Pada tanggal 16 Juli 2025 dan 26 Juli 2025, School of Information Systems menyelenggarakan kegiatan Information Systems Audit Security Clinic (ISASC). Pada kegiatan ini, beberapa alumni dari School of Information Systems membawakan beberapa topik menarik seperti Vulnerability Assessment dan IT Risk Management. Terdapat dua sesi yang dilakukan dengan topik Vulnerability Assessment dibawakan oleh Bapak Mikael yang saat ini menjabat sebagai Technology Audit Senior Manager di Maybank Indonesia dan topik IT Risk Management dibawakan oleh Bapak Erikman Pardamean yang saat ini menjabat sebagai Partner di RSM Indonesia.

Pada sesi ke empat, Bapak Mikael memulai dengan melakukan pre-test kepada peserta terkait dengan pengenalan vulnerability assessment, termasuk tujuannya dan sebagainya. Setelah itu, beliau menjelaskan konsep dasar dari vulnerability assessment yaitu proses identifikasi, evaluasi, dan klasifikasi tingkat keparahan kerentanan keamanan yang ada pada jaringan sistem atau bagian lain dalam ekosistem IT, berdasarkan resiko yang dapat ditimbulkan di suatu perusahaan.

Selanjutnya, beliau memaparkan berbagai standar dan framework yang digunakan dalam vulnerability assessment seperti PCI DSS, ISO 27001, dan NIST SP 800-115. Beliau juga menekankan bahwa beberapa jenis Perusahaan mulai dari sektor perbankan, teknologi, pemerintahan hingga UMKM memerlukan vulnerability assessment yang disesuaikan dengan Tingkat resiko masing masing. Sebagai contoh, sektor perbankan yang memiliki Tingkat resiko tinggi biasanya melakukan vulnerability assessment secara bulanan.

Dalam penjelasannya, Bapak Mikael juga menguraikan berbagai manfaat dari vulnerability assessment, antara lain:

• Mencegah serangan siber
• Menghemat biaya operasional
• Memathui regulasi yang berlaku

Sebaliknya, beliau juga menyoroti dampak fatal apabila vulnerability assessment diabaikan, seperti:

• Gangguan Operasional berkepanjangan
• Rusaknya reputasi Perusahaan
• Kerugian finansial besar
• Serangan siber yang tidak terdeteksi
• Legal and compliance risk

Sebagai solusi, beliau menyarankan agar vulnerability assessment dilakukan secara berkala, minimal setiap 3–6 bulan sekali, serta memprioritaskan remediasi berdasarkan tingkat risiko (dimulai dari kategori critical atau high). Selain itu, penting untuk memonitor ancaman baru dengan menggunakan tools seperti SIEM dan patch management.

Lebih lanjut, beliau menjelaskan jenis dan sumber kerentanan beserta dampaknya, seperti:

• Kerentanan perangkat lunak seperti bug di Apache Struts, Windowns RCE yang dapat merdampak pada eksploitasi remote, malware
• Misconfigurasi sistem seperti port yang terbuka dan default password yang dapat berdampak pada akses yang tidak sah dan data breach
• Kerentanan jaringan seperti protocol tidak aman (FTP, Telnet) yang dapat berdampak pada Sniffing, MITM attacks
• Human error seperti klik phising atau sharing credential yang dapat berdampak pada account take over
• Kebijakan leman seperti tidak adanya MFA dan audit log yang dapat berdampak pada serangan berulang

Dalam sesi tersebut, Bapak Mikael juga memperkenalkan OWASP sebagai pedoman penting dalam membantu organisasi untuk menemukan, melaporkan, dan menangani kerentanan secara berkelanjutan. Proses vulnerability assessment berdasarkan OWASP terdiri dari tiga tahap utama: detection, reporting, dan remediation.

Beliau juga memaparkan berbagai tools yang digunakan dalam vulnerability assessment, yang dikategorikan sebagai berikut:

• Network Scanners: Untuk memindai kerentanan dijaringan (contoh: NESSUS, OPENVAS)
• Web App Scanners: Fokus pada kelemahan aplikasi web (contoh: OWASP ZAP, BURP SUITE)
• Database Scanners: Mendeteksi celah di database (Contoh: SQLMAP, NESSUS)

Bapak Mikael juga membahas tantangan teknis dan operasional yang sering dihadapi dalam pelaksanaan vulnerability assessment, seperti kurangnya awareness, keterbatasan sumber daya (waktu, tim, anggaran), volume kerentanan yang besar, serta tingginya tingkat false positives. Beliau juga menghighlight beberapa solusi yang dapat diterapkan seperti:

• Menerapkan Risk-Based Approach yang berfokus pada kerentanan dengan dampak terbesar
• Menggunakan tools terpercaya dan terupdate misalnya Nessus, OpenVAS, Qualys
• Edukasi dan pelatihan Tim dengan meningkatkan kompetensi teknis dan awareness keamanan
• Integrasi VA dengan DevSecOps dengan memasukkan VA ke dalam siklus pengembangan sistem
• Dokumentasi & tindak lanjut yang terstruktur seperti membuat rencana perbaikan dan evaluasi berkala

