengan tingkat keamanan (ambang batas
terkait dengan setiap tindakan pencegahan) untuk mengidentifikasi apakah risiko
yang cukup besar untuk membenarkan instalasi tertentu balasan. Cramm
menyediakan serangkaian fasilitas bantuan termasuk backtracking, yaitu fungsi
prioritas dan pelaporan untuk membantu pelaksanaan penanggulangan dan
manajemen aktif dari risiko yang teridentifikasi. Tahapan ini menjadi konsen dari
Divisi IT Risk Management. Karena memang tugas divisi ini adalah untuk menjaga
keamanan data perusahaan.
reference: http://www.cramm.com/overview/howitworks.htm
Terima Kasih
Rahardi Trisna
1322401535

ar Pak Tri dan Team,

1. Sebagai salah seorang calon IT Auditor atau IT Consultant terutama di Bidang IT
Risk Assessment, anda diminta untuk menceritakan pekerjaan anda di bidang IT
sekarang termasuk ke dalam industri apa : Mining, Oil and Gas, Financial,
Telecommunication, Services, atau industri apa ? Ceritakan secara ringkas.
Saat ini saya bekerja di Bank Mega Tbk, di industri perbankan swasta yang memiliki
kurang lebih 300 Cabang maupun Capem yang tersebar di seluruh Indonesia. Saya
berada di IT Division dengan spesialisasi Quality Assurance pada Core Banking
Asset atau Tester (SIT staff) setelah Developer mengerjakan project enhancement
atau new project dari user.
Sejarah singkatnya sbb : Berawal dari sebuah usaha milik keluarga bernama PT.
Bank Karman yang didirikan pada 15 April 1969 dan berkedudukan di Surabaya,
selanjutnya pada tahun 1992 berubah nama menjadi PT. Mega Bank dan melakukan
relokasi Kantor Pusat ke Jakarta.
Seiring dengan perkembangannya PT. Mega Bank pada tahun 1996 diambil alih oleh
CT Corpora (d/h Para Group) (PT Para Global Investindo dan PT. Para Rekan
Investama). Untuk lebih meningkatkan citra PT. Mega Bank, pada bulan Juni 1997
melakukan perubahan logo dengan tujuan bahwa sebagai lembaga keuangan
kepercayaan masyarakat, akan lebih mudah dikenal melalui logo perusahaan yang
baru tersebut. Dan tahun 2000 dilakukan perubahan nama dari PT. Mega Bank
menjadi PT. Bank Mega.

Dalam rangka memperkuat struktur permodalan maka pada tahun yang sama PT.
Bank Mega melaksanakan Initial Public Offering dan listed di BEJ maupun BES.
Dengan demikian sebagian saham PT. Bank Mega dimiliki oleh publik dan berubah
namanya menjadi PT. Bank Mega Tbk..
Dan hingga kini PT.Bank Mega TBK. masih merupakan bank yang kepemilikannya
100% milik warga Indonesia, saat mayoritas usaha di sektor keuangan Indonesia
dimonopoli oleh asing

2. Metode IT Risk Analysis berikut ini :

- CRAMM
- COBRA
- RuSecure
- OCTAVE
- FMEA
- BS
yang paling baik diterapkan di perusahaan anda ? Apa alasannya ?
Pendekatan OCTAVE adalah suatu kerangka kerja yang memungkinkan organisasi
untuk memahami, menilai dan menangani risiko keamanan informasi Bank. OCTAVE
bukanlah sebuah produk, melainkan merupakan metodologi proses untuk
mengidentifikasi, memprioritaskan dan mengelola risiko keamanan informasi. Hal ini
dimaksudkan untuk membantu Perusahaan :
1. Membangun kriteria evaluasi resiko kualitatif berdasarkan toleransi risiko
operasional
2. Mengidentifikasi aset yang sangat penting untuk misi Perusahaan
3. Mengidentifikasi kerentanan dan ancaman terhadap aset kritis
4. Menentukan dan mengevaluasi konsekuensi potensial bagi organisasi jika
ancaman yang diwujudkan
5. Melakukan tindakan korektif untuk mengurangi risiko dan menciptakan strategi
perlindungan berbasis praktik
OCTAVE bekerja dalam tiga tahap :
Tahap 1 : Membangun Profil Ancaman Asset - Based
Tahap 2 : Identifikasi Kerentanan Infrastruktur
Tahap 3 : Mengembangkan Strategi dan Rencana Keamanan
Terima Kasih.

