Teknologi Informasi saat ini sudah menjadi faktor yang menjadi penggerak dalam organisasi dimana dalam menjalankan kegiatan operasionalnya pasti membutuhkan bantuan teknologi informasi. akan tetapi resiko terhadap penggunaan teknologi informasi selalu ada baik secara langsung maupun tidak langsung, baik yang diprediksi mapun tidak dan lain lain. oleh karena itu perlu adanya perencanaan resiko.
Mengapa identifikasi resiko diperlukan dalam perencanaan TI?
Teknologi informasi memainkan peran penting dalam bisnis akan tetapi tetap saja dalam pelaksanaan kegiatan operasional perusahaan, penggunaan TI memiliki resiko. Dahulu resiko TI hanya sebatas pada aset TI, namun kini dengan berkembangnya TI sebagai bagian dalam pengelolaan bisnis, maka resiko TI bukan hanya dilihat sebagai resiko kehilangan aset, namun juga resiko terhadap kehilangan bisnis secara keseluruhan.
Ada banyak sekali ancaman resiko TI yg dapat muncul seperti tindakan pelanggaran hukum seperti serangan hacker, penipuan menggunakan sistem TI, pencurian password, serangan pada data. Selain itu juga terdapat ancaman dari faktor eksternal seperti terjadinya bencana, kerusuhan maupun yang lebih ekstrem seperti tindakam terorisme.
Melihat dampak dari adanya resiko TI yg muncul maka sangat diperlukan sekali pengidentifikasian resiko TI untuk keberlangsungan perusahaan/organisasi.
Sumber:
Risiko mencakup kemungkinan kehilangan sebagian atau seluruh investasi. Sebagian besar proses bisnis saat ini sangat bergantung pada TI, manajemen resiko merupakan topik yang sering dibicarakan dalam tata kelola perusahaan. Resiko TI didefinisikan oleh dua organisasi yang sudah terstandarisasi sebagai berikut :
Resiko TI : Potensi bahwa ancaman tertentu akan mengeksploitasi kerentanan aset dan dengan demikian menyebabkan kerugian bagi organisasi. Hal ini diukur berdasarkan kombinasi probabilitas suatu kejadian dan konsekuensinya [ISO / IEC 13335-1: 2005]
Risiko : Frekuensi yang mungkin terjadi dan kemungkinan besarnya terjadi kerugian di masa depan. -Fair
Information Technology (IT) saat ini memainkan peran yang penting dalam dunia bisnis. Kepala unit organisasi harus memastikan bahwa organisasi memiliki kemampuan yang dibutuhkan untuk mencapai misinya. Manajemen resiko jika digunakan dengan efektif maka dapat membantu manajer untuk mengidentifikasi kontrol apa saja yang diperlukan untuk mempertahankan faktor-faktor TI, karena itu pula sebagian besar organisasi mengalokasikan anggaran yang besar untuk IT Security. Penting untuk mengidentifikasi resiko terhadap sistem dan data TI. Terdapat beberapa resiko yang terjadi jika sebuah bisnis menggunakan TI di dalamnya, diantaranya resiko ancaman umum, resiko ancaman kriminal TI, dan resiko ancaman yang berasal dari alam.
Ancaman umum TI :
Ancaman kriminal TI :
Ancaman TI yang terjadi secara alami dapat berupa bencana alam yang kita sebagai manusia pun tidak dapat memprediksinya. Bencana alam seperti kebakaran, topan, banjir, gempa bumi akan menimbulkan resiko terhadap sistem, data dan infrastruktur TI. Kerusakan hardware komputer dapat mengakibatkan kerugian atau kerusakan transaksi pelanggan.
