Session 02
The Risk Management Lifecycle
Setiap bidang dalam bisnis memiliki resiko nya tersendiri. Contohnya di bidang sistem
informasi, risiko potensialnya adalah seperti terjadinya pelanggaran keamanan data,
kehilangan data, serangan dunia maya, kegagalan sistem, dan bencana alam. Sedangkan
potensi risiko yang akan terjadi di perusahaan Manufaktur adalah gagal mencapai target
produksi yang direncanakan, kerusakan mesin, hilangnya pesanan dari pelanggan, terjadinya
masalah kualitas produk dan lain sebagainya. Proses manajemen risiko yang efektif akan
Proses manajemen risiko merupakan bagian yang penting dari manajemen risiko karena
merupakan penerapan atas prinsip dan kerangka kerja manajemen risiko yang telah dibangun.
Ada 7 langkah dasar yang diambil untuk mengelola risiko, yang disebut sebagai siklus hidup
manajemen risiko. Gambar 1 menunjukkan setiap tahapan dalam siklus hidup manajemen
risiko, mencakup deskripsi singkat bersama dengan pihak yang bertanggung jawab di setiap
tahapannya. Tanggung jawab di setiap langkah dibagi antara tim information security dan
business owner karena tim information security tidak dapat menjadi satu-satunya tim yang
mengelola risiko untuk organisasi. Tim information security dapat memandu proses,
memberikan pengawasan, dan membuat rekomendasi, tetapi pada akhirnya bisnislah yang
memiliki risiko. Berikut adalah penjelasan untuk masing-masing tahapan :
1. Resource Profiling
Resource profile merupakan proses awal yang digunakan untuk membantu
menentukan sumber daya dan tingkat sensitivitas risiko. Membuat kategori atau
tingkatan sumber daya berdasarkan kepentingannya bagi organisasi, atau dampak
potensial jika keamanannya dilanggar. Secara umum, tahap ini berpikir tentang
sumber daya yang paling diandalkan dalam fungsi organisasi, sumber daya dengan
data paling sensitif, atau sumber daya yang paling terlihat oleh publik. Idenya adalah
untuk mengoperasionalkan tingkatan sumber daya ini ke dalam tingkat kepentingan
bagi organisasi dan menggunakan informasi ini untuk memprioritaskan pekerjaan
penilaian selanjutnya.
2. Risk Assessment
Risk Assessment adalah fungsi untuk mengidentifikasi ancaman dan kerentanan untuk
sumber daya tertentu, mengartikulasikan risiko, dan menilai eksposur risiko tersebut
pada skala tertentu. Risk Assessment merupakan gabungan aktivitas untuk mengambil
kerentanan data, memetakannya ke kemungkinan ancaman, mengevaluasi tingkat
keparahannya dalam ruang lingkup tertentu, dan mengartikulasikan risiko yang
mungkin timbul. Setelah risiko diidentifikasi, risiko perlu diperiksa dalam kaitannya
dengan kemungkinan dan dampaknya. Sangat penting untuk menilai probabilitas
suatu risiko dan konsekuensi dari risiko ini yang terjadi. Ini akan membantu
menentukan risiko mana yang harus diprioritaskan dan mana yang memiliki dampak
terendah.
3. Risk Evaluation
Tahap berikutnya evaluasi risiko, yaitu memberi keputusan untuk menerima,
menghindari, mentransfer, atau mengurangi risiko. Pada tahap ini akan menentukan
langkah-langkah yang tepat untuk mengelola risiko. Selama tahap evaluasi risiko,
risiko baru diidentifikasi perlu dibandingkan dengan daftar risiko bagi
perusahaan/organisasi, dan prioritas harus ditentukan berdasarkan gambaran besar
dari semua risiko dengan mempertimbangkan waktu dan sumber daya yang tersedia.
Terdapat beberapa opsi untuk menangani risiko:
Terdapat banyak tim dan peran berbeda yang terlibat dalam siklus hidup manajemen risiko.
Seperti Business Owner, Custodian, Information Security, dll. Business Owner merupakan
ahli pokok dalam hal menentukan kebutuhan sumber daya dan sering kali tim Teknologi
Informasi mengambil peran sebagai penjaga sumber daya dan menjalankan peran dalam
menerapkan dan memelihara control tersebut. Tim information security bertanggungjawab
untuk memastikan penilaian risiko dilakukan secara akurat dan tepat waktu.
Dalam Tabel 2.1, Business Owner sengaja dicantumkan terlebih dahulu untuk langkah 3 dan
4 karena mereka harus mengarahkan aktivitas risiko tersebut dengan dukungan dan panduan
Aspek keamanan biasanya seringkali ditinjau dari tiga hal, yaitu Confidentiality, Integrity,
dan Availability. Biasanya ketiga aspek ini sering disingkat menjadi CIA.
⮚ Confidentiality
Confidentiality merupakan aspek yang menjamin kerahasiaan data atau informasi.
Kerahasiaan ini dapat diimplementasikan dengan berbagai cara, seperti misalnya
menggunakan teknologi kriptografi dengan melakukan proses enkripsi (penyandian,
pengkodean) pada transmisi data, pengolahan data (aplikasi dan database), dan
penyimpanan data (storage). Teknologi kriptografi dapat mempersulit pembacaan data
tersebut bagi pihak yang tidak berhak. Akses terhadap informasi juga harus dilakukan
dengan melalui mekanisme otorisasi (authorization) yang ketat. Tingkat keamanan
Dalam membuat keputusan penanganan resiko, ada dua pertimbangan antara lain :
- Jika aturan manajemen risiko adalah bahwa perusahaan/organisasi tidak dapat
menghilangkan semua risiko,
- Jika nomor aturan manajemen risiko adalah bahwa perusahaan/organisasi tidak harus
mencoba untuk "memperbaiki" setiap kerentanan. Setelah menilai semua risiko, perlu
mempertimbangkan dan memprioritaskan sehingga dapat membuat keputusan
tentang yang risiko.