Salam,
Dedi Iskandar
(1322402216)

1. Perusahaan saya bekerja sekarang bergerak di bidang Oil and Gas.

di perusahaan ini saya diminta untuk mengawasi IT Risk management yang
ada dan terus melakukan perbaikan terhadap dokumentasi dari Risk
Assessment yang ada sesuai dengan perkembangan Infrastruktur dan system
IT yang ada.
2. Metode Risk Analis yang paling tept dijalankan di perusahaan saya
sekarang adalah OCTAVE.
karena Metode ini lebih menekankan pengelolaan risiko berbasis ancaman
(threat) dan kelemahan (vulnerability) terhadap aset-aset informasi
organisasi meliputi perangkat keras, lunak, sistem, informasi dan manusia.
Jadi pembuatan Dokumentasi Risk Assessment dan Risk Mitigation dapat
lebih terarah.

CMIIW,
Regards,
Vidra

1. Perusahaan saya bekerja sekarang bergerak di bidang Oil and Gas.

di perusahaan ini saya diminta untuk mengawasi IT Risk management yang
ada dan terus melakukan perbaikan terhadap dokumentasi dari Risk
Assessment yang ada sesuai dengan perkembangan Infrastruktur dan system
IT yang ada.
2. Metode Risk Analis yang paling tept dijalankan di perusahaan saya
sekarang adalah OCTAVE.
karena Metode ini lebih menekankan pengelolaan risiko berbasis ancaman
(threat) dan kelemahan (vulnerability) terhadap aset-aset informasi
organisasi meliputi perangkat keras, lunak, sistem, informasi dan manusia.
Jadi pembuatan Dokumentasi Risk Assessment dan Risk Mitigation dapat
lebih terarah.

CMIIW,
Regards,
Vidra

Selamat sore Pak Tri

1. Saat ini saya bekerja di PT Wijaya Karya salah satu perusahaan kontruksi di
Indonesia. Sesuai dengan visi Wika 2020 untuk menjadi salah satu perusahaan EPC

dan Investasi terintegrasi terbaik, visi ini diyakini dapat memberi arah ke segenap
jajaran WIKA untuk mencapai pertumbuhan yang lebih optimal, sehat dan
berkelanjutan.
2. Metode risk analisis yang dapat mendukung wika untuk mewujudkankan visi Wika
2020 untuk menjadi perusahaan EPS dan inevestasi terbaik dibutuhkan metode risk
analisis adalah OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
EvaluationSM) yang merupakan alat, teknik, dan metode untuk melidungi strategi
keamanan informasi aset-aset perusahaan serta rencana perusahaan ke depannya.
Octave meliputi perencanaan evaluasi resiko, mennentukan aset dan kerentanan
terhadap perusahaan, serta tindakan korektif terhadap rencana ancaman. Metode
ini sangat cocok dijalankan di Wika yang sedang berusaha untuk mencapai visinya
di 2020.

