IT Risk Management
Oleh Benfano Soewito
Mahasiswa yang mengambil jurusan teknologi informasi atau system informasi, biasanya
harus mengambil mata kuliah IT Risk Manajemen. Selama saya mengajar mata kuliah
ini, pertanyaan yang sering muncul adalah mengapa kita harus me-menage resiko dan
bagaimana bisa kita me-menage resiko tersebut. Oleh karena itu dalam tulisan saya kali
ini ingin menulis secara garis besar mengapa kita perlu me-manage resiko dan bagaimana
kita melakukannya.
Bila kita lihat beberapa kejadian yang besar, seperti serangan teroris pada gedung word
trade center yang ada di Amerika Serikat, yang mengakibatkan gedung tersebut runtuh
sehingga semua kantor yang ada dalam gedung tersebut tidak dapat beroperasi lagi.
Namun setelah satu minggu ternyata ada beberapa kantor atau perusahaan yang sudah
dapat menjalankan aktifitasnya seperti biasa lagi, mereka berkantor di lain tempat. Tetapi
ada juga kantor atau perusahaan yang baru buka kembali setelah beberapa bulan dan
bahkan ada yang tidak bisa buka sama sekali. Nah, mengapa hal ini bisa terjadi? Setelah
di selidiki, ternyata, kantor atau perusahaan yang bisa kembali buka dengan cepat adalah
mereka yang sudah menerapkan yang namanya IT Risk Manajemen. Oleh karena itu
pertanyaan mengapa kita perlu menerapkan IT Risk Manajemen dapat terjawab oleh
cerita tersebut diatas. Jadi dapat disimpulkan bahwa dengan menerapkan IT Risk
Manajemen maka diharapkan perusahaan akan tetap dapat beroperasi walaupun ada
kejadian kejadian yang tidak diharapkan.
Pertanyaan selanjutnya adalah bagaimana cara kita mengimplementasikan IT Risk
Manajemen tersebut? Untuk menjawab pertanyaan ini kita lihat dulu arti kata
“manajemen”. Manajemen biasa terdiri dari tiga aktifitas atau kegiatan, yaitu
perencanaan, pelaksanaan dan control. Apapun areanya, sudah dapat dipastikan bahwa
tugas seorang manager adalah melakukan tiga kegiatan tersebut, perencanaan,
pelaksanaan dan control. Begitu juga dalam IT risk manajemen, dalam pelaksanaannya
juga terdiri dari tiga kegiatan tersebut.
Untuk kegiatan perencanaan dalam IT Risk Manajemen dilakukan dengan beberapa step.
Step pertama adalah indentifikasi setiap asset perusahaan termasuk asset digital (bisa
berupa data, text, foto, chart dan sebaginya) maupun asset hardware (physical).
Setelah itu, step kedua adalah kita harus mengidentifikasi resiko resiko atau ancaman
yang mungkin terjadi pada setiap asset yang sudah kita indentifikasikan tersebut. Resiko
resiko atau ancaman sangat banyak macamnya, bisa karena human error, pelanggaran
HAKI, pencurian, serangan dunia maya, pengrusakkan secara pisik, bencana alam,
kualitas service (mati listrik atau internet), peralatan rusak karena sudah berumur dan
sebagainya.
Step ketiga adalah melakukan identifikasi kontrolnya, dalam hal ini maksudnya adalah
untuk setiap resiko dan ancaman yang sudah ditulis dalam step dua tersebut diatas, di
tuliskan langkah langkah apa saja yang sudah dilakukan untuk mengurangi dampak
resiko atau ancaman apabila ancaman tersebut benar benar terjadi.
Step ke empat adalah melakukan assessment, dimana pada intinya step ke empat ini
adalah memberikan bobot untuk setiap asset sehingga kita dapat mengetahui asset mana
saja yang sangat penting bagi perusahaan. Nantinya asset asset dengan bobot yang tinggi
harus lebih diperhatikan ancamannya, kalau bisa kita harus menghilangkan ancaman atau
resiko terhadap asset yang mempunyai bobot yang tinggi.
Akhirnya kita harus membuat scenario bagaimana setiap resiko atau ancaman yang sudah
kita identifikasikan itu bisa terjadi. Setelah ini semua selesai maka sekarang kita sudah
dapat membuat rencana bagaimana untuk mengantisipasi apabila ancaman atau resiko
tersebut benar benar terjadi. Dengan membuat rencana antisipasi ini maka diharapkan
kita sudah siap apabila resiko atau ancaman tersebut benar benar terjadi sehingga
perusahaan dapat tetap berjalan seperti biasa. Atau walaupun berhenti, maka perusahaan
akan berhenti tidak akan terlalu lama.
