IT Risk Management

Oleh Benfano Soewito

Mahasiswa yang mengambil jurusan teknologi informasi atau system informasi, biasanya

harus mengambil mata kuliah IT Risk Manajemen. Selama saya mengajar mata kuliah

ini, pertanyaan yang sering muncul adalah mengapa kita harus me-menage resiko dan

bagaimana bisa kita me-menage resiko tersebut. Oleh karena itu dalam tulisan saya kali

ini ingin menulis secara garis besar mengapa kita perlu me-manage resiko dan bagaimana

kita melakukannya.

Bila kita lihat beberapa kejadian yang besar, seperti serangan teroris pada gedung word

trade center yang ada di Amerika Serikat, yang mengakibatkan gedung tersebut runtuh

sehingga semua kantor yang ada dalam gedung tersebut tidak dapat beroperasi lagi.

Namun setelah satu minggu ternyata ada beberapa kantor atau perusahaan yang sudah

dapat menjalankan aktifitasnya seperti biasa lagi, mereka berkantor di lain tempat. Tetapi

ada juga kantor atau perusahaan yang baru buka kembali setelah beberapa bulan dan

bahkan ada yang tidak bisa buka sama sekali. Nah, mengapa hal ini bisa terjadi? Setelah

di selidiki, ternyata, kantor atau perusahaan yang bisa kembali buka dengan cepat adalah

mereka yang sudah menerapkan yang namanya IT Risk Manajemen. Oleh karena itu

pertanyaan mengapa kita perlu menerapkan IT Risk Manajemen dapat terjawab oleh

cerita tersebut diatas. Jadi dapat disimpulkan bahwa dengan menerapkan IT Risk

Manajemen maka diharapkan perusahaan akan tetap dapat beroperasi walaupun ada

kejadian kejadian yang tidak diharapkan.

Pertanyaan selanjutnya adalah bagaimana cara kita mengimplementasikan IT Risk

Manajemen tersebut? Untuk menjawab pertanyaan ini kita lihat dulu arti kata

“manajemen”. Manajemen biasa terdiri dari tiga aktifitas atau kegiatan, yaitu

perencanaan, pelaksanaan dan control. Apapun areanya, sudah dapat dipastikan bahwa

tugas seorang manager adalah melakukan tiga kegiatan tersebut, perencanaan,

pelaksanaan dan control. Begitu juga dalam IT risk manajemen, dalam pelaksanaannya

juga terdiri dari tiga kegiatan tersebut.

Untuk kegiatan perencanaan dalam IT Risk Manajemen dilakukan dengan beberapa step.

Step pertama adalah indentifikasi setiap asset perusahaan termasuk asset digital (bisa

berupa data, text, foto, chart dan sebaginya) maupun asset hardware (physical).

Setelah itu, step kedua adalah kita harus mengidentifikasi resiko resiko atau ancaman

yang mungkin terjadi pada setiap asset yang sudah kita indentifikasikan tersebut. Resiko

resiko atau ancaman sangat banyak macamnya, bisa karena human error, pelanggaran

HAKI, pencurian, serangan dunia maya, pengrusakkan secara pisik, bencana alam,

kualitas service (mati listrik atau internet), peralatan rusak karena sudah berumur dan

sebagainya.

Step ketiga adalah melakukan identifikasi kontrolnya, dalam hal ini maksudnya adalah

untuk setiap resiko dan ancaman yang sudah ditulis dalam step dua tersebut diatas, di

tuliskan langkah langkah apa saja yang sudah dilakukan untuk mengurangi dampak

resiko atau ancaman apabila ancaman tersebut benar benar terjadi.

Step ke empat adalah melakukan assessment, dimana pada intinya step ke empat ini

adalah memberikan bobot untuk setiap asset sehingga kita dapat mengetahui asset mana

saja yang sangat penting bagi perusahaan. Nantinya asset asset dengan bobot yang tinggi

harus lebih diperhatikan ancamannya, kalau bisa kita harus menghilangkan ancaman atau

resiko terhadap asset yang mempunyai bobot yang tinggi.

Akhirnya kita harus membuat scenario bagaimana setiap resiko atau ancaman yang sudah

kita identifikasikan itu bisa terjadi. Setelah ini semua selesai maka sekarang kita sudah

dapat membuat rencana bagaimana untuk mengantisipasi apabila ancaman atau resiko

tersebut benar benar terjadi. Dengan membuat rencana antisipasi ini maka diharapkan

kita sudah siap apabila resiko atau ancaman tersebut benar benar terjadi sehingga

perusahaan dapat tetap berjalan seperti biasa. Atau walaupun berhenti, maka perusahaan

akan berhenti tidak akan terlalu lama.

Benfano Soewito