Konsultan ISO Training Pelatihan ISO Integrasi ISO Download ISO Sertifikasi ISO 9001 14001 OHSAS 18001 20000 22000 26000 27001 28000 29001 31000 50001

Aplikasi Asesmen Risiko ISO 31000 Bagi Pengelolaan Kawasan Pesisir

Dua orang peneliti dari New South Wales melaporkan telah menggunakan pendekatan kerangka kerja asesmen risiko ISO 31000 bagi pengelolaan kawasan pesisir atau pantai. Hal tersebut dilaporkan dalam sebuah paper pada acara NSW Coastal Conference ke 19 pada tahun 2010.

Dalam paper tersebut dilaporkan bahwa Pemerintah NSW telah menganjurkan pendekatan berbasis risiko terhadap penyusunan Rencana Pengelolaan Wilayah Pesisir. Penggunaan pendekatan berbasis risiko adalah konsep yang relatif baru dan belum teruji untuk pengelolaan pesisir di NSW. Standar Internasional Prinsip dan Pedoman Manajemen Risiko  (ISO 31000:2009) telah dicoba dan diuji di berbagai industri. Dengan demikian merupakan metodologi yang dapat diandalkan untuk menerapkan pendekatan berbasis risiko. Sebuah proses untuk mengadaptasi metode ISO 31000:2009 untuk persiapan rencana pengelolaan zona pesisir telah dirancang dan contoh dari berbagai lokasi di NSW ditunjukkan.

Pada bagian akhir disimpulkan bahwa ISO 31000:2009 Prinsip dan Pedoman Manajemen Risiko  dapat dengan mudah digunakan dalam proses penyusunan rencana pengelolaan wilayah pesisir untuk mengenal bahaya pantai. Kerangka Manajemen Risiko adalah metodologi yang sesuai untuk menggabungkan ketidakpastian terkait dengan adanya proses pantai dan perubahan iklim di masa depan, khususnya kenaikan permukaan air laut.
Menganalisis tingkat risiko bahaya pesisir melibatkan pertimbangan dari kedua kemungkinan dan konsekuensi. Menganalisis kemungkinan bahaya pesisir berkaitan dengan tingkat potensi bahaya dan menyediakan transparansi dan kualifikasi variabel yang mempengaruhi tingkat bahaya pesisir, termasuk hasil pengujian sensitivitas. Dampak lebih besar dari yang diharapkan atau “Kasus skenario terburuk” dapat dipertimbangkan, tetapi juga memenuhi syarat (misalnya sebagai kemungkinan langka). Konsekuensi dari bahaya pesisir berkaitan dengan jenis dampak (misalnya permanen
hilangnya tanah, atau genangan jangka pendek), serta aset alami maupun yang dibangun yang terpengaruh. Nilai-nilai lokal juga dapat dimasukkan ke dalam penilaian, memungkinkan prioritas lokal atau toleransi risiko yang akan diambil dan diferensiasi di antara aset-aset sejenis.

 

Pencurian Data Kartu Kredit di Gerai The Body Shop Indonesia

Sejumlah data nasabah kartu kredit maupun debit dari berbagai bank dicuri saat bertransaksi di gerai The Body Shop Indonesia. Sumber Tempo mengatakan, data curian tersebut digunakan untuk membuat kartu duplikat yang ditransaksikan di Meksiko dan Amerika Serikat.

Data yang dicuri berasal dari berbagai bank, di antaranya Bank Mandiri dan Bank BCA. Menurut Direktur Micro and Retail Banking Bank Mandiri, Budi Gunadi Sadikin, pihaknya menemukan puluhan nasabah kartu kredit dan debit yang datanya dicuri. Adapun transaksi yang dilakukan dengan data curian ini ditaksir hingga ratusan juta rupiah.

Kejahatan kartu kredit terendus saat Bank Mandiri menemukan adanya transaksi mencurigakan. “Kartu yang biasa digunakan di Indonesia tiba-tiba dipakai untuk bertransaksi di Meksiko dan Amerika,” kata Budi.

Setelah dilakukan pengecekan terhadap nasabah, ternyata kartu-kartu itu tidak pernah digunakan di sana. “Setelah dicek, kami baru menutup kartu,” katanya.

Kartu tiruan itu hanya bisa digunakan di negara-negara yang menggunakan sistem magnetic stripe. Data pada kartu jenis ini bisa dibaca saat ada kontak fisik dan menggesekkannya melewati mesin pembaca kartu atau card reader.

