Secara umum, risiko didefinisikan sebagai hasil kemungkinan atas kejadian dan dampak dari
sebuah kejadian yang dapat terjadi. Dalam teknologi informasi, risiko didefinisikan sebagai hasil
dari nilai asset dan kerentanan sistem terhadap risiko dan ancaman yang ditimbulkannya bagi
organisasi.
IT Risk Management adalah penerapan dari prinsip-prinisip manajemen risiko terhadap
perusahaan yang memanfaatkan teknologi informasi dengan tujuan untuk dapat mengelola
risiko-risiko yang berhubungan dengan perusahaan tersebut. Risiko-risiko yang dikelola meliputi
kepemilikan, operasional, keterkaitan, dampak, dan penggunaan dari teknologi informasi pada
sebuah perusahaan.
RISK ASSESSMENT
Penilaian risiko adalah alat dan teknik yang dapat digunakan untuk
mengevaluasi sendiri tingkat risiko proses atau fungsi yang diberikan. Proses
harus menyeluruh dan lengkap; jika tidak, elemen risiko dapat dinilai sangat
tinggi. Oleh karena itu, manajemen harus mengevaluasi kualitas sebuah proses,
terutama di dunia teknologi yang terus berubah saat ini dengan kompleksitas
yang semakin meningkat.
Di dalam pagar bagian dalam, tanggul atau pengerjaan tanah sering dibangun
untuk mengisolasi lebih lanjut bangunan. Bangunan itu sendiri umumnya dibangun
dari batu tanpa jendela dan dengan pintu baja dan pintu tahan ledakan. Ini
tindakan pencegahan yang sama dibangun ke beberapa fasilitas baru, tetapi
1970-an dan 1980-an belum memberikan validasi empiris terhadap dugaan ancaman
untuk memimpin banyak orang perusahaan untuk memasang keamanan fisik lengkap.
Literatur saat ini dan studi terbaru sering menyebutkan perlunya keamanan
fisik, tetapi ada masalah yang lebih besar dengan aspek-aspek lain dari
masalah. Satu otoritas terkemuka dalam keamanan data lebih jauh dengan
menyarankan pandangan bahwa keamanan adalah masalah teknis. Pakar lain telah
menyatakan ortodoksi saat ini bahwa keamanan IS adalah masalah manusia dan
ancaman utamanya adalah ketidakmampuan dan "kesalahan manusia yang tidak
disengaja." Tindakan jahat dan ganas adalah kemungkinan yang terukur, tetapi
mereka dipandang menyerukan tanggapan yang jauh lebih kejam daripada membangun
benteng yang tak tertembus untuk menampung IS. Ā konsep telah semakin terkikis
oleh penggunaan mikrokomputer yang luas, didistribusikan
sistem pemrosesan data, dan arsitektur klien / server, yang tidak dapat secara
efektif terkurung di dalam dinding aman dari jendela tanpa jendela.
The Guardians
Penjaga telah memberikan pandangan penilaian risiko dan kontrol akses
keamanan, yang menggambarkan itu sebagai bentuk kejahatan dan korupsi dalam
organisasi dan masyarakat yang lebih luas. Ini spesialis cenderung berbicara
tentang "kejahatan komputer" dan kegagalan kontrol dan prosedur manajemen
sebagai risiko serius bagi integritas, akurasi, dan keandalan IS. Pakar
seperti Dr Jerry Fitzgerald, Robert Parker, Belden Menkus, J.J. Bloombecker,
dan almarhum Dr Harold J. Highland telah membuat katalog spesifik jenis-jenis
penjahat komputer termasuk data diddler, Trojan horse, alat pengiris salami,
pembom logika, penyerang tidak sinkron, pemulung, penangkap kebocoran,
piggybackers, dan simulasi dan pemodelan penjahat. Artikel terbaru di majalah
nasional dan (IT) jurnal profesional telah menekankan pentingnya inisiatif
legislatif federal untuk manajer dan profesional SI. Mereka menekankan
tanggung jawab yang diciptakan undang-undang ini untuk praktik tersebut
manajemen sebagai profesi dan tanggung jawab untuk penegakan yang berada di
kedua auditor perusahaan sendiri dan auditor publik dan pemerintah. Ā adalah
sudut pandang menjadi semua terlalu nyata bagi banyak dari kita pada 11
September 2001. Ini berfungsi untuk mengingatkan kita bahwa wali pandangan itu
nyata dan harus dihormati dalam keputusan manajemen.
