Bagaimana baiknya suatu universitas melakukan mitigasi risiko di bidang Teknologi Informasi ?

Didalam sebuah organisasi, tentu dalam perjalanannya akan mengalami hal-hal yang dapat memicu terjadi permasalahan.Hal tersebut terjadi karena adanya suatu pemicu yang mana itu merupakan risiko dalam proses bisnis tersebut. Kaitannya dengan hal tersebut, tentu perlu adanya sebuah manajemen risiko didalamnya,begitu pula dengan Universitas.

Bagaimana baiknya suatu universitas melakukan mitigasi risiko IT?**

Sebelum saya menjawab inti dari pertanyaan anda,perkenankan saya untuk memberikan penjelasan singkat mengenai apa itu Manajemen Risiko dan kaitannya dengan Risiko-risiko dari suatu prosess dalam organisasi dari segala sektor(struktural,police,Sumber Daya Manusia,Sistem Informasi dan Teknologi Informasi).

Sebelumnya saya akan menjelaskan mengenai apa itu risiko,Risiko adalah bahaya, akibat atau konsekuensi yang dapat terjadi akibat sebuah proses yang sedang berlangsung atau kejadian yang akan datang.Lalu jika kita kaitkan pengertian itu dalam konteks nya disuatu universitas maka dapat dijabarkan,risiko dari pandangan universitas adalah bahaya,akibat,dan atau konsekuensi yang mengancam sebuah proses yang sedang berlangsung dalam universitas baik itu diwaktu sekarang ataupun kejadian yang akan datang.

Everything that can possibly go wrong will go wrong - Murphy’s law

Sehingga menanggapi dari adanya risiko-risiko yang mungkin akan terjadi.Perlu adanya suatu penanganan khusus agar risiko yang akan terjadi tersebut dapat di minimalisir dampaknya,sehingga organisasi atau universitas dapat mencegah terjadinya gangguan dalam proses yang sedang berlangsung agar tidak memberikan dampak yang cukup besar bagi keberlangsungan aktivitas-aktivitas universitas tersebut,sehingga perlu adanya Manajemen Risiko didalamnya.

Manajemen Risiko adalah proses identifikasi, analisis, penilaian, pengendalian, dan penghindaran, minimalisasi, atau penghapusan risiko yang tidak dapat diterima.

Manajemen risiko biasanya dilakukan oleh investor atau fund manager saat melakukan analisis untuk mengukur potensi kerugian dalam investasi. Kemudian mereka mengambil tindakan yang tepat sesuai dengan tujuan investasi dan toleransi risiko yang telah dianalisis.

Kategori risiko yang bisa ditoleransi ini bisa dilihat dari besarnya risiko yang dihadapi. Biasanya risiko dengan tingkat bahaya yang kecil akan dibiarkan. Namun berbeda dengan hal dengan risiko besar sebagian besar perusahaan akan menghindarinya kalaupun tidak dihindari perusahaan harus menyiapkan strategi yang sangat hati-hati.

CARA MELAKUKAN MANAJEMEN RISIKO DENGAN EFEKTIF
Untuk melakukan manajemen risiko kita perlu melalui beberapa proses. Seperti yang dikutip dari id.wikipedia.org, COSO atau Committee of Sponsoring Organizations of the Treadway Commission menyebutkan ada delapan kerangka yang berkaitan dalam Manajemen Risiko Korporasi (MRK) yaitu

  1. Lingkungan internal (internal environment)
  2. Penentuan sasaran (objective setting)
  3. Identifikasi peristiwa (event identification)
  4. Penilaian risiko (risk assessment)
  5. Tanggapan risiko (risk response)
  6. Aktivitas pengendalian (control activities)
  7. Informasi dan komunikasi (information and communication)
  8. Pemantauan (monitoring)

Kemudian kita kembali ke pembahasan mengenai pertanyaan anda diatas,yaitu ; Bagaimana baiknya suatu universitas melakukan mitigasi risiko IT?