Di Indonesia, ada dua sistem yang digunakan pada kartu kredit, yaitu chip dan magnetic stripe. Penggunaan chip pada kartu kredit bertujuan untuk mengantisipasi tindak kejahatan kartu kredit. Adapun transaksi kartu kredit dengan magnetic stripe sebenarnya sudah dilarang. Sedangkan pada kartu debit, magnetic stripe ini baru dilarang mulai 1 Januari 2016.

Bukan hanya Mandiri, PT Bank Central Asia mengaku sudah menerima laporan serupa. General Manager Kartu Kredit BCA, Santoso, mengatakan, berdasarkan informasi sementara, pencurian data berawal dari sebuah gerai The Body Shop. Pencurian kemudian menyebar ke gerai lainnya. “Sepertinya ada oknum yang berhasil membobol dan berpindah-pindah,” katanya.

Namun ia menjamin keamanan dalam sistem pengiriman data dari mesin electronic data capture (EDC) ke bank. Santoso juga berjanji akan secepatnya menyelesaikan kasus ini dengan melibatkan kepolisian, perbankan, dan nasabah.

Tak hanya perbankan, The Body Shop Indonesia juga langsung bertindak. Chief Financial Officer The Body Shop, Jahja Wirawan Sudomo, mengatakan, perusahaan sedang menyelidiki kebocoran data di perusahaannya. “Kami dan perbankan masih menyelidiki. Kami berharap selesai pekan depan dan diserahkan ke kepolisian,” katanya kemarin.

Karyawan yang terbukti mencuri data nasabah, menurut Jahja, akan dipecat dan diserahkan ke kepolisian. Untuk mencegah kejadian serupa, The Body Shop tidak menerima pembayaran melalui kartu kredit dan debit. Berdasarkan laporan yang diterima dari perbankan, ada 30 data nasabah yang dicuri. Transaksi dilakukan sepanjang Maret 2013.

Menurut Jahja, ia termasuk salah satu nasabah yang menjadi korban. Saat bertransaksi di The Body Shop cabang Bintaro pada 11 Maret 2013, datanya pun disalin. Data itu kemudian dipakai pada transaksi di Amerika Serikat pada 14 Maret 2013.

Jahja mengatakan, ada tiga gerai yang diduga bermasalah. “Tempatnya di Bintaro (Tangerang), Casablanca, dan Basko Padang,” katanya.

Adapun pencurian kartu baru diketahui di dua bank, yaitu BCA dan Bank Mandiri. Sedangkan di Citibank, yang juga memiliki mesin EDC, belum ada laporan.

Sesuai dengan aturan Bank Indonesia, menurut Deputi Direktur Sistem Pembayaran Bank Indonesia Puji Atmoko, jika merchant kedapatan berkomplot dengan pelaku kejahatan, bank wajib menghentikan kerja sama. Bank juga diwajibkan melaporkan fraud tersebut ke Bank Indonesia paling lambat satu bulan setelah kejadian. (Sumber: Tempo, konsultan/keamananinformasiti/iso27001)

Manajemen Risiko: Kerja Sama TI dan Bisnis

Perusahaan-perusahaan di seluruh dunia sedang menelaah rencana manajemen risiko TI mereka. Dahulu, audit jadi alasan perusahaan untuk memeriksa faktor risiko TI mereka untuk menjamin kesesuaian dengan mandat industri. Tapi kini, kita bisa melihat adanya pergeseran dari pemikiran semacam ini.

Manajemen risiko tidak lagi diserahkan pada TI saja. Manajemen risiko TI telah mencapai ruang rapat para petinggi. Eksekutif puncak (C-level) kini memantau bagaimana risiko TI bisa memengaruhi organisasi mereka dari sisi bisnis.

Seperti yang sudah diketahui para Chief Security Information Officer (CISO) dan departemen TI sejak dulu, teknologi saja tak akan menjaga organisasi aman dan terlindungi.

Agar bisa mengelola risiko secara baik, perusahaan harus memahami hubungan antara setiap sistem bisnis yang ada. Sebuah sistem bisnis hakikatnya adalah lebih dari sekadar teknologi; ia merupakan gabungan dari manusia, proses dan teknologi yang mencapai fungsi bisnis tertentu. Ini kenapa, TI dan bisnis harus bekerjasama: TI harus tahu sistem dan proses yang penting bagi bisnis, sedangkan bisnis harus memahami risiko dari sudut pandang TI.

