Saat ini Teknologi informasi (TI) memainkan peran penting dalam banyak bisnis. Jika saat ini TI merupakan bagian terpenting pengelolaan bisnis, maka sangat penting untuk mengidentifikasi risiko untuk sistem TI dan data yang dikelola dalam system TI, kemudian berupaya untuk mengurangi atau mengelola risiko tersebut, dan untuk mengembangkan rencana respon dalam hal krisis yang teridentifikasi yang dapat terjadi di dalam system dan data yang dikelola dalam system TI.
Masa lalu resiko TI hanya sebatas pada asset TI saja, kini dengan bekembangnya TI sebagai bagian dalam pengelolaan bisnis, maka resiko TI bukan hanya dilihat sebagai resiko kehilangan asset, namun juga kehilangan bisnis secara keseluruhan.
Bagaimanakah dengan organisasi bisnis saat ini dalam mengelola risiko TI ?
Kini sebaik banyak pemilik bisnis memperhatikan pengelolaan risiko TI dan menjadi bagian dari resiko binis secara keseluruhan (Enterprise Risk). Aspek risiko TI saat ini tidak hanya dinilai dari kehilangan asset Ti, namun dinilai juga dari kehilangan bisnis akibat kehilangan data, pelanggaran hokum dalam transaksi elektronik, bencana yang mengakibatkan terhentinya proses bisnis. Akibatnya pengelolaan risiko TI mempengaruhi pengembangan strategi manajemen TI.
Sekilas tulisan ini akan memberikan pengetahuan dasar mengenai manajemen risiko TI. Beberapa pendekatan di bawah ini dapat membantu kita untuk memilah risiko TI dari ancamannya, antara lain adalah ancaman umum/operasional pada IT, ancaman dalam serangan pada system TI dan ancaman terhadap kondisi diluar keadaan normal.
Ancaman TI pada umumnya berkisar pada kondisi