FRAMEWORK IT RISK MANAGEMENT (Kerangka Kerja Manajemen Risiko pada IT)

Ilfa Failla Sufa dan Benfano Soewito

Manajemen risiko merupakan suatu sistem pengendalian risiko organisasi yang dihadapi oleh organisasi secara komprohensif untuk tujuan meningkatkan nilai perusahaan (Mamduh 2017). Sedangkan menurut Gibson (2017) menyatakan bahwa manajemen risiko sebagai kegiatan praktis tentang identifikasi penilaian, pengontrolan dan peringanan risiko. Pada dasarnya manajemen risiko dilakukan melalui proses identifikasi risiko, evaluasi, pengukuran risiko dan pengelolaan risiko.

IT Risk Management adalah penerapan dari prinsip-prinisip manajemen risiko terhadap perusahaan yang memanfaatkan teknologi informasi dengan tujuan untuk dapat mengelola risiko-risiko yang berhubungan dengan perusahaan tersebut. Risiko-risiko yang dikelola meliputi kepemilikan, operasional, keterkaitan, dampak, dan penggunaan dari teknologi informasi pada sebuah perusahaan.

IT Risk Management khususnya membuat atau merencanakan prosedur apabila terdapat ancaman yang akan datang dengan tujuan untuk memitigasi risiko. Tahapan manajemen risiko yaitu membuat rencana (risk assessment), mereview (risk mitigation), dan implementasi (evaluation and assessment). Risk assessment digunakan untuk menentukan tingkat ancaman yang potensial dan risiko yang berhubungan dengan suatu sistem IT. Outputnya adalah membantu mengidentifikasi kendali yang sesuai untuk mengurangi atau menghapuskan risiko ketika proses risk mitigation. Risk mitigation adalah tahap yang melibatkan usaha-usaha untuk memprioritaskan, mengevaluasi dan menjalankan kontrol atau pengendalian yang dapat mengurangi riisko. Evaluation and assessment adalah tahap dilakukannya pembaharuan atau perubahan pada risiko yang baru muncul, serta mengurangi risiko yang sebelumnya terjadi.

Fungsi IT Risk Management

  • Membantu para eksekutif dan manajemen untuk membuat keputusan risiko untuk membimbing perusahaan agar risiko dikelola secara efektif serta membantu dalam memahami risiko perusahaan dan toleransi risiko
  • Membantu menghemat waktu, biaya, dan tenaga dengan alat untuk mengatasi risiko bisnis
  • Mengintegrasikan antara manajemen TI dengan risiko bisnis sehingga tercipta manajemen risiko perusahaan secara keseluruhan

Standard (Framework) mengenai IT Risk Management;

COSO

Committee of Sponsoring Organizations of the Treadway Commission (COSO) Enterprise Risk Management (ERM). Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuka dapat menentukan terlebih dahulu sasaran perusahaannya yang terdiri dari (1) Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan (2) Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan (3) Pelaporan: keterpercayaan dari pelaporan (4) Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.

ISO 31000: 2018

ISO 31000 adalah panduan penerapan risiko yang terdiri dari tiga elemen: prinsip, kerangka kerja dan proses. ISO(The International Organization for Standardization) menerbitkan ISO 31000:2018 Risk management — Guidelines. Standar ini menggantikan ISO 31000:2009 Risk management — Principles and guidelines yang diterbitkan pada November 2009. ISO 31000:2018 menekankan tujuan manajemen risiko yang bertujuan untuk (1) Meningkatkan kinerja (2) Mendorong inovasi, dan (3) Mendukung pencapaian sasaran.

COBiT (Control Objective for Information and related Technology)

Standar COBIT ini dikeluarkan oleh IT Governance Institure yang merupakan bagian dari ISACA. Versi terbaru yang dikeluarkan COBIT yaitu COBIT 2019. COBIT merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai tools pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi.

COBIT 5 (Control Obejektives for Information and Related Technology) merupakan generasi terbaru dari panduan ISACA dibuat berdasarkan pengalaman penggunaan COBIT selama lebih dari 15 tahun oleh banyak perusahaan dan penggunaan dari bidang bisnis, komunitas, IT, risiko, asuransi dan keamanan. COBIT 5 membantu perusahaan menciptakan nilai yang optimal dari IT dengan menjaga keseimbangan antara mewujudkan manfaat dan mengoptimalkan tingkat risiko dan penggunaan sumber daya.

COBIT 5 secara umum memiliki 5 prinsip dasar yaitu;

  1. a) Meeting Stakeholder Needs. Menciptakan nilai bagi para stakeholder dengan menjaga keseimbangan antara realisasi manfaat, optimalisasi risiko, dan penggunaan sumber daya.
  2. b) Convering the Enterprise End-to-End. Prinsip ini dibutuhkan untuk mengatur dan mengelola TI pada perusahaan dimanapun informasi diproses, baik layanan TI internal maupun eksternal.
  3. c) Applying a Single Integrated Framework. COBIT 5 memberikan panduan untuk tata kelola dan manajemen perusahaan.
  4. d) Enalbling a Holistic Approach. Tata kelola dan manajemen perusahaan yang efektif dan efisien membutuhkan pendekatan holistic.
  5. e) Separating Governance from Management. COBIT 5 memisahkan antara tata kelola dan manajemen.

Menurut IT Governance Institute (2007), COBIT memiliki 4 domain.

