IT Governance dapat membantu sebuah organisasi mencapai tujuan bisnis, penerapan TI dalam proses bisnis juga dapat meningkatkan keamanan informasi untuk tujuan organisasi. Jika organisasi bergantung pada TI, risikonya akan lebih besar. Oleh karena itu, organisasi harus mengatur manajemen risiko TI. UPATIK, yang banyak menggunakan teknologi informasi dalam proses bisnisnya, telah mengalami beberapa masalah baru-baru ini. Pada 20 Mei 2024, terjadi serangan hacking pada beberapa web. Akibatnya, website tersebut diubah tampilannya dan menghambat aktivitas yang menggunakan website tersebut. Dengan munculnya masalah ini, evaluasi manajemen terhadap risiko keamanan TI harus dilakukan. Tujuan dari penelitian ini adalah untuk mengetahui kapabilitas manajemen risiko keamanan TI dengan menggunakan metodologi Process Assessment Model (PAM) COBIT 5 dan menentukan tingkat kemampuan proses berikut: EDM03 (Ensure Risk Optimisation) pada tingkat 2, APO12 (Manage Risk) pada tingkat 3, APO13 (Manage Security) pada tingkat 2, BAI06 (Manage Changes) pada tingkat 2, DSS02 (Manage Service Requests and Incidents) pada tingkat 3, dan DSS05 (Manage Security Services) pada tingkat 3. Maka dari hal tersebut, UPATIK disarankan untuk menerapkan rekomendasi peneliti pada setiap proses untuk mencapai tingkat kapabilitas yang diharapkan.