Ancaman dan resiko terhadap sistem dan data TI merupakan kenyataan sehari-hari bagi kebanyakan bisnis modern saat ini. Maka dari itu dibutuhkan langkah-langkah untuk melindungi sistem dan data organisasi dari ancaman yang paling kriminal yaitu hacker. Rencana pengelolaan dan program untuk mengendalikan resiko pada TI sangat penting. Memahami proses dari manajemen resiko dan keberadaan orang-orang yang berperan penting dapat mengamankan organisasi dalam mencapai misinya.
Terdapat 7 peran kunci personil di dalam organisasi yang harus mendukung dan ikut berpartisipasi dalam proses manajemen resiko, diantaranya :
Oleh karena itu pengelolaan resiko TI perlu diidentifikasi sejak awal agar dapat menghindari resiko lain yang dapat berdampak lebih besar dan dapat merugikan organisasi.
Referensi :
Management in IT Governance Framework
Di dunia informasi ini, kelangsungan dan sukses dari sebuah organisasi sangat tergantung pada efektivitas pengelolaan sistem dan teknologi informasi yang dimiliki oleh perusahaan tersebut. informasi dan teknologi sudah menjadi asset yang sangat penting, karena perubahan bisnis yang sangat cepat dan kompetitif dapat diatasi secara tepat oleh fungsi-fungsi yang diberikan IT.
Oleh karena itu, IT sangat memiliki kontribusi secara langsung bagi sebuah organisasi, seperti pada market value yang sangat memerlukan nilai informasi sebagai nilai awareness terhadap nilai strategis dari aset organisasi IT. Selain itu, pencapaian sasaran bisnis juga harus didukung oleh IT untuk penggunaan yang lebih efektif dan efisien. Statement tersebut bisa digambarkan sebagai berikut, suatu perusahaan tidak dapat jauh dari IT contohnya adalah bank yang harus selalu terhubung dengan IT.
Karena pentingnya IT bagi hampir keseluruhan aspek perusahaan, maka sangat identifikasi resiko terlebih dahulu.
Manajemen risiko menawarkan dasar untuk menciptakan sistem manajemen terpadu yang lengkap dan koheren, dengan menghasilkan strategi manajemen risiko yang efisien. Proses ini memperkuat manajemen perusahaan manapun, dengan memperhatikan infrastruktur teknologi yang ada, strategi pengendalian dan solusi investasi yang diadopsi. (Crouhy, Galai & Mark, 2001)
Manajemen risiko dianggap sebagai bagian terpadu dari manajemen organisasi manapun ( yang tujuannya adalah identifikasi, analisis dan evaluasi risiko, dengan tujuan menerapkan langkah-langkah pengendalian tambahan yang mengarah pada pengurangan risiko. (Ciocoiu, 2008)
Dalam sebuah organisasi bisnis yang menerapkan tatakelola IT, harus mencangkup lima ranah utama dalam visi ISACA (ITGI,2001). Manajemen resiko termasuk dalam salah satu ranahnya karena resiko dalam suatu organisasi akan selalu ada dan tidak dapat dihindari. Manajemen resiko juga merupakan proses berkelanjutan yang perlu identifikasi sejak awal (perencanaan). Jika sudah ada perencanaan, maka menghadapi resiko yang berkelanjutan akan lebih mudah dan pengendaliannya akan lebih dapat diatasi.
(sumber : paper Risk Management in IT Governance Framework by Mirela Gheorghe http://mer.ase.ro/files/2011-2/27.pdf )
Risiko TI mencakup end-to-end, pandangan komprehensif terhadap semua risiko yang berhubungan dengan penggunaan TI dan penanganan penuh terhadap manajemen risiko, mulai dari gaya dan budaya di top level hingga ke masalah operasional.
Penilaian risiko TI yang efektif mengidentifikasikan risiko yang serius, berdasarkan kemungkinan risiko itu terjadi dan biaya ketika bisnis terkena dampaknya. Langkah pertama dalam melakukan rencana manajemen risiko adalah dengan mengidentifikasikan risiko yang potensial terhadap bisnis. Memahami ruang lingkup risiko yang mungkin akan membantu bisnis mengembangkan strategi yang realistis dan menghemat biaya untuk mengatasinya.