1. Dikarenakan pilihan dari pertanyaan tidak ada salah satu kategori pekerjaan
saya aslinya. maka saya akan memilih salah satunya yaitu perusahahaan OIL
dan GAS.
Sebagai lokomotif perekonomian bangsa Pertamina merupakan perusahaan
milik negara yang bergerak di bidang energi meliputi minyak, gas serta
energi baru dan terbarukan.Pertamina menjalankan kegiatan bisnisnya
berdasarkan prinsip-prinsip tata kelola korporasi yang baik sehingga dapat
berdaya saing yang tinggi di dalam era globalisasi.
2. Metode risk analis yang paling tept dijalankan di perusahaan saya
sekarang adalah CRAMM.
karena, Cramm mencakup berbagai lengkap alat penilaian risiko yang
sepenuhnya kompatibel dengan 27001and ISO yang menangani tugas-tugas
seperti:
1. Pemodelan ketergantungan Aset
2. Penilaian dampak bisnis
3. Mengidentifikasi dan menilai ancaman dan kerentanan
4. Menilai tingkat risiko
5. Mengidentifikasi diperlukan dan dibenarkan kontrol atas dasar penilaian
risiko.
Sebuah pendekatan yang fleksibel untuk penilaian risiko
Alat penilaian risiko Cramm dapat digunakan untuk menjawab pertanyaan
tunggal, untuk melihat organisasi, proses, aplikasi dan sistem atau untuk
menyelidiki infrastruktur atau organisasi yang lengkap. Pengguna memiliki
pilihan untuk alat penilaian risiko cepat atau penuh, lebih ketat, analisis.
Alat-alat penilaian risiko sangat fleksibel dan memungkinkan Anda untuk
mengeksplorasi isu-isu yang berbeda dan menjawab banyak pertanyaan
yang berbeda. Contoh meliputi:
1. Menentukan apakah ada persyaratan untuk kontrol tertentu, misalnya.
otentikasi yang kuat, enkripsi, perlindungan daya atau redundansi hardware
2. Mengidentifikasi fungsi keamanan yang diperlukan untuk aplikasi baru
3. Mengembangkan persyaratan keamanan untuk outsourcing atau dikelola

perjanjian layanan
4. Meninjau persyaratan untuk keamanan fisik dan lingkungan pada situs
baru
5. Periksa implikasi yang memungkinkan pengguna untuk terhubung ke
Internet
6. Menunjukkan kepatuhan terhadap undang-undang seperti UU Perlindungan
Data
7. Mengembangkan kebijakan keamanan untuk sistem baru
8. Audit kesesuaian dan status kontrol keamanan pada sistem yang sudah
ada
9. Menunjukkan ke 27001 auditor ISO bahwa penilaian risiko 'ISO 27001compliant' telah dilakukan dan bahwa kontrol keamanan yang tepat telah
diidentifikasi
Mengevaluasi temuan
Cramm berisi berbagai alat untuk membantu mengevaluasi temuan dari
penilaian risiko termasuk:
1. Menentukan prioritas relatif dari kontrol
2. Merekam estimasi biaya pelaksanaan kontrol
3. Pemodelan perubahan pada penilaian risiko, menggunakan 'what-if? "
perhitungan
4. Back-pelacakan melalui penilaian risiko untuk menunjukkan pembenaran
untuk kontrol tertentu.
referensi : http://www.cramm.com/capabilities/risk.htm
Berikut juga management risk yang diterapkan di PT. Pertamina
Sejalan dengan Visi, Misi dan Tujuan PT Pertamina Drilling Service Indonesia
(PT PDSI) untuk menjadi perusahaan jasa drilling dan workover dengan
standar kelas dunia guna memenuhi bahkan melampaui kepuasan pelanggan
dan pihak lain yang berkepentingan, dan memperhatikan lingkungan bisnis
perusahaan yang berubah serta berkembang cepat maka resiko harus
menjadi bagian integral dari proses bisnis, pengambilan keputusan dan
pembentukan budaya setiap insan perusahaan. Oleh sebab itu, manajemen
PT PDSI menetapkan kebijakan manajemen resiko yang merupakan komitmen
manajemen dan seluruh pekerja perusahaan sebagai landasan berpikir dan
bertindak dalam penerapan manajemen resiko.
Manajemen dan seluruh pekerja PT PDSI berkomitmen bahwa :
1. Penerapan manajemen resiko adalah keharusan untuk mencapai tujuan PT
PDS!
2. Manajemen resiko harus diterapkan secara terintegrasi diseluruh
organisasi dan tidak diterapkan secara terkotak-kotak, sehingga akan
menghasilkan efisiensi dan efektifitas biaya.
3. Manajemen resiko harus diterapkan secara sinergi dengan sistem
manajemen lainnya sebagai sistem peringatan dini (early warning system)
terhadap terjadinya kegagalan pencapaian tujuan organisasi.
4. Resiko merupakan pertimbangan penting pada setiap perencanaan bisnis
dan pada setiap pengambilan keputusan manajemen.
5. Seluruh elemen organisasi harus memiliki kesadaran dan kepedulian
terhadap resiko dalam setiap aktivitas bisnis yang dilaksanakan sesuai