Pada sesi ketujuh, Bapak Erikman Pardamean membawakan topik yang tak kalah penting yaitu IT Risk Management. Dalam pemaparannya, beliau membahas bahwa management resiko memiliki peran krusial dalam pencapaian tujuan dan realisasi manfaat, keputusan berbasis informasi resiko, dan lainnya. Beliau juga membahas terkait dengan beberapa standar, framework atau methodology yang umumnya digunakan dalam praktik IT Risk Management seperti NIST Risk Management Framework, RISK IT Framework, Standard ISO 31000. ISO 31000 sendiri, yang telah ditetapkan sejak tahun 2009, bukan merupakan persyaratan wajib, melainkan sebuah panduan yang dapat diadaptasi sesuai kebutuhan organisasi

Dalam penjelasannya, Bapak Erikman menguraikan prinsip-prinsip utama dalam manajemen risiko, antara lain:

• Terintegrasi
• Lengkap/komprehensif dan terstruktur
• Adaptasi/penyesuaian
• Inklusif
• Dinamis
• Berdasarkan informasi terbaik yang ada
• Faktor SDM dan budaya
• Perbaikan berkelanjutan

Beliau juga membahas kerangka kerja manajemen risiko yang mencakup berbagai aspek penting, seperti pemahaman terhadap organisasi dan konteksnya, komitmen manajemen, penetapan peran dan tanggung jawab, alokasi sumber daya, komunikasi dan konsultasi, serta mekanisme eskalasi dan pengambilan keputusan. Selanjutnya, beliau menjelaskan proses manajemen risiko yang terdiri dari:

• Memahami organisasi & konteks
• Artikulasi komitmen manajemen
• Menetapkan peran, tugas, kewenangan, tanggung jawab dan akuntabilitas
• Alokasi sumber daya
• Membangun komunikasi dan konsultasi
• Menyusun rencana kerja dan jadwal pelaksanaan
• Menetapkan mekanisme eskalasi dan pengambilan keputusan
• Memastikan seluruh pengaturan dipahami

Dalam aspek komunikasi dan konsultasi, beliau menekankan pentingnya pertukaran informasi yang cepat, akurat, dan tetap menjaga kerahasiaan serta privasi individu. Manajemen risiko dapat diterapkan di berbagai tingkat, baik strategis, operasional, program, proyek, maupun kegiatan tertentu, serta pada wilayah usaha atau kantor cabang tertentu.

Penetapan konteks risiko dibagi menjadi dua, yaitu:

• Konteks eksternal: sosial, budaya, politik, regulasi, teknologi, ekonomi, dan lingkungan
• Konteks internal: visi-misi, nilai-nilai, strategi, kebijakan, tujuan, dan pemangku kepentingan

Beliau juga membahas pentingnya pengelompokan risiko berdasarkan karakteristik penyebabnya, seperti berdasarkan aset, layanan, proses, lokasi, atau teknologi. Penilaian risiko dilakukan melalui tiga tahap utama: identifikasi risiko, analisis risiko, dan evaluasi risiko. Identifikasi dilakukan dengan berbagai metode seperti wawancara, kuesioner, dan observasi, terutama terhadap pihak yang memiliki pengalaman atau keahlian khusus.

Dalam tahap analisis, risiko dinilai berdasarkan kemungkinan terjadinya dan dampaknya. Hasil analisis ini digunakan untuk menentukan level risiko, yang bersifat proporsional terhadap nilai kerugian dan estimasi kemungkinan ancaman. Beliau juga menjelaskan konsep selera risiko dan toleransi risiko, yang menjadi acuan dalam menentukan apakah suatu risiko dapat diterima atau perlu ditangani lebih lanjut.

Penanganan risiko dapat dilakukan melalui beberapa pendekatan:

• Penghindaran resiko : penghindaran resiko dilakukan agar tidak perlu menghadapi resiko sama sekali
• Berbagi/transfer resiko: berbagi resiko dengan pihak lain atau resiko kerugian dialihkan ke pihak asuransi
• Mitigasi resiko: mitigasi resiko dilakukan dengan cara mengurangi level kemungkinan dan/atau level dampak dari resiko
• Penerimaan resiko: penerimaan resiko dipilih jika resiko residual sudah dibawah selera resiko
• Eskalasi resiko: dilakukan ke phak yang memiliki kewenangan lebih tinggi.

Beliau juga membahas bahwa meskipun idealnya semua risiko dipantau, hal tersebut tidak selalu efisien secara biaya. Oleh karena itu, pemantauan perlu diprioritaskan pada risiko dengan dampak tinggi atau yang pernah menjadi insiden. Pemantauan dilakukan dengan indikator risiko (risk indicators), dan kualitas manajemen risiko perlu ditingkatkan secara berkelanjutan, salah satunya melalui penerapan model kematangan.

Pada kegiatan Information Systems Audit Security Clinic (ISASC) kali ini, pembicara tidak hanya memberikan wawasan teknis yang mendalam, tetapi juga memperkuat pemahaman peserta terhadap pentingnya keamanan dan manajemen risiko dalam dunia teknologi informasi.