Sulit, memang sia-sia, untuk berpendapat bahwa pengenalan hukum negara bagian
dan federal tidak mewakili adanya risiko integritas, keandalan, dan akurasi.
Undang-undang ini lebih dari sekadar mencerminkan a tingkat risiko dalam
lingkungan yang diyakini masyarakat cukup besar untuk diwakili ancaman bagi
kesejahteraan masyarakat. Homeland Security Act of 2002 telah membuat keamanan
TI urusan semua orang. Undang-undang tersebut mengakui risiko nyata dan dapat
dikuantifikasi bagi para manajer dan profesional sistem dengan memberlakukan
tanggung jawab khusus untuk mengambil tindakan yang diperlukan untuk
melindungi keamanan dan privasi sumber daya informasi yang dipercayakan kepada
administrasi mereka. Sampai rilis terbaru "Strategi Nasional untuk Mengamankan
Dunia Maya" pemerintah AS, kebanyakan akan menunjukkan bahwa kepala sekolah
masalah dengan pendekatan wali adalah hukum, peraturan, dan prosedur
administrasi jangan melindungi aset. Undang-undang, peraturan, dan prosedur
ini hanya menetapkan semacam pola yang seragam perilaku yang diharapkan dan
memberikan retribusi untuk pelanggar. Laporan ini mengidentifikasi aset-aset
tersebut.
The Gatekeepers
Penjaga gerbang memandang risiko sebagai endemik bagi semua IS organisasi.
Seperti para castellans, para penjaga gerbang percaya bahwa cara terbaik untuk
melindungi sumber daya informasi adalah dengan membatasi akses yang dimiliki
individu ke sumber daya tersebut. Pendekatan untuk membatasi akses itu cukup
berbeda. Recognize e gatekeepers mengenali di mana-mana cara mengakses IS di
era IS terdistribusi dan jaringan ini. Jenis-jenis kegiatan pemeliharaan
gerbang utama yang umum telah disarankan dalam literatur. Ini
teknik termasuk penggunaan kata sandi dan tabel akses, skema enkripsi, dan
alami dan perangkat identifikasi “perangkat keras” artifisial untuk membatasi
akses.
Risk Management
IT Risk Identification
Step adalah langkah yang sangat penting karena risiko yang tidak dapat
diidentifikasi dipertahankan secara default. Seperti halnya bisnis, dan IT
adalah tidak terkecuali, dengan menggunakan beberapa alat identifikasi berikut
dapat memastikan tinjauan komprehensif:
Audit atau inspeksi oleh manajer, pekerja, atau pihak independen dari
operasional perusahaan situs atau praktik
Operasi atau proses bagan alur operasi perusahaan.
Penggunaan kuesioner analisis risiko secara berkala di mana informasi
dapat ditangkap tentang operasi perusahaan dan aktivitas berkelanjutan.
Jika pertanyaan terlalu umum, eksposur yang tidak biasa atau area
kerugian unik dapat diabaikan.
Analisis laporan keuangan menggunakan perangkat lunak spreadsheet untuk
menggambarkan tren pendapatan dan biaya area, mengidentifikasi analisis
paparan aset.
Daftar periksa polis asuransi — katalog berbagai polis atau jenis
asuransi yang mengidentifikasi risiko yang dapat diasuransikan yang
terukur.
IT Risk Evaluation
Evaluasi TI melibatkan kuantifikasi atau pemeringkatan ukuran dan kemungkinan
potensi kerugian. Risiko dapat dikategorikan sebagai berikut:
Kritis. Eksposur ini akan mengakibatkan kebangkrutan
Penting. Ini adalah eksposur di mana kemungkinan kerugian tidak akan
menyebabkan kebangkrutan tetapi mengharuskan bisnis untuk mengambil
pinjaman untuk melanjutkan operasi.
Tidak penting. Ini adalah eksposur yang dapat ditampung oleh aset atau
lancar yang ada pendapatan tanpa memaksakan ketegangan keuangan yang
tidak semestinya.
