SHARE

Pada zaman digital sekarang ini, banyak organisasi menggunakan Information Technology (IT) sebagai bagian dari sistem yang memproses informasi untuk menunjang misi dan keberlangsungan organisasi mereka. Sehingga IT sekarang ini memegang peranan yang sangat penting bagi kelangsungan suatu organisasi.

Sebagaimana kita tahu komponen IT terdiri dari software dan hardware, yang mana terkadang ditemukan vulnerability di dalamnya. Belum lagi adanya ancaman (threat) intrusi baik dari luar maupun dalam yang dapat mengancam proses bisnis suatu organisasi.

Adanya kemungkinan threat dan vulnerability tersebut otomatis menimbulkan risk (resiko) yang mungkin dapat menghabiskan cost (biaya) yang tidak terduga. Pada tulisan kali ini kita akan membahas pentingnya IT Risk Management, untuk mengetahui bagaimana pentingnya dan proses manajemen resiko pada suatu organisasi untuk meminimalisir resiko dan menjamin resiko tetap pada level yang dapat diterima.

sumber: a2z-support.com

Definisi Risk (Resiko)

Risk (resiko) merupakan potensi kerugian yang mungkin muncul dari beberapa proses event yang sekarang sedang berlangsung maupun dari event yang akan datang. Resiko selalu ada pada setiap aspek kehidupan. Resiko erat kaitannya dengan IT terutama pada perspektif security, dimana selalu berkaitan dengan threat dan vulnerability. Sehingga untuk memanajemen sebuah resiko pada IT, diperlukan pemahaman mengenai threat dan vulnerability yang kiranya mungkin dapat muncul dan berdampak pada sistem yang dikelola.

Ketika berbicara resiko, muncul beberapa pertanyaan:

  1. Apa resiko yang mungkin terjadi?

Pertanyaan pertama tergantung dari masing-masing organisasi. Apa saja yang mungkin ditakutkan terjadi pada organiasi tersebut terkait dengan yang mungkin dapat mengganggu proses bisnis organisasi tersebut.

  1. Jika terjadi, seberapa parah dampaknya?

Ketika sudah berhasil mengidentifikasi apa saja yang mungkin dapat terjadi, pertanyaan selanjutnya adalah bagaimana dampak kerusakan yang diberikan dan adakah dampak lain yang mengikuti.

  1. Seberapa sering dapat terjadi?

Lalu pertanyaan berikutnya adalah bagaimana frekuensi dari resiko tersebut, seberapa seringkah dapat terjadi.

  1. Seberapa reliable jawaban atas ketiga pertanyaan di atas?

Pertanyaan ini menyangkut seberapa yakinkah jawaban atas ketiga pertanyaan di atas sebelumnya, dalam hal ini seberapa akuratkah identifikasi resiko yang dilakukan.

Definisi IT Risk Management

Risk Management (Manajemen Resiko) merupakan suatu proses mengidentifikasi resiko, menilai resiko, dan mengambil langkah meminimalisir resiko untuk mengontrol dan menjamin resiko tetap pada level yang dapat diterima. IT Risk Management mencoba untuk melindungi confidentiality, integrity, dan availability (CIA). Yaitu dengan meminimalisir dampak yang mungkin muncul yang dapat berefek pada confidentiality dari informasi, integrity dari data pada sistem, dan availability dari infrastruktur sistem.

Fokus Utama IT Risk Management

Alasan utama mengapa suatu organisasi perlu untuk menerapkan proses manajemen resiko adalah untuk mendukung misi organisasi dan melindungi aset dari organisasi tersebut. Pada IT Risk Management, erat kaitannya dengan bagaimana implementasi security pada suatu organisasi sehingga diperlukan pemahaman tentang proses bisnis organisasi dan kemungkinan resiko yang berdampak pada proses bisnis tersebut. Risk Management akan sangat membantu manajemen organisasi untuk menyeimbangkan antara dampak dari risk dan cost yang dibutuhkan untuk meminimalisir resiko tersebut.

Ketika membahas tentang Risk Management, kita tentu berbicara tentang sebuah kemungkinan yang tidak tentu (uncertainty). Kita bisa ambil contoh kasus pada sebuah server website. Sebuah server yang belum dipatch dan belum diproteksi pada network, tentu berpotensi untuk compromised. Jika itu mungkin tidak terjadi hari ini atau mungkin tidak terjadi besok, tapi kita tahu kemungkinan tersebut pasti ada dan dapat terjadi. Maka dari itu pemahaman kita tentang adanya threat dan vulnerability, sebarapa bahayanya, dan seberapa efektif langkah yang digunakan untuk mengamankannya, harus ditentukan ketika melakukan assessment terhadap kemungkinan threat dan vulnerability tersebut.

Step-by-step IT Risk Management

Berikut beberapa proses yang dilakukan ketika menerapkan IT Risk Manajemen:

  1. Threat Assessment and Analysis
  2. Asset Identifitiction and Valuation
  3. Vulnerability Analysis
  4. Risk Evaluation
  5. Interim Report

Untuk penjelasan lebih detail mengenai step-by-step IT Risk Management di atas, akan dijelaskan pada tulisan berikutnya.

Demikian, semoga bermanfaat.

1 COMMENT

  1. hai Pak Haikal, senang bisa membaca artikel yang Bpk tulis di atas, untuk kelanjutannya kapan yang di-release ya Pak?
    oh ya, untuk refensi sumber minta tolong disebutkan dong

    Terima Kasih

Berikan komentar

This site uses Akismet to reduce spam. Learn how your comment data is processed.