Maka sekarang kita akan lebih masuk dalam teknis penerapan dari manajemen risiko tersebut,pada sektor TI.Langkah-langkah apa atau bagaimana universitas melakukan mitigasi risiko TI dengan benar dan hasil yang baik. Hal yang perlu dilakukan dalam hal ini,Framework Manajemen Risiko dalam Universitas sebagai berikut:

  1. Kebijakan Risiko,Dokumen framework yang secara formal menguraikan prinsip, prosedur, dan tanggung jawab, persyaratan, dan struktur masing-masing lembaga dan tanggung jawab instansi

  2. Buku Pegangan Manajemen Risiko,dirancang untuk dibaca bersamaan dengan Kebijakan dan untuk membimbing, mengarahkan dan membantu setiap orang untuk lebih memahami prinsip-prinsip manajemen risiko dan menerapkan proses yang konsisten untuk mengelola risiko.

  3. University Risk Register (URR),repositori prinsipal-prinsipal untuk risiko di seluruh Universitas dan entitas yang dikendalikan.

  4. University Risk Management Committee(URMC),bertanggung jawab atas keseluruhan koordinasi manajemen risiko di Universitas.

  5. Pelaporan secara formal,Universitas diwajibkan melapor ke berbagai badan baik internal dan maupun eksternal

Setelah kita mengetahui poin-poin tersebut maka sangat mudah,bagaimana sebuah universitas melakukan pengambilan kebijakan-kebijakan untuk melakukan langkah penanganan Risiko TI tersebut akan tetapi dalam pelaksanaanya tentu harus mempertimbangkan hal-hal yang memiliki dampak besar terlebih dahulu,sehingga dapat saya rangkum menjadi beberapa aspek sebagai berikut:

  1. Aspek Hardware
  2. Aspek Sistem dan Software
  3. Aspek Sumber Daya Manusia
  4. Aspek Financial

1.Aspek Hardware
Dalam hal mitigasi TI pada aspek Hardware, tentu universitas harus mempersiapkan diri terhadap apapun yang mungkin mengakibatkan terjadinya suatu kerusakan baik itu secara alami maupun human error yang mengakibatkan suatu proses dalam universitas menjadi terganggu. Misalkan,

  1. Melakukan investasi terhadap hardware-hardware tertentu untuk siap kapan saja digunakan sebagai pengganti
  2. Melakukan monitoring hardware secara berkala
  3. Evaluasi penggunaan hardware,apakah sudah optimal?
  4. Meng-asuransikan beberapa hardware yang memiliki nilai tinggi, dst

2.Aspek Sistem dan Software

Dalam penerapannya,Aspek sistem informasi berkaitan erat dengan software-software yang biasanya dipakai.Memanajemen risiko ini sangat lah penting,karena didalamnya termasuk pula data-data yang di kelola oleh universitas,jadi dalam hal ini bisa dibilang bahwa DATA dan Perangkat Lunak menempati urutan pertama dalam hal risiko,banyak hal yang mungkin dapat dilakukan,misalkan

  1. Melakukan pembaruan software secara berkala
  2. Melakukan backup data secara berkala
  3. memberikan perlindungan sistem dengan sebuah keamanan khusus, dst

3.Aspek Sumber Daya Manusia

Kenapa aspek ini juga penting dalam penanganan risikonya? Ya,dikarenakan aspek ini merupakan aspek penggerak dari semua hal yang telah disebutkan diatas sehingga segala risiko yang mungkin terjadi pada SDM harus juga di atur penanganannya, misalkan :

  1. Memberikan evaluasi khusus setap periode tertentu
  2. Menyiapkan beberapa tim dalam suatu penanganan sistem informasi
  3. Menyiapkan tenaga ahli baik itu insourcing ataupun outsourcing, dst

4.Aspek Financial

Dengan adannya penerapan suatu sistem informasi atau penggunaan TI dalam sebuah Universitas tentu membuatnya mengharuskan mengeluarkan biaya yang tidak sedikit.Sehingga mereka juga perlu menangani akan risiko-risiko kedepan berkaitan mengenai apa yang mungkin dapat terjadi dan berimbas pada keuangan mereka,khususnya dalam pendanaan TI tersebut, misalkan

  1. Mengasuransikan segala kebutuhan TI yang telah diterapkan
  2. Memiliki cadangan khusus dalam pendanaan sistem
  3. Mencari sebuah sponsor yang dapat pula masuk dalam sebuah sistem informasi yang dibutuhkan(misalkan,menggunakan ATM BANK SWASTA untuk digunakan sebagai KTM), dst.

