Teknologi informasi memiliki peran yang penting dalam dunia bisnis. Termasuk dalam hal manajemen risiko. Information Technology (IT) Risk Management menjadi langkah dalam menangani risiko dan meningkatkan keuntungan potensial.
Section Artikel
Apa itu IT Risk Management
Information Technology (IT) Risk Management adalah penerapan prinsip manajemen risiko dari sebuah perusahaan untuk menangani dan mengurangi risiko IT yang timbul.
IT risk management atau manajemen risiko Teknologi Informasi juga diartikan sebagai sebuah kegiatan yang memanfaatkan teknologi dalam penerapan manajemen risiko yang bertujuan untuk mengelola risiko-risiko yang berkaitan dengan perusahaan.
Risiko-risiko yang muncul diantaranya seperti operasional, dampak, dan penggunaan teknologi informasi di dalam sebuah perusahaan.
Para manajer IT melakukan penyeimbangan kegiatan operasional dan pengeluaran biaya dalam mencapai keuntungan dengan melindungi data dan sistem IT.
Jika manajemen risiko dikelola dengan baik, maka risiko yang tidak terduga akan berkurang karena adanya proses identifikasi masalah secara terus-menerus sehingga sistem akan melengkapi sistem yang lain.
Fungsi IT Risk Management
Fungsi utama IT Risk Management adalah mengelola risiko-risiko teknologi informasi. Selain itu juga terdapat fungsi dari manajemen risiko teknologi informasi.
Berikut fungsi IT Risk Management:
Penggunaan list dibawah ini salah ini yang benar
- Membantu menghemat biaya dan penyeimbangan kegiatan operasional untuk meminimalisir risiko dan hambatan.
- Mengarahkan dan memberikan pedoman mengelola risiko secara efektif dengan menyesuaikan keputusan dengan informasi yang relevan.
- Membantu memahami kemungkinan risiko-risiko yang ada dalam suatu proyek atau rencana bisnis dan toleransi risiko yang harus diketahui.
- Mengintegrasikan IT risk management dengan manajemen risiko perusahaan terkait risiko bisnis secara keseluruhan.
Tahapan IT Risk Management
Menurut G. Stoneburner, terdapat tiga tahapan dalam IT risk management, yaitu:
1. Risk Assessment
Risk assessment atau penilaian risiko merupakan tahapan awal dalam manajemen risiko. Risk assessment dianggap sebagai bagian dari komponen sistem internal control sejak dikeluarkannya COSO Internal Control Integrated Framework.
Risk assessment digunakan untuk menentukan tingkat ancaman dan resiko yang potensial terkait dengan sistem IT. Khususnya dengan seluruh Sytem Development Life Cycle (SDLC).
Hasil dari penilaian risiko dapat membantu mengidentifikasi kontrol yang sesuai untuk mengurangi risiko di sepanjang atau saat proses risk mitigation.
Terdapat 9 langkah dalam risk assessment. Beberapa diantaranya meliputi system characterization, threat identification, vulnerability identification, dan control analysis.
2. Risk Mitigation
Risk mitigation atau meringankan risiko adalah suatu proses yang direkomendasikan dari hasil riset asesmen yang biasanya dilakukan dengan least-cost approach atau pendekatan biaya terendah.
Tahapan ini melibatkan usaha untuk memprioritaskan dan mengevaluasi hal-hal yang dapat mengurangi resiko dengan melaksanakan kontrol yang tepat sehingga mengurangi resiko yang dapat ditoleransi atau minimal adverse impact terhadap sebuah perusahaan atau organisasi.
3. Evaluation dan Assessments
Risiko baru akan terus timbul karena perubahan akan selalu ada seiring berjalannya jaringan yang terus diperluas. Risiko yang sebelumnya telah ada juga telah dikurangi akan memberikan pedoman sehingga manajemen risiko akan berkembang.
Komponen IT Risk Management
Dalam IT risk management prinsip-prinsip yang diterapkan adalah prinsip-prinsip manajemen risiko. Termasuk dalam komponennya.
Berikut komponen manajemen risiko:
1. Lingkungan Internal
Lingkungan Internal dalam suatu organisasi dibentuk dari hasil gaya operasional, struktur organisasi, dan filosofi perusahaan. Budaya kerja, struktur organisasi dan pemilihan delegasi wewenang sangat dipengaruhi oleh lingkungan internal.
