Commitment manager untuk membuat IT Risk Management
Melakukan perencanaan untuk kemungkinan yang akan terjadi adalah suatu proses yang kompleks dan sangat menuntut. Sama seperti percobaan lainnya, hal ini akan terus berkembang dengan pendekatan melalui metodelogi yang menempatkan tantangan terhadap organisasi atau perusahaan hadapi ketika terjadi kecelakaan, bencana alam, ataupun krisis lainnya secara sistematis. Untuk membuat sebuah Contingency Plan (CP), sebuah perusahaan atau organisasi harus mempertimbangkan dengan serius hal – hal berikut ini:
Usaha yang panjang dan kompleks ketika mengatur proses perencanaan.
Mempersiapkan rencana yang detil dan komplit.
Berkomitmen untuk mempertahankan rencana tersebut pada kondisi yang siap di setiap waktu.
Melatih kegunaan rencana dengan teliti dan tekun seperti yang biasa dilakukan oleh organisasi militer, dan
Mempertahankan proses yang diperlukan untuk menjaga kesiapan rencana di setiap waktu.
Semua hal yang diatas harus terjadi di tengah tekanan tuntukan operasional sehari-hari dan faktor give-and-take dari alokasi sumber daya umum untuk organisasi atau perusahaan.
1. Beginning the Contingency Planning Process
Untuk memulai proses dari perencanaan kemungkinan yang akan terjadi, pertama-tama sebuah organisasi atau perusahaan harus menetapkan unit yang akan bertanggung jawab terhadap kebijakan dan rencana yang suatu saat akan muncul dari proses. Sebelum adanya perencanaan yang berarti, mereka yang ditugaskan harus menentukan ruang lingkup proyek perencanaan dan mengidentifikasi sumber daya yang digunakan. Oleh karena itu Contingency Planning Management Team (CPMT) dibentuk untuk tujuan tersebut. CPMT juga bertanggung jawab terhadap fungsi – fungsi tambahan lainnya, seperti:
Mendapatkan komitmen dan dukungan dari senior management.
Menulis dokumen rencana kemungkinan yang akan terjadi.
Melakukan Business Impact Analysis (BIA), yang termasuk:
o Membantu mengidentifikasi dan memprioritaskan ancaman dan serangan.
o Membantu mengidentifikasi dan memprioritaskan fungsi – fungsi bisnis.
Mengorganisir tim bawahan, seperti:
o Incident Response
o Disaster Recovery
o Business Continuity
o Crisis management
Sebuah daftar nama posisi yang umum untuk CPMT termasuk posisi – posisi berikut ini:
Champion: Manager level tinggi yang memiliki pengaruh dan sumber daya yang dapat digunakan untuk membatu tim proyek, mempromosikan tujuan dari proyek CP, dan mendukung hasil dari usaha gabungan. Biasanya CIO atau CEO secara ideal.
Project Manager: Manager level menengah atau mungkin CISO, harus memimpin sebuah proyek dan memastikan perencanaan proses proyek digunakan, rencana proyek yang lengkap dan berguna telah dibuat, dan sumber daya proyek diatur dengan hati-hati agar mencapai tujuan proyek.
Team Members: anggota tim proyek harus menjadi manajer dari perwakilan mereka dari komunitas yang bermacam-macam, seperti bisnis, IT dan SI.
Perwakilan dari unit bisnis: area lainnya dari bisnis, seperti human resource, public relation, finance, legal, dan / atau physical plant operations harus diwakilkan. Tim juga harus menambahkan perwakilan seperti:
o Perwakilan manager bisnis yang familiar terhadap operasi area fungsional masing-masing harus menyediakan rincian kegiatan mereka dan memberikan wawasan tentang kekritisan fungsi mereka untuk kelanjutan suluruh bisnis
o Manager IT yang familiar terhadap sistem yang beresiko dan rencana Incident Response (IR), Disaster Recovery (DR), dan rencana kelangsungan bisnis yang diperlukan untuk menyediakan konten teknikal untuk proses perancangan.
o Manager Information Security untuk mengamati perencanaan keamanan dari proyek dan menyediakan informasi tentang ancaman, kelemahan, serangan, dan kebutuhan recovery yang dibutuhkan dalam proses perencanaan.