IT Risk Management
Secara umum, keuntungan finansial dari retensi kerugian lebih besar ketika :
Perbedaannya kecil antara suku bunga pada rekening likuid dan tingkat
pengembalian modal dipekerjakan dalam suatu bisnis
Tarif asuransi komersial pada risiko relatif tinggi dibandingkan dengan
peluang biaya dana
Kebutuhan perusahaan yang dirasakan untuk dana cadangan kerugian cair
rendah sehingga perusahaan bersedia untuk menerima lebih banyak risiko
Akhirnya, catatan dan dokumen kerugian dan pilihan masa lalu dapat digunakan
sebagai informasi utama sumber dalam proses memilih teknik penanganan risiko
yang tepat. Dengan cara ini, pengetahuan, pengalaman, dan pola masa lalu dapat
digunakan untuk membuat keputusan yang lebih baik untuk masa depan.
Setelah teknik yang tepat telah dipilih, itu harus diimplementasikan. Itu
perlu fakta dan angka sekarang tersedia untuk membantu menegosiasikan
asuransi, mengatur pencegahan kerugian program, atau membentuk dana cadangan
kerugian. Struktur analisis risiko telah diilustrasikan sebelumnya.
IT Insurance Risk
Bidang ketiga penilaian risiko terkait operasi TI adalah asuransi TI.
Pemahaman yang jelas asuransi dan manajemen risiko diperlukan untuk meninjau
kecukupan organisasi Asuransi TI. Manajemen TI dan administrator keamanan data
harus mengetahui hubungan antara risiko dan asuransi untuk memahami alasan di
balik pilihan asuransi dan jenis-jenis asuransi yang paling berlaku untuk
lingkungan TI. Ā menyediakan portofolio ikhtisar alasan dan metode analisis
risiko, alternatif asuransi, dan apa yang harus dicari dalam cakupan asuransi
TI. Ketika kita bergerak menuju E-commerce, kebutuhan untuk ulasan ini menjadi
jelas karena E-commerce spamming, denial-of-service (DOS) serangan, dll.,
dapat kehilangan peluang. Bisnis harus memiliki cara untuk melindungi dirinya
sendiri dan memulihkan kerugiannya.
Problems Addressed
Asuransi mendistribusikan kerugian sehingga kerugian yang menghancurkan bagi
individu atau bisnis tersebar dengan adil di antara sekelompok anggota yang
diasuransikan. Asuransi tidak mencegah kerugian atau mengurangi biayanya; itu
hanya mengurangi risiko. Risiko adalah kemungkinan penyimpangan yang merugikan
dari hasil yang diinginkan (mis., kemungkinan meninggal sebelum mencapai usia
72 tahun, rumah dihancurkan oleh api, atau gangguan dalam operasi bisnis, dan
sekarang, situs E-commerce kelebihan muatan dengan tidak valid transaksi atau
spam bisnis TI). Ketika tidak dikelola, dapat diasumsikan risiko yang
seharusnya diasuransikan dan sebaliknya. Polis asuransi sering kali memberikan
cakupan yang tumpang tindih di beberapa area dan tidak ada yang kritis.
Masalah lain mungkin termasuk kurangnya kontrol atas kerugian dan premi biaya,
pengaturan asuransi tidak ekonomis, kesalahan organisasi, dan kegagalan untuk
mengadopsin teknik pencegahan kerugian.
Insurance Requirements
syarat-syarat berikut harus dipenuhi bagi perusahaan asuransi untuk menghitung
risiko dalam istilah moneter dan mendistribusikan biaya lebih dari cukup
anggota untuk menutupi kerugian dan meninggalkan keuntungan.
Objek yang diasuransikan harus memiliki jumlah dan kuantitas yang
mencukupi untuk memungkinkan penutupan yang wajar perhitungan
kemungkinan kerugian.
Kerugian harus disengaja.
Kerugian harus mampu ditentukan dan diukur.
Semua benda yang diasuransikan tidak dapat dihancurkan secara bersamaan
(mis., Bencana bahaya harus minimal).