Risiko proyek sering memiliki banyak gejala, kondisi, kejadian dan lain-lain yang mengindikasikan adanya risiko. Tim proyek sering kalo mengidentifikasi indikasi risiko tersebut sebagai risiko, sementara risiko yang sebenarnya tidak terdokumentasi dan terlewat. Bahayanya jika mengidentifikasi indikator risiko bukan risiko yang sebenarnya adalah risiko yang sebenarnya tidak berdokumen dan risiko yang tidak terdokumentasi tidak bisa dikelola.
Identifikasi risiko yang tidak benar bisa menyebabkan gelondongan risiko yang sangat besar terdiri dari kumpulan risiko, indikator risiko, masalah dan lain-lain. Gelondongan risiko ini bisa dengan cepat tidak terkelola karena ukurannya. Satu risiko mungkin terdapat puluhan gejala atau kondisi yang masing-masing memerlukan usaha yang signifikan untuk didokumentasi, mengembangkan rencana perawatan, dan melaporkan statusnya. Sementara tim proyek menghabiskan banyak waktu untuk mengelola indikator risiko, risiko yang sebenarnya terjadi tidak hanya menyebabkan penundaan jadwal, anggaran boros, kualitas rendah dan lain-lain tapi juga menyebabkan tim proyek kehilangan kepercayaan dirinya untuk mengelola risiko dengan efektif.
Kesimpulannya, sangat penting untuk mengidentifikasi risiko dalam perencanaan pengelolaan TI. Dalam mengidentifikasikannya juga perlu berhati-hati jangan sampai indikator risiko yang malah terdokumentasi bukannya risiko itu sendiri. Identifikasi risiko yang baik membantu perusahaan dalam mitigasi risiko dan mengurangi pengeluaran biaya akibat risiko.
Sumber:
Manajemen resiko merupakan proses menganalisa resiko atau kerugian dan mengambil tindakan untuk meminimalisasi potensi maupun realita dampak yang dihadapi organisasi (Smith, 2004). Berdasarkan standard ISO/IEC 31000:2009, identifikasi resiko memegang peranan penting dalam penilaian resiko memegang peranan penting pada penilaian resiko. Baik identifikasi maupun penilaian resiko maupun rangkaian tahap dari manajemen resiko.
Identifikasi penting karena merupakan tahap pertama yang harus dilakukan karena dalam tahap ini dilakukan karena dalam tahap ini dilakukan penentuan resiko beserta karakteristiknya.kegagalan dalam tahapan ini akan pengaruh kepada tahapan manajemen resiko selanjutnya.Dan pengelolaan resiko membutuhkan ketersidiaan informasi yang memadai seperti data historis, pengalaman perusahaan, umpan balik dari pemangku kepentinga, observasi, dan penilaian ahli sehingga pata pengambil keputusan dapat meyakini bahwa keputusannya telah memperhitungkan semua informasi yang tersedia pada waktu keputusan tersebut dibuat.
Identifikasi Resiko berdasarkan ISO/IEC 31000:2009
Berdasarkan standard ISO/IEC 31000:2009, identifikasi resiko memegang peranan penting pada penilaian resiko. Baik identifikasi maupun penilaian resiko merupakan rangkaian tahap dari manajemen resiko . Identifikasi resiko penting karena merupakan tahap pertama yang harus dilakukan karena dalam tahap ini dilakukan penentuan resiko – resiko beserta karakteristiknya yang mungkin akan mempengaruhi proyek. Kegagalan dalam tahapan ini akan berpengaruh besar terhadap tahapan manajemen resiko selanjutnya dan tentu akan mempengaruhi reliabilitas bagi proyek karena banyaknya kerentanan / celah yang mungkin akan terjadi di masa yang akan datang.