Gambar 1.1

  1. a) Plan and Organise (PO). Domain ini meliputi strategi dan taktik, serta identifikasi bagaimana TI berkontribusi terhadap pencapaian sasaran bisnis.
  2. b) Acquire and Implement (AI), Domain ini menggambarkan bagaimana perubahan dan pemeliharaan dari sistem yang ada selaras dengan sasaran bisnis.
  3. c) Deliver and Support (DS), Domain ini mencakup penyampaian hasil aktual dari layanan yang diminta, termasuk pengelolaan kelancaran dan keamanan, dukungan layanan terhadap pengguna serta pengelolaan data dan operasional fasilitas.
  4. d) Monitor and Evaluate (ME). Fungsi domain ini adalah memastikan seluruh proses TI dapat dikontrol secara periodik yang dimaksudkan untuk menjaga kualitas dan pemenuhan kebutuhan pasar.

 

NIST SP

National Institute of Standards and Technology (NIST) Special Publication (SP). NIST SP merupakan kerangka kerja yang digunakan dalam manajemen sistem informasi, dimana dalam proses manajemen risiko NIST mencakup penilaian risiko, peringanan risiko dan evaluasi risiko.

NIST 800-30 adalah dokumen standar yang dikembangkan oleh National Institute of Standards and Technology yang mana merupakan kelanjutan dari tanggung jawab hukum di bawah undang-undang Computer Security Act tahun 1987 dan the Information Technology Management Reform Act tahun 1996. NIST 800-30 terdapat dua tahap penting yaitu penilaian risiko dan mitigasi risiko.

 

 

Tahapan penilaian risiko berdasarkan NIST 800-30 yaitu (Syalim, Hori, dan Sakurai, 2009):

  1. System Characterization (Karakteristik Sistem)

Pada tahapan ini, batas-batas dari sistem TI harus diidentifikasi, termasuk didalamnya sumber daya dan informasi.

  1. Threat Identification (Identifikasi Ancaman)

Pertimbangan atas kemungkinan untuk muncul ancaman seperti sumber, potensi kerawanan dan kontrol yang ada.

  1. Vulnerability Identification (Identifikasi Kerentanan)

Identifikasi terhadap kerawanan digunakan untuk pengembangan dari daftar kerawanan sistem yang dapat dimanfaatkan nantinya.

  1. Control Analysis (Analisa Kontrol)

Analisis terhadap kontrol yang telah dilaksanakan atau direncanakan untuk implementasi oleh organisasi untuk minimalisir atau menghilangkan kemungkinan-kemungkinan pengembangan dari ancaman.

  1. Likelihood Determination (Kemungkinan yang Menentukan)

Proses rangking terhadap potensi dari kerawanandapat dilaksanakan dalam lingkungan dari kerawanan tersebut. Faktor yang menjadi pertimbangan adalah ancaman (sumber dan kemampuan), sifat dari kerawanan serta keberadaan dan efektifitas kontrol jika diterapkan.

  1. Impact Analysis (Analisa Dampak)

Tahapan ini digunakan untuk menentukan dampak negatif yang dihasilkan dari keberhasilan penerapan kerawanan.

  1. Risk Determination (Risiko yang Menentukan)

Penilaian tingkat risiko pada sistem IT dilakukan pada langkah ini.

  1. Control Recommendations (Rekomedasi Kontrol)

Tahapan ini menilai kontrol yang mana dapat mengurangi atau menghilangkan risiko yang telah teridentifikasi. kontrol yang direkomendasikan sebaiknya harus dapat mengurangi tingkat risiko pada sistem IT dan data, kepada tingkat risiko yang dapat diterima.

  1. Results Documentation (Dokumentasi Hasil)

Pada tahap ini, dilakukan pengembangan laporan hasil penilaian risiko (sumber ancaman, kerawanan, risiko yang dinilai dan kontrol yang direkomendasikan).

 

 

Referensi:

[1] Aprilia V.A, Catur A, Brilianti N.P, Kurnia W.K, Ariyanto O.Y, Oktavena T.W. “Desain Manajemen Risiko Pada Pengelolaan Sumber Air di Desa. Sumberdodol Dengan Mengacu pada Standar ISO 31000”. Madiun: Fakultas Ekonomi dan Bisnis, Universitas Katolik Widya Mandala Madiun.

[2] Wenni Syafitri. (2016). Penilaian Risiko Keamanan Informasi Menggunakan      Metode NIST 800-30 (Studi Kasus: Sistem Informasi Akademik     Universitas XYZ). Universitas Lancang Kuning.

[3] https://www.skillmaker.edu.au/risk-management-standards/

[4] https://itgid.org/framework-cobit/

[5] https://grc-indonesia.com/standar-baru-manajemen-risiko-iso-310002018/

[6] https://crmsindonesia.org/publications/perbandingan-coso-erm-integrated-framework-dengan-iso-31000-2009-risk-management-principles-and-guidelines/

[7] Stoneburner G, A. Goguen and A. Feringa. (2002). Risk Management Guide for Information Technology Systems., Recommendation of the National Institute of : Standart and Technology Special Publication 800-30.

[8] https://sis.binus.ac.id/2019/04/08/it-risk-management/

[9] https://toghr.com/it-risk-management-sangat-penting/

[10] Bahan ajar: PPT1-W1-S1-R0.ppt

Benfano Soewito, M.Sc., Ph.D