Meskipun ada biaya yang jelas (yaitu, premi) yang terlibat dalam asuransi,
beberapa ekonomi dan sosial nilai-nilai asuransi yang mungkin tidak jelas
untuk dimasukkan adalah :
Jumlah akumulasi dana yang dibutuhkan untuk memenuhi kemungkinan
kerugian berkurang.
Cadangan kas yang diakumulasikan oleh perusahaan asuransi dibebaskan
untuk tujuan investasi, sehingga menghasilkan yang lebih baik alokasi
sumber daya ekonomi dan peningkatan produksi.
Karena pasokan dana investasi lebih besar daripada tanpa asuransi, modal
tersedia dengan biaya lebih rendah.
Pengusaha dengan perlindungan asuransi yang memadai adalah risiko kredit
yang lebih baik.
Penanggung aktif terlibat dalam kegiatan pencegahan kerugian.
Asuransi berkontribusi terhadap stabilitas bisnis dan sosial dengan
melindungi perusahaan dan perusahaan mereka para karyawan.
Asuransi adalah sarana penting bagi bisnis untuk menangani risiko; itu bukan
satu-satunya cara. Berdasarkan standar asuransi, risiko diklasifikasikan
sebagai risiko komersial yang dapat diasuransikan atau tidak dapat
diasuransikan. Risiko yang dapat diasuransikan secara komersial adalah sebagai
berikut:
1. Property risks.
2. Personal risks.
3. Legal liability risks.
Berikut ini adalah risiko yang tidak dapat diasuransikan secara komersial.
1. Market risks.
2. Political risks.
3. Production risks.
Setelah proses manajemen risiko telah ditinjau, penyelidikan yang lebih rinci
terkait TI risiko dapat dimulai. Berikut ini adalah daftar pertanyaan yang
harus ditangani :
Pencegahan dan pengurangan:
Apakah ada rencana kontinjensi pemulihan bencana yang komprehensif
dan terkini?
Upaya apa yang telah dilakukan untuk memastikan bahwa rencana itu
bisa dilaksanakan?
Apakah ada cadangan di luar kantor untuk file yang sesuai?
Apakah prosedur dan praktik untuk mengendalikan kecelakaan
memadai?
Apakah ada pemeriksaan kontrol yang sesuai pada operasi?
Transfer:
Apakah risiko ditangani oleh asuransi sesuai dengan tujuan dan
risiko manajemen risiko analisis?
Apakah perusahaan asuransi sudah diperiksa?
Retensi :
Apakah risiko dipertahankan sesuai dengan tujuan manajemen risiko
dan analisis risiko?
Pernahkah deductible digunakan secara bijaksana dalam polis
asuransi?
Di lingkungan TI, ada risiko khusus yang biasanya ditangani oleh asuransi,
Termasuk :
Kerusakan peralatan komputer
Biaya media penyimpanan
Biaya untuk memperoleh data yang disimpan di media
Kerusakan pada orang luar
Efek bisnis dari hilangnya fungsi komputer
Available Guidance
Ada beberapa dokumen standar profesional yang memberikan panduan kepada
auditor dan manajer yang terlibat dalam penilaian risiko. Standar membantu
dalam pengembangan teknologi dan menyediakan pengukuran kualitas yang
konsisten jika diadopsi, dipelihara, dan didukung oleh organisasi.
Berikut ini adalah standar yang terkait dengan penilaian risiko dalam operasi
TI. Tidak berarti daerah ini terbatas pada masalah A.S. Tinjauan operasional
mencakup komunitas bisnis global. Satu dari upaya terbaru adalah Organisasi
Standar Internasional (ISO) dan upayanya untuk mengembangkan ISO Guide 73
tentang terminologi manajemen risiko. Ini juga memiliki sejumlah proyek di
bawah program teknis Komite JTC 1 tentang TI.