Tahapan Manajemen Resiko
Tujuan utama dalam identifikasi resiko adalah untuk mengetahui daftar – daftar resiko yang potensial dan berpengaruh terhadap tujuan / proses bisnis suatu organisasi (Harold, 2010). Sesuai dengan ISO/IEC 31000:2009, identifikasi resiko tersebut dapat dilakukan dengan memperhatikan hal – hal berikut :
Masukan Identifikasi Resiko
Apa saja yang dapat terjadi, kapan, dan dimana?
Pertanyaan ini akan menjawab secara detail apa saja yang kemungkinan negatif dapat terjadi dalam suatu proses bisnis dilihat dari waktu dan posisi / tempat yang dipengaruhi.
Untuk mengetahui apa saja yang dapat terjadi, suatu organisasi dapat melakukan studi terkait proses bisnis perusahaan, proses bisnis dari layanan / produk bidang teknologi informasi dan komunikasi yang dimiliki.
Mengapa dan bagaimana resiko dapat terjadi?
Pertanyaan ini digunakan sebagai pertimbangan terkait dengan penyebab resiko dan skenarionya.
Teknik Identifikasi Resiko
Berbagai teknik yang dapat dilakukan untuk melakukan identifikasi resiko antara lain sebgaia berikut :
Pemilihan metodologi identifikasi resiko yang sesuai dengan kondisi eksisting perusahaan / organisasi.
Sumberdaya manusia yang dilibatkan dalam aktivitas identifikasi resiko
Pendekatan siklus hidup untuk mengidentifikasi resiko dan menentukan bagaimana resiko berubah dan masuk dalam siklus hidup tersebut.
Identifikasi Resiko berdasarkan ISO/IEC 27001
Panduan manajemen resiko ISO/IEC 31000:2009 menjelaskan masukan dan teknik dari identifikasi resiko, namun belum dapat menjelaskan proses identifikasi resiko itu sendiri. Oleh karena itu, dibutuhkan standar lain yang dapat menjelaskan bagaimana proses identifikasi resiko yang komprehensif, yaitu ISO/IE 27001.
Tahapan Identifikasi Resiko
Berikut ini tahapan identifikasi resiko :
Studi Literatur
Studi literatur dilakukan untuk menjawab permasalahan yang pertama, yaitu terkait bagaimana melakukan identifikasi resiko secara konprehensif berdasarkan ISO 31000:2009. Keluaran dari studi literatur ini adalah penjelasan aktivitas – aktivitas yang dilakukan untuk identifikasi resiko berdasarkan ISO 31000:2009, masukan yang dibutuhkan, dan teknik – teknik yang direkomendasikan untuk melakukan identifikasi.
Identifikasi Aset
Setelah studi literatur, berikutnya adalah mengidentifikasi asset – asset teknologi informasi yang dimiliki berdasarkan komponen sistem informasi, yaitu data, perangkat lunak, perangkat keras, sumber daya manusia, dan prosedur. Keluaran dari tahap ini adalah daftar asset teknologi informasi yang dimiliki.
Identifikasi Ancaman
Masing – masing aset – aset yang telah teridentifikasi sebelumnya diidentifikasi ancamannya pada tahap ini. Sehingga keluarannya adalah berupa ancaman – ancaman dari internal dan eksternal organisasi.
Identifikasi Kerentanan
Ancaman memiliki dampak terhadap kerentanan. Identifikasi kerentanan pada setiap ancaman tersebut akan diidentifikasi pada tahap ini, sehingga keluarannya adalah daftar kerentanan aset.
Identifikasi Dampak Kerenanan
Kerentanan yang ada pastinya memiliki dampak terhadap layanan yang diberikan kepada civitas Jurusan Sistem Informasi. Dampak – dampak tersebut akan diidentifikasi pada tahap metode ini, sehingga keluarannya adalah daftar dampak kerentanan terhadap layanan.
Sumber : Chowdhury, A. A., & Arefeen, S. (2011). Software Risk Management: Importance and Practices. IJCIT.