wewenang dan tanggung jawab masing-masing.

6. Seluruh resiko yang mungkin timbul pada pelaksanaan bisnis dalam
organisasi baik pada level korporat maupun level area harus diidentifikasi,
diukur, direspon, dikomunikasikan dan dimonitor secara berkesinambungan.
Agar berjalan dengan baik, manajemen harus menyediakan dan
mengalokasikan sumber daya yang cukup untuk mencapai tujuan
manajemen resiko, termasuk untuk peningkatan kompetensi sumber daya
manusia dalam bidang manajemen resiko.

Selamat Malam Pak Tan,

Saya bekerja di Politeknik Pos Indonesia adalah institusi pendidikan tinggi yang
didirikan oleh Yayasan Pendidikan Bhakti Pos Indonesia (YPBPI), Di Politeknik Pos
Indonesia ada bagian TI yang mempunyai tugas dan tanggung jawab seperti
menyimpan data-data perusahaan, memelihara dan menjaga kelancaran
menangani kesalahan-kesalahan yang berhubungan dengan Bagian TI, serta
merencanakan pengembangan Teknologi Informasi yang baik bagi perusahaan. TI
yang dimiliki oleh Politeknik Pos Indonesia meliputi infrastruktur yang terdiri dari :
hardware, Software, Jaringan, Internet dan Intranet.
Metode yang sesuai yaitu menggunakan Metodea OCTAVE-S Metode ini merupakan
variasi dari pendekatan OCTAVE, yang dikembangkan untuk mengukur risiko TI bagi
organisasi yang beranggotakan 20 sampai dengan 80 orang dan diharapkan juga
mempunyai 3 sampai dengan 5 orang yang memahami tentang keamanan.
Trims
Pupung Puji Pramesti
1322402600

Dear Pak Tri,

Saya bekerja di Aerofood Indonesia yang bergerak di bidang inflight catering dan
satu group dengan Garuda Indonesia. Salah satu customer local terbesar adalah
Garuda Indonesia, dan melayani lebih dari 10 foreign airline. Aerofood Indonesia
memimpin pangsa pasar terbesar di Indonesia dalam inflight catering. Aerofood
Indonesia juga memiliki bisnis industrial catering dan retail, yang mempunyai
customer rumah sakit, perusahaan oil dan gas, serta perusahaan industry. Saat ini
saya sebagai Head IT, tugas saya adalah memastikan semua aplikasi, server dan
jaringan berjalan dengan baik, melakukan pengembangan aplikasi, melakukan
installasi dan konfigurasi server,aplikasi,jaringan dan memberikan solusi jika terjadi
masalah dengan aplikasi, server, desktop maupun jaringan.
Menurut saya metode yang paliung tepat adalah OCTAVE, karena pengelolaan
infrastruktur dilakukan oleh internal, sehingga ketika teridentifikasi kerentanan

terhadap critical asset lebih cepat ditanggulangi dan mengembangkan strategi

perlindungan berbasis praktek dan rencana mitigasi risiko untuk mendukung misi
dan prioritas perusahaan.
Hero
1322401932