Itulah beberapa jawaban yang mungkin dapat saya sampaikan berkaitan dengan Manajemen risiko dan risiko dalam suatu universitas khususnya dalam hal TI.Segala kegiatan atau proses pasti akan membentuk sebuah risiko yang pasti dapat terjadi,sehingga yang hanya dapat kita lakukan hanyalah meminimalisir risiko dan dampak yang timbul.Begitu pula dengan Universitas,sebagai organisasi yang memiliki banyak sektor dan memiliki struktural yang kompleks maka pasti banyak risiko-risiko didalamnya,sehingga manajemen risiko menjadi jawaban akan masalah tersebut agar tujuan universitas tersebut dapat tercapai tanpa menemui kendala besar yang menghambat.

Referensi:

Risk Management Handbook - The University of Adelaide
Guide to effective risk management 3.0
Murphy’s Law
ENTERPRISE RISK MANAGEMENT OF GEORGETOWN UNIVERSITY
A Wake-up Call: Enterprise Risk Management at Colleges and Universities Today

Apa itu Resiko

Risiko ada sebagai konsekuensi ketidakpastian dan hadir dalam semua aktivitas berapapun ukuran atau kompleksitasnya dan sektor industri atau bisnis apa pun. Penting untuk dipahami bahwa risiko adalah konsep yang lebih luas daripada pandangan tradisional hanya sebagai ancaman. Ini juga mengakui risiko mengambil atau tidak mengambil peluang.

Risiko meliputi

Ancaman (kejadian merusak) yang bisa berujung pada kegagalan mencapai tujuan. Peluang (tantangan) yang jika dieksploitasi dapat menawarkan cara yang lebih baik untuk mencapai tujuan yang diinginkan namun berpotensi menimbulkan dampak negatif. Universitas mempertimbangkan semua jenis risiko yang dihadapinya, risiko strategis, operasional, keuangan, reputasi dan peraturan dan kepatuhan. Lampiran 1 memberikan daftar kategori risiko yang berbeda.

Matriks risiko

Matriks risiko menghasilkan skor penilaian risiko yang memungkinkan risiko diprioritaskan dengan menggunakan penilaian sebagai berikut :

  • Tolerate : menerima risikonya
  • Treat : tindakan hemat biaya untuk mengurangi risikonya
  • Transfer : membiarkan orang lain mengambil risiko (misalnya dengan asuransi atau tanggung jawab untuk risiko kepada kontraktor)
  • Terminate : setuju bahwa risikonya terlalu tinggi dan jangan dilanjutkan dengan proyek atau kegiatan

Pendekatan Universitas

Pendekatan Universitas terhadap manajemen risiko mengikuti beberapa prinsip utama:

  • Proses Manajemen Risiko dilakukan semudah mungkin dan memberi nilai tambah. Untuk alasan ini, usaha yang cukup banyak dilakukan agar prosesnya sesederhana mungkin.

  • Universitas berupaya menanamkan manajemen risiko di semua Institusi, Bagian dan manajemen proyek namun tujuan utamanya adalah memastikan hal itu tertanam dalam kelompok manajemen Universitas.

  • Tujuannya adalah untuk menikahi penilaian atas dan bawah untuk menghasilkan gambaran risiko yang komprehensif di semua aktivitas Universitas.

  • Semua Institusi dan Bagian akan menggunakan pendekatan risiko yang konsisten dan transparan, memastikan metode dan bahasa yang disepakati dan dipahami secara luas.