2. Penentuan Sasaran
Menentukan sasaran yang ingin dituju oleh perusahaan dapat memudahkan mengidentifikasi resiko yang mungkin terjadi. Tujuan dan sasaran yang mata yang dimiliki oleh perusahaan akan mempermudah manajemen dalam mengarahkan dan menunjang untuk sampai pada tujuan perusahaan.
3. Identifikasi Peristiwa
Mengidentifikasi peristiwa yang berpotensi mempengaruhi strategi dan pencapaian sasaran perusahaan perlu dilakukan agar dapat memberikan dampak positif.
4. Penilaian Risiko
Komponen ini merupakan langkah lanjutan dari identifikasi peristiwa. Penilaian peristiwa meliputi analisis langkah yang harus diambil terhadap potensi risiko yang muncul. Baik risiko positif ataupun negatif.
5. Tanggapan dan Pengendalian Risiko
Setelah melalui proses penilaian peristiwa, mau putus kah tahapan yang harus dilakukan terhadap resiko tersebut. Tanggapan yang harus dilakukan meliputi mengurangi, memindahkan kuota menghindari, atau pun menerima risiko yang timbul.
6. Informasi dan Komunikasi
Manajemen harus menginformasikan dan komunikasikan kepada pihak-pihak yang terkait agar dapat mengoptimalkan tugasnya dengan baik.
7. Pemantauan
Setelah melakukan penerapan semua komponen, manajemen harus memantau untuk memastikan bahwa setiap komponen dapat berjalan dengan baik.
Prinsip IT Risk Management
IT Risk Management merupakan upaya penerapan prinsip-prinsip manajemen risiko terhadap perusahaan dengan memanfaatkan teknologi untuk mengefektifkan pengelolaan risiko-risiko yang terkait dengan perusahaan.
Prinsip-prinsip IT risk management yang akan dijelaskan berikut ini merupakan prinsip dasar dari COBIT 5. COBIT 5 adalah salah satu standard atau framework mengenai IT Risk Management.
Berikut 5 prinsip dasar dari salah satu framework IT Risk Management:
- Meeting Stakeholder Needs
- Covering the Enterprise End-to-end
- Applying a Single Integrated Framework
- Enabling a Holistic Approach
- Separating Governance from Management
Framework IT Risk Management
Framework atau kerangka kerja IT risk management penting untuk ditentukan agar sesuai dengan kebutuhan perusahaan dan persyaratan industri yang terkait.
Berikut framework IT risk management:
1. COSO
Framework dari Committe of Sponsoring Organization of Treadway Commission (COSO) menuntut perusahaan agar dapat menentukan sasaran perusahaannya terlebih dahulu. Sasaran tersebut meliputi strategi, operasi, laporan, dan pemenuhan.
2. ISO 27001 dan ISO 27002
Framework ISO merupakan salah satu Framework manajemen resiko yang terkemuka. ISO 27001 merupakan Framework yang secara umum dikenal dan diadopsi oleh security community secara global.
ISO 27001 merupakan Framework yang memberikan bantuan khusus dan security controls untuk memproses informasi keuangan, detail karyawan, kekayaan intelektual dan informasi yang dipercayakan kepada pihak ketiga.
3. Cybersecurity Maturity Model Certification (CMMC)
CMMC diterbitkan Departemen Pertahanan Amerika Serikat pada tahun 2020. Model framework ini menggunakan metode baru untuk mengevaluasi vendor cybersecurity programs dengan mengukur kontrol teknis yang ada.
CMMC mengambil collaborative approach dengan sample framework dari berbagai IT risk management dan cloud security terkemuka untuk menghadirkan model yang komprehensif.
4. NIST 800-53 dan NIST CFS
The National Institute of Standards and Technology (NIST) menerbitkan panduan dan framework IT risk management yang mencakup kontrol yang terfokus dan mendukung standar keamanan siber.
5. AICIPA, SOC 2
Framework yang dikembangkan oleh American Institute of CPAs, mendeskripsikan beberapa kriteria untuk mengelola data pelanggan. Kriteria tersebut meliputi keamanan, ketersediaan, integritas, kerahasiaan, pemrosesan, dan privasi.
6. Expression des Besoins et Identification des Securite (EBIOS)
Framework EBIOS dikembangkan untuk organisasi yang bekerja dalam bidang kementerian pertahanan untuk mengurangi resiko dan mengelola informasi rahasia atau sensitif.