Perwakilan dari tim bawahan: Tim yang bukan dari tim inti CPMT mempunyai fungsi penting yang merupakan komponen dari seluruh usaha perencanaan kemungkinan. Tim ini berbeda-beda karena fungsi individualnya sangat beda dan mungkin diaktifkan di waktu yang berbeda, atau mereka dapat aktif secara bersamaan. Tim bawahan termasuk tim-tim berikut ini:
o Incident Response Team: mengatur dan menjalankan rencana Incident Response dengan mendeteksi, evaluasi, dan menanggapi kejadian.
o Disaster Recovery Team: mengatur dan menjalankan rencana Disaster Recovery dengan mendeteksi, evaluasi, dan menanggapi bencana, serta membangun kembali operasi pada lokasi bisnis utama.
o Business Continuity Team: mengatur dan menjalankan rencana Business Continuity dengan membuat dan menjalankan operasi di lokasi lain ketika terjadi bencana.
o Crisis Management Team: mengatur dan meringankan dampak kehilangan pribadi dan mengurangi stress perusahaan dengen usaha meminimalisasi kehilangan jiwa, akuntabilitas personel yang cepat dan akurat, dan notifikasi personel utama yang cepat dan akurat melalui daftar peringatan.
2.1 Commitment and Support of Senior Management
Seperti halnya dengan setiap proyek besar atau proses dalam suatu organisasi, tanpa komitmen yang jelas dan formal dari senior eksekutif manajemen, proses Contigency Planning akan gagal. Hanya ketika pemimpin eksekutif menekankan pentingnya proses ini, Adanya keterlibatan langsung oleh atasan (CEO atau Presiden), atau menggunakan mental kepemimpinan sebagai juara, akan mensubordinasikan manajer dan karyawan memberikan waktu dan sumber daya yang diperlukan untuk menjalankan proses ini. Dukungan seharusnya dapat diperoleh dari Communities of Interest yang telah mencatat di dalam bagian sebelumnya.
Untuk tujuan kita, Communities of Interest umumnya dianggap sebagai sekelompok individu yang disatukan oleh minat yang sama atau nilai-nilai dalam suatu organisasi dan yang berbagi tujuan yang sama untuk membuat fungsi organisasi mencapai tujuannya. Organisasi lalu mengembangkan dan menjaga nilai tersebut, dan yang mengarah ke evolusi budaya yang unik. Dalam konteks diskusi ini, ada 3 Communities of Interest teridentifikasi yang mempunyai peranan dan tanggung jawab didalan sekuritas informasi. Peranan yang dapat dipenuhi oleh masing-masing Communities of Interest adalah sebagai berikut:
Para manajer dan praktisi yang menguasai Sekuritas Informasi
Para manajer dan praktisi yang menguasai Informasi Teknologi
Para manajer dan professional dari manajemen umum organisasi
Manajemen dan Professional Sekuritas Informasi
Fungsi pekerjaan dan peranan organisasi ini fokus pada menjaga sistem dan penyimpanan informasi organisasi dari berbagai serangan. Didalam memenuhi peranan ini, para individu sering memfokuskan untuk memproteksi integritas dan kerahasiaan sistem, dan kadang-kadang melupakan pentingnya tujuan dari ketersediaan. Ini penting untuk komunitas untuk mengingat bahwa akhirnya semua anggota dari organisasi akan fokus pada mempertemukan strategi dan tujuan operasional.
Manajemen dan Professional Informasi Teknologi
Orang lain di dalam organisasi berorientasi pada mengirimkan nilai kepada organisasi dengan mendesign. Membangun, atau mengoperasikan sistem informasi. Communities of Interest ini dibuat oleh IT manajer dan grup-grup professional yang mempunyai kemampuan dalam mendesign sistem, programming, jaringan, dan yang biasanya berhubungan dengan dunia IT, atau informasi teknologi. Komunitas ini mempunyai tujuan yang sama dengan komunitas sekuritas informasi. Mereka fokus, namun, lebih pada biaya pembuatan sistem dan operasi, kemudahan penggunaan bagi pengguna sistem, dan ketepatan waktu dalam menciptakan sistem, serta waktu dalam merespon transaksi. Tujuan
dari komunitas IT dan komunitas sekuritas informasi tidak selalu selaras, dan bergantung pada struktur organisasi, dan ini dapat menyebabkan konflik
Organisasi Manajemen dan Profesional
Tim organisasi manajemen umum dan seluruh sumber di dalam organisasi membuat Communities of Interest yang lain. Grup besar ini selalu membagi minat-minat dalam beberapa bagian, termasuk manajemen eksekutif, manajemen produksi, human resources, accounting, dan memiliki hak untuk menciptakan sebuah bagian baru. Komunitas IT selalu mengkategorikan grup ini sebagai pengguna sistem informasi teknologi, sementara komunitas sekuritas informasi mengkategorikan mereka sebagai subjek sekuriti. Realitanya, banyak dari mereka mengsalah-artikan kategori ini. Ini penting bagi mereka untuk fokus pada kenyataan bahwa tujuan semua sistem IT dan sekuritas informasi dibuat untuk menerapkan tujuan dari komunitas organisasi yang lebih luas dan menjaga keefektifan dan operasi mereka. IT sistem yang paling efisien dioperasikan dengan cara yang paling aman yang pernah disusun tidaklah berharga jika mereka tidak membawa nilai tersebut pada tujuan organisasi