  • Fokus utama dari proses manajemen risiko adalah konsentrasi control

  • Perbaikan untuk mengurangi risiko yang signifikan, namun ada kebutuhan untuk menyeimbangkan biaya dan efektivitas pengendalian; misalnya di mana perbaikan marjinal dalam kontrol memerlukan biaya substansial, proposalnya mungkin tidak dapat diterima.

  • Laporan risiko di atas digunakan untuk memastikan bahwa risiko yang dekat dan signifikan dilaporkan dan dipantau secara reguler pada tingkat yang sesuai.

Referensi

Risiko adalah kemungkinan kejadian atau keadaan yang dapat mengancam pencapaian tujuan dan sasaran organisasi.

Mitigasi risiko adalah upaya untuk mengurangi kemungkinan terjadinya dampak risiko yang menghambat tercapainya tujuan dengan menggunakan pemberdayaan/pengelolaan sumberdaya yang ada.

Dalam melakukan mitigasi risiko yang baik dalam universitas sebagai barikut :

1. Risk Identification

Perlu mengetahui risiko terlebih dulu dengan melakukan proses mengidentifikasi kemungkinan risiko apa saja yang dapat terjadi pada teknologi informasi pada universitas . Ini bertujuan untuk mengetahui keadaan yang akan dihadapi oleh universitas tersebut dalam berbagai aspek IT seperti ketersediaan alat, aplikasi, keuangan, SDM yang memadai. resiko – resiko dari setiap aspek akan diklasifikasikan menurut kategorinya masing – masing agar mempermudah proses mitigasi.

2. Risk Assessment

Setelah risiko telah diidentifikasi pada universitas tersebut, selanjutnya akan dinilai potensi keparahan kerugian dan kemungkinan terjadinya. Dalam hal ini, diperlukan kemampuan individu disetiap bidangnya untuk memberikan penilaian terhadap risiko – risiko yang telah diidentifikasi. Tujuannya adalah agar setiap risiko yang sudah di ketahui berada pada prioritas yang tepat.

3. Memilih framework

Pemilihan framework yang tepat sesuai dengan risk assessment salah satunya menggunakan standar manajemen risiko COSO Integrated Framework 2004 maupun ISO 31000:2009 menyebutkan 4 strategi mitigasi risiko, yaitu:

  • Hindari (avoid), menghindari aktivitas yang mengandung risiko. Opsi ini diberlakukan apabila dampak risiko lebih besar dari dampak tercapainya tujuan organisasi, opportunity loss, dan biaya untuk menghindari risiko.

  • Kurangi (reduce), tindakan yang diambil untuk mengurangi baik kemungkinan maupun dampaknya, ataupun keduanya. Opsi ini dilakukan dengan membuat analisis biaya manfaat terlebih dahulu.

  • Berbagi (share), melakukan transfer risiko dengan pihak ketiga. Opsi ini berlaku apabila kemampuan pemilik risiko dalam mengelola risiko lebih kecil daripada kemampuan pihak ketiga yang akan dibagi risikonya. Selain itu, biaya untuk membagi risiko lebih kecil daripada dampak risiko yang akan diterima. Contoh dari berbagi risiko adalah asuransi, hedging, atau outsourcing.

  • Terima (accept), menerima risiko dengan tidak melakukan tindakan apa pun untuk memengaruhi dampak dan kemungkinan risiko. Opsi ini berlaku apabila kapasitas untuk menerima risiko lebih besar daripada dampak risiko yang diterima.

Dalam menyusun rencana mitigasi risiko, hendaknya pemilik risiko memperhitungkan biaya dan manfaat dari rencana tersebut.

4. Implementation

Melaksanakan seluruh metode framework yang sesuai dengan rencana yang telah ditentukan untuk mengurangi atau menanggulangi pengaruh dari setiap risiko yang ada.