Mari kita lihat, sebagai contoh, sistem account payable (AP). AP adalah bagian dari sistem pelaporan keuangan; yakni kumpulan aset yang semuanya mengarah ke tujuan bisnis: menyediakan laporan keuangan.

Saat Anda memeriksa sistem AP, tentunya ada sisi bisnis dan sisi TI-nya. Di sisi bisnis, sudut pandangnya adalah proses persetujuan (approval). Pengguna menyalakan komputernya, mendapatkan form, memproses form itu ke sebuah laporan untuk mendapatkan persetujuan, lalu sebuah cek secara 'ajaib' dibuat. Sedangkan dari sisi TI, yang terlihat adalah aplikasi pada sebuah database di suatu server di data center.

Namun apapun sudut pandang Anda, baik bisnis maupun TI, sistem AP memiliki risiko. Saat orang TI berbicara dengan orang bisnis, percakapan itu tidak bisa dimulai dengan "server yang ini berisiko". Sebaiknya, percakapan dilakukan dengan perspektif berbasis-proses yang biasa bagi orang bisnis.

Tanyakan apa risiko bisnis yang muncul dari proses itu dan apakah mereka memahami cara untuk mengendalikan risiko tersebut, Anda bisa menyusun daftar risiko dan memetakan cara-cara pengendaliannya. TI bisa menerjemahkan risiko itu ke kendali teknis untuk membantu mitigasi risiko.

Contoh ini menunjukkan bagaimana orang, proses dan teknologi bisa secara efektif bekerjasama untuk manajemen risiko. Laporan bisa disusun dan cek bisa dibuat karena sistem bisnis berjalan lancar. Hal paling penting bagi kedua pihak adalah memahami risikonya dan mengkomunikasikan hal itu dengan istilah yang bisa dimengerti semua orang.

Saya sering ditanya, "Mulainya dari mana?" Tempat terbaik untuk memulai menyusun model risiko adalah mendefinisikan fungsi bisnis dan memahami apa risikonya bagi fungsi bisnis tersebut. Mulai dengan apa yang membuat sebuah bisnis berjalan dan apa yang terjadi jika hal itu terganggu.

Pertama, lihat dulu rencana keberlanjutan bisnis Anda dan daftar pemulihan 24 jam pasca-bencana — hal-hal itulah yang berpotensi menghentikan bisnis Anda.

Lalu, bagaimana menerapkan perubahan ini bisa membantu perusahaan? Dengan melibatkan orang-orang bisnis di proses pengambilan keputusan risiko TI, kebijakan, prosedur dan kendali teknis yang dihasilkan akan mengurangi risiko dan memperbaiki efisiensi.

Lebih dari itu, kami menemukan bahwa saat pimpinan bisnis dan eksekutif memahami risiko, dan tahu apa yang bisa mereka lakukan untuk menguranginya, para CISO menemukan banyak hal positif mulai terjadi, dan anggaran untuk manajemen risiko serta keamanan mulai naik.

Semua orang punya peranan, dan hal itu dimulai dengan mendukung CISO dan tim TI dari tingkat organik. Anda tidak bisa melindungi sesuatu yang Anda tidak ketahui, jadi komunikasi pada semua tingkat adalah kunci sukses menjalin hubungan antar sistem bisnis. Demikian dikatakan oleh Darric Hor, Symantec Country Director for Indonesia. (Sumber: Kompas, konsultan/training/pelatihan/iso31000/manajemenrisiko)

Data Center – Peraturan Pemerintah Nomor 82 Tahun 2012

Membanjirnya permintaan akan layanan data center pada tahun ini mengejutkan para pemain di bisnis ini. Pertumbuhan angka permintaan akan layanan data center didorong oleh kehadiran Peraturan Pemerintah Nomor 82 Tahun 2012. Aturan ini menegaskan bahwa seluruh perusahaan yang memfasilitasi transaksi secara elektronik diwajibkan menyimpan data publik, server utama, dan cadangannya di Indonesia.

Tujuannya adalah untuk melindungi publik dan data publik yang dikumpulkan, selain menjamin kedaulatan negara serta memudahkan penegakan hukum. Aturan itu berlaku mulai Oktober tahun ini, tapi pemerintah memberi tenggat hingga lima tahun ke depan. (Sumber: Tempo, konsultan iso20000/27001)