Dear Pak Tri,

Saya bekerja di perguruan tinggi swasta di Bontang Kaltim.
Selain sebagai staf pengajar, saya juga ditugaskan untuk mengelola sistem
informasi akademik.
Menurut saya, salah satu metode yang dapat digunakan untuk manajemen resiko
Sistem Informasi akademik di Perguruan Tinggi adalah OCTAVE (Operationally
Critical Threat, Asset, and Vulnerability).
OCTAVE dapat digunakan sebagai metodologi untuk mengidentifikasi dan
mengevaluasi resiko keamanan sistem informasi. Dalam hal ini penggunaan OCTAVE
dapat digunakan untuk :
- mengembangkan kriteria evaluasi resiko kualitatif yang menggambarkan toleransi
resiko operasional organisasi
- mengidentifikasi aset penting untuk mencapai misi dari perguruan tinggi
- mengidentifikasi kerentanan dan ancaman terhadap aset tersebut
- menentukan dan melakukan evaluasi untuk menghadapi konsekuensi yang terjadi
pada perguruan tinggi jika ancaman tersebut terjadi.

Rizki Pramudiningtyas
1322401560

saya bekerja di Politeknik Pos Indonesia Bandung sebagai Dosen PRODI DIV Teknik
Informatika
Politeknik Pos Indonesia adalah institusi pendidikan tinggi yang didirikan oleh
Yayasan Pendidikan Bhakti Pos Indonesia (YPBPI), yang bernaung secara langsung di
bawah pengawasan PT. Pos Indonesia (Persero).
Sebagai lembaga pendidikan tinggi vokasional dengan program Diploma III dan
Diploma IV, Politeknik Pos Indonesia mempersiapkan lulusannya untuk dapat
langsung berperan dalam tugas-tugas operasional di industri. Pada dasarnya
industri yang dibidik oleh Politeknik Pos Indonesia adalah industri dalam bidang
bisnis, terutama menyangkut logistik dan manajemen rantai pasok (logistiks and
supply chain management).
Dalam menunjang operasional, politeknik pos membuat dan mengembangkan
sendiri beberapa aplikasi berbasis web. Teknologi web memberikan kemudahan

untuk mengakses informasi cepat dan murah. Selain manfaat berupa kecepatan
dan kemudahan akses, teknologi web rentan terhadap sabotase, serta tindak
kejahatan, salah satu aplikasinya adalah aplikasi akademik berbasis web dibuat
untuk melayani mahasiswa dalam bidang akademik.
Metode IT Risk Analysis yang digunakan adalah OCTAVE (The Operationally Critical
Threat, Asset, and Vulnerability Evaluation)
Untuk mengelola risiko keamanan informasi adalah mengenali apakah risiko
organisasi yang menerapkannya. Setelah risiko diidentifikasi, organisasi dapat
membuat rencana penanggulangan dan mengurangi/mitigasi risiko terhadap
masing-masing risiko yang telah diketahui. Metode OCTAVE (The Operationally
Critical Threat, Asset, and Vulnerability Evaluation) yang dikembangkan Software
Engineering Institute, Carnegie Mellon University, 1999 memungkinkan organisasi
melakukan hal di atas.
OCTAVE adalah sebuah pendekatan terhadap evaluasi risiko keamanan informasi
yang komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya
disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi
risiko keamanan informasi. Kriteria OCTAVE memerlukan eveluasi yang harus
dilakukan oleh sebuah tim interdisipliner yang terdiri dari personil teknologi
informasi dan bisnis organisasi. Anggota tim bekerjasama untuk membuat
keputusan berdasarkan risiko terhadap aset informasi kritis organisasi. Pada
akhirnya, kriteria OCTAVE memerlukan katalog informasi untuk mengukur praktek
organisasi, menganalisa ancaman, dan membangun strategi proteksi dan catalog ini
menjadikan sumber database pengetahuan. Katalog ini meliputi:
catalog of practices sebuah koleksi strategi dan praktek keamanan informasi
generic threat profile sebuah koleksi sumber ancaman secara umum
catalog of vulnerabilities sebuah koleksi dari kelemahan berdasarkan platform
dan aplikasi
Dengan menggunakan pendekatan tiga tahapan, metode OCTAVE menguji isu-isu
organisasi dan teknologi terhadap penyususnan masalah-masalah yang
komprehensif berdasarkan kebutuhan keamanan informasi sebuah organisasi.

Dear Pak Tri,

saya bekerja PT. Multipolar khususnya pada divisi programming yang menyediakan
software dengan bahasa pemrograman RPG dan server AS/400. Dan hampir semua
klien kami adalah dari perbankan. Divisi saya yang menyediakan software yang
biasa digunakan oleh para teller, cs, maupun bagian back office nya.

dan setelah saya baca materi yang disediakan, maka saya cenderung akan
menggunakan sistem OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
Evaluation ). karena disana disebutkan OCTAVE adalah Effective security risk
evaluation. Octave juga consider tidak hanya pada organisasi issue, tetapi juga
teknologikal issue. selain itu juga disebutkan OCTAVE self directed.
karakteristik dari OCTAVE :
Identify information-related assets
Focus risk analysis activities on critical assets
Consider the relationships among critical assets, the threats to those assets, and
vulnerabilities
Evaluate risks in an operational context - how they are used to conduct an
organizations business
Create a protection strategy for risk mitigation
Metode OCTAVE menggunakan pendekatan tiga tahap untuk memeriksa masalah
organisasi dan teknologi, perakitan gambaran yang komprehensif tentang informasi
kebutuhan keamanan organisasi. Program ini terdiri dari serangkaian workship, baik
difasilitasi atau dilakukan oleh tim analisis interdisipliner tiga sampai lima personil
organisasi itu sendiri. Metode ini memanfaatkan pengetahuan dari berbagai
tingkatan organisasi, dengan fokus pada
- identifying critical assets and the threats to those assets
- identifying the vulnerabilities, both organizational and technological, that expose
those threats, creating risk to the organization
- developing a practice-based protection strategy and risk mitigation plans to
support the organization's mission and priorities
Kegiatan ini didukung oleh sebuah katalog praktek yang baik atau yang dikenal,
serta survei dan lembar kerja yang dapat digunakan untuk memperoleh dan
menangkap informasi selama diskusi terfokus dan sesi pemecahan masalah
Demikian pendapat saya, mohon maaf bila jawaban saya kurang berkenan,

Thanks before,
1322401850 -- Dewi Mega Sari

Dear Pak Tri,

Saat ini saya bekerja disalah satu perusahaan medical equipments.
Apabila perusahaan akan melakukan IT Risk Analysis, maka metode IT Risk
Analysis yang paling cocok adalah: COBRA.

COBRA = independent
COBRA didesain untuk memberikan perusahaan suatu cara untuk melakukan selfassessment
mengenai postur keamanan, termasuk penilaian resiko, tanpa membutuhkan
bantuan
eksternal dari konsultan. COBRA mengikuti guideline ISO 17799.
COBRA = fleksibel
Kedua sub-aplikasi COBRA, Risk Consultant dan ISO Compliance dapat disesuaikan
dan
basis pengetahuan expert dapat dimanfaatkan untuk membantu user dalam
menganalisa
resiko keamanan perusahaan. User dapat membuat questionnaire berdasarkan
template
sesuai kebutuhan, kemudian membuat questionnaire untuk membangun sebuah set
respon.
Respon nantinya bisa diubah untuk memperlihatkan variasi dampak, dan COBRA
bisa
memproduksi laporan-laporan yang mereview dan meringkas data, serta
menyediakan
rekomendasi berdasarkan best practices.
Terima Kasih,
Anthony
1322401775

Saya bekerja di Pemerintahan yaitu di Pemkab Labuhanbatu Sumut, pada

dasaranya di tempat saya bekerja tidak membuat sistem, tetapi menerapkan
beberapa sistem seperti Simda,Simbada dan beberapa sistem yang di fasilitasi
pemerintah pusat.
untuk risk analisys yang akan saya gunakan dalam hal ini adalah octave karena
. Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE)
. Effective security risk evaluation
. Considers both organizational and technological issues
. Self-directed
yang saya anggap lebih cocok untuk diterapkan di tempat kerja saya.

Saya bekerja di CV. Goldstep Indonesia. Perusahaan saya membangun aplikasi

berbasis web untuk perusahaan berbagain jenis perusahaan seperti retail, factory.

Jenis aplikasi yang kami bangun beragam mulai dari HRD, akunting, sistem
produksi, order management system, dll.
Risk Analysis yang paling cocok untuk perusahaan kami adalah OCTAVE, karena
OCTAVE menggunakan pendekatan dari sisi teknologi dan organisasi. Dalam
perusahaan kami sendiri banyak mengelola data-data penting client seperti order,
salary, production, accounting. Karena asset-asset inilah, maka metode saya akan
memilih metode OCTAVE
Thanks,
1322401743 Alvin

Dear Pak Tri

Saya bekerja di Dinas Pendapatan Daerah Kota Samarinda di Kalimantan Timur,
khususnya sebagai IT Administrator, saat ini kami sedang mengembangkan
pelayanan dan pembayaran penerimaan pendapatan daerah berbasis IT, beberapa
Sistem yang telah dikembangkan adalah SISMIOP untuk penanganan Pajak PBB-P2
dan BPHTB, SIMDA Pendapatan untuk Pajak Daerah non PBB, My-Tax untuk Retribusi
Daerah dan Pendapatan Daerah Lainnya, kami juga mengembangkan Sistem POS
untuk Sistem pembayaran online sistem dengan Bank Daerah kami yaitu Bankaltim,
kami juga sedang mempersiapkan pengembangan Sistem Online langsung wajib
pajak dengan konsep transaksi pengunjung hotel/restoran langsung termonitor oleh
Dinas Pendapatan Daerah serta pelaporan dan pembayaran kewajiban Pajak Daerah
dengan auto debet melalui Internet Banking yang rencananya kami
implementasikan di awal tahun 2014
Risk Analisis yang paling tepat untuk Instansi tempat saya bekerja adalah OCTAVE
Metode OCTAVE menggunakan pendekatan tiga tahap untuk memeriksa masalah
organisasi dan teknologi, perakitan gambaran yang komprehensif tentang informasi
kebutuhan keamanan organisasi. Metode ini terdiri dari serangkaian workships,
Metode ini memanfaatkan pengetahuan dari berbagai tingkatan organisasi yang
ada dalam struktur dan proses bisnis pelayanan wajib pajak kami

Dear Pak Tri,

Saya bekerja di perusahaan yang bergerak di industri kemasan plastik. Produk yang
dihasilkan di suplai ke beberapa jenis industri seperti Pertamina, Unilever,
Tupperware dlsb. Visi perusahaan adalah memberikan produk berkualitas dengan
harga kompetitif bagi customer, dan menggunakan teknologi terdepan dalam
industri plastik.
Metode IT Risk Analysis yang paling tepat diterapkan di perusahaan tempat saya
bekerja adalah OCTAVE, karena hasil dari tahap-tahap analisa OCTAVE (build asset-

based threat profile, identify structure vulnerabilities, develop security strategy and
plan) lebih mudah diperoleh dari internal perusahaan ditambah informasi dari
customer.
Regards,
Yan Yan
1322401680

Good job students...

Saya mendapat masukan dari jenis pekerjaan anda masing-masing baik di bidang IT
maupun IT-related. Diskusi ini bisa memperkaya anda masing-masing, dan cukup
surprise....jawaban terbanyak adalah OCTAVE...
Salam,
-tdw