U.S. National Institute of Standards and Technology
Fokus utama kegiatan NIST dalam TI adalah memberikan kriteria pengukuran untuk
mendukung pengembangan teknologi penting ke depan. Standar dan pedoman NIST
dikeluarkan sebagai Federal Information Processing Standards (FIPS) untuk
penggunaan di seluruh pemerintah. NIST mengembangkan FIPS ketika ada
persyaratan pemerintah federal yang mendesak untuk standar TI terkait keamanan
dan interoperabilitas dan tidak ada standar atau solusi industri yang dapat
diterima. Mendukung situs Web yang sangat bagus di www.nist.gov dan
menyediakan informasi dan alat yang sangat berguna. Sebagai contoh, Pusat
Sumber Daya Keamanan Komputer (CSRC) memiliki paket yang disebut Automated
Security Self- Alat Evaluasi (ASSET) dan yang lain disebut Webmetrics, Versi
3.0, ditemukan dalam Informasi Divisi Akses.
Proses GAO yang diilustrasikan sebelumnya adalah panduan pemerintah federal untuk
implementasi SAS ini. potensi inisiasi atau perubahan informasi yang tidak patut terjadi dan
tidak terdeteksi mungkin lebih besar jika informasi diproduksi, dipelihara, atau diakses hanya
dalam bentuk elektronik. Dalam keadaan seperti itu, auditor harus melakukan tes kontrol untuk
mengumpulkan hal-hal penting untuk digunakan dalam menilai risiko kontrol, atau
mempertimbangkan efek pada laporannya. " Proses GAO yang diilustrasikan sebelumnya adalah
panduan pemerintah federal untuk implementasi SAS ini. potensi inisiasi atau perubahan
informasi yang tidak patut terjadi dan tidak terdeteksi mungkin lebih besar jika informasi
diproduksi, SAS 94 diadopsi pada tahun 2001. SAS memberikan panduan kepada auditor tentang
efek TI pada pengendalian internal dan pada pemahaman auditor tentang pengendalian internal
dan penilaian risiko pengendalian. SAS 94 mengubah SAS 55, "Pertimbangan Pengendalian
Internal dalam Audit Laporan Keuangan."
Manajemen juga mendasarkan keputusannya pada seberapa besar kontrol yang sesuai
pada penilaian tingkat eksposur risiko yang siap diterima. Sebagai contoh, ketidakmampuan
untuk memproses aplikasi komputer untuk periode waktu tertentu adalah paparan yang dapat
dihasilkan dari peristiwa yang tidak terduga dan tidak diinginkan (misalnya, kebakaran pusat
data). Eksposur dapat dikurangi dengan penerapan kontrol yang dirancang dengan tepat. Ini
adalah kontrol yang biasanya didasarkan pada stimulasi dan dimaksudkan untuk mengurangi
kemungkinan tersebut. Misalnya, alarm kebakaran tidak mencegah kebakaran tetapi
dimaksudkan untuk mengurangi tingkat kerusakan kebakaran. Pedoman yang menyediakan
panduan dalam menerapkan standar audit TI. Auditor TI harus mempertimbangkannya dalam
menentukan bagaimana mencapai implementasi standar sebelumnya, menggunakan penilaian
profesional dalam penerapannya, dan bersiap untuk menjustifikasi setiap keberangkatan.
Kesimpulan
Perusahaan baru mulai mendapat manfaat dari melindungi diri mereka sendiri dari potensi risiko.
Dengan mengidentifikasi dan memetakan risiko di seluruh organisasi, sebuah perusahaan dapat
berkonsentrasi untuk memitigasi paparan yang paling banyak menimbulkan kerusakan. Dengan
pemahaman tentang risiko, tingkat keparahannya, dan frekuensi risiko tersebut, perusahaan dapat
beralih ke solusi, baik itu mempertahankan, mentransfer, berbagi, atau menghindari risiko
tertentu.
Organisasi harus mengembangkan program manajemen risiko yang baik untuk dapat
menentukan kecukupan cakupan asuransi TI mereka. Langkah pertama dalam mengembangkan
program dengan benar adalah menyadari batasan dan keuntungan asuransi dan mempelajari
metode pengurangan risiko. Untuk program manajemen risiko itu sendiri, tujuan harus
ditentukan; risiko harus diidentifikasi, dikategorikan, dan dievaluasi; dan teknik penanganan
risiko harus dipilih. Memahami pilihan asuransi dan berbagai kebijakan yang tersedia juga
penting. Pengembangan program manajemen risiko darurat membutuhkan upaya signifikan dari
semua pihak. Namun, begitu ditetapkan, manfaat mengelola risiko menjadi sangat berharga.