5. Evaluate and Review

Perencanaan yang telah direncanakan di awal tidak akan seluruhnya dapat berjalan dengan lancar. Perubahan keadaan atau lingkungan yang tidak diprediksi sebelumnya akan menyebabkan perubahan rencana manajemen risiko yang telah dibuat, oleh karena itu perlu dilakukan perubahan rencana untuk menanggulangi risiko yang akan mungkin terjadi.

Dari jawaban diatas Saya menyimpulkan bahwa mitigasi yang baik mengetahui risiko yang akan terjadi terlebih dahulu , menganalisa risiko mana menjadi prioritas utama dan memilih framework yang sesuai untuk mengatasi risiko yang ada dan menyesuaikan biaya anggaran universitas dan SDM yang mewadai sehingga dalam proses implementasi berjalan sesuai dengan target dan harapan yang telah direncanakan. Setelah melakukan implementasi dari framework yang digunakan perlu adanya evaluasi untuk mengatisipasi kegagalan total.

Referensi
Harvey, J., n.d. Introduction to managing risk.pdf (167,6 KB)

Pembahasan mengenai Manajemen Risiko tentu tidak lengkap jika kita tidak membahas Mitigasi Risiko. Mitigasi risiko sendiri merupakan langkah untuk mengurangi dampak dari suatu risiko. Hal ini sangat penting bagi sebuah instansi khususnya Universitas karna menampung berbagai macam informasi yang sangat penting. Jadi, dirasa sangat penting bagi sebuah universitas untuk melakukan Mitigasi risiko.

Pada pembahasan ini, saya mencoba membahas langkah-langkah mitigasi risiko menggunakan framework OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation). OCTAVE merupakan sebuah kerangka kerja atau framework yang digunakan untuk mengidentifikasi, menganalisis dan mengawasi pengelolaan risiko keamanan informasi. Kemudian dilanjutkan dengan penggunaan FMEA (Failure Mode and Effect Analysis) . FMEA adalah sebuah teknik analisis untuk menilai dan memperhitungkan risiko yang memiliki kemungkinan akan muncul di masa depan dan juga mempersiapkan proses, desain maupun kendali dari risiko tersebut.

Framework OCTAVE sendiri memiliki 3 fase dalam penilainya. terdiri dari Fase 1 Organizational View, Fase 2 Technological view, dan fase 3 Strategy and Plan Development. Dalam setiap fase tentunya terdapat tahap-tahap dan proses nya masing-masing. Pembahasan selanjutnya akan membahas 1 per satu tahapan dari setiap fase dari Framework OCTAVE yang kemudian akan dilanjutkan dengan pengguna FMEA.

Fase 1 terdiri dari:

  1. Identifikasi Critical Asset
    Identifikasi ini berfokus pada pengumpulan data mengenai aset-aset TI berharga yang dimiliki oleh Universitas.

  2. Identifikasi Security needs
    Pengumpulan data melalui wawancara untuk mendaptkan informasi mengenai kebutuhan keamanan dari aset TI yang dimiliki.

  3. Identifikasi Threat
    Analisis hasil pengumpulan data dan list kebutuhan universitas, kemudian identifikasi ancaman yang mengincar aset TI

  4. Identifikasi keamanan yang sedang dijalankan
    Menggali informasi mengenai kemanan yang sudah/sedang berjalan guna mengetahui hal yang berpotensi menjadi berbahaya bagi aset penting.

  5. Identifikasi Weakness
    Melakukan pengumpulan data untuk mencari kelemahan dari Instansi/Universitas

Fase 2 meliputi:

  1. Identifikasi Key Components
    Berdasarkan data pada Critical Asset, Security needs , dan Threat dilakukan analisis untuk mencari sebuah atau lebih komponen yang menjadi “kunci utama” dari setiap permasalahan.

  2. Evaluasi _Key Components
    Berdasarkan dari data hasil penggalian darta mengenai Key Components pada aset-aset TI yang penting, dilakukan evaluasi untuk mencari kelemahan dan kerentanan pada setiap Komponen “Kunci” tadi.

Fase 3 terdiri dari:

  1. Identifikasi risiko
    Tahap ini mengidentifikasi kembali kemungkinan-kemungkinan risiko yang akan timbul di masa depan. Tahap ini tentunya menjadi langkah preventif untuk mitigasi risiko di masa depan.

  2. Masuk kedalam metode FMEA
    Metode ini bertujuan untuk menilai bobot peluang terjadinya risiko pada Aset TI, proses, dan lainnya untuk memperkirakan impact yang timbul dari risiko tersebut.

Dalam metode FMEA, terdapat 4 tahapan penilaian, yaitu: Severity (Tingkat keparahan), Occurance (Frekuensi terjadi), Detection (Kemungkinan penyebab terdeteksi), dan yang terakhir adalah Risk Priority Number (Hasil pengalian dari severity, Occurance, dan Detection.

Dengan menggunakan 2 metode diatas secara seksama, tentunya akan memperkecil kemungkinan bahwa suatu risiko akan menjadi diluar kendali. Risiko itu sendiri hampir tidak mungkin untuk dihindari seutuhnya, namun pengendalian dan mitigasi akan menciptakan kondisi dimana risiko yang akan muncul tetap dapat dikendalikan agar tidak menciptakan masalah yang lebih besar. Hal ini jelas akan membantu Universitas untuk memilih pilihan dengan risiko yang berdampak kecil bagi kelangsung alur pesebaran informasi di universitas tersebut. Seperti yang diketahui bahwa universitas mengolah data yang sangat krusial dan juga sangat banyak, maka dari itu tindakan Mitigasi Risiko yang baik memberikan Mahasiswa layanan yang terbaik sebagaimana tujuan sebuah universitas yaitu menyediakan layanan pendidikan yang berfokus pada Mahasiswa sebagai tujuan utamanya.

Referensi:

Mitigasi Risiko Aset dan Komponen Teknologi Informasi berdasarkan Kerangka Kerja OCTAVE dan FMEA
Analisis dan Mitigasi Risiko Aset TI menggunakan Framework OCTAVE dan FMEA
FMEA
Octave

Bisa dimulai dari memahami apa saja mitigasi resiko IT yang mungkin dan bisa dilakukan. Beberapa diantaranya adalah :

  • Avoidance
    Berfokus pada menghindar dari sumber masalah penyebab resiko. Dilakukan dengan menerbitkan kebijakan yang berfungsi untuk menghindari sumber masalah tersebut. Seperti contoh dibuatnya aturan oleh universitas bahwa mahasiswa maksimal harus lulus sebelum tahun ke 7 agar akreditasi dari Universitas tetap terjaga

  • Reduction
    Mengurangi impact dari resiko. Biasa dilakukan pada resiko yang benar benar tidak bisa dihindari. Seperti contoh resiko Kehilangan Data Mahasiswa pada suatu universitas bisa di negasi dengan melakukan backup secara berkala

  • Transfer
    Mentransfer kan impact kepada pihak lain. Biasanya dilakukan saat ada pihak ketiga yang telah di kontrak untuk ikut mengelola task yang diassign kepadanya

  • Retention
    Menerima impact dari resiko itu sendiri. Langkah terakhir saat impact dari resiko memang benar benar tidak bisa diberi perlakuan lain

Lalu diteruskan dengan apa saja resiko yang kira kira bisa dialami oleh Universitas dari berbagai aspek IT. contohnya :

  • Kehilangan data
  • Sistem tidak bisa melayani akibat overload
  • Ancaman pembobolan sistem oleh pihak tidak bertanggung jawab
  • Bencana alam
  • SDM yang belum mampu beradaptasi dengan implementasi IT, dll

Maka dari cara2 mitigasi yang telah dijelaskan sebelumnya bisa dirumuskan atau dibuat cara menanggulangi nya, seperti :

  • Backup database secara berkala
  • Melakukan scheduling terhadap input agar tidak overload
  • Meningkatkan security system
  • Melakukan training terhadap staff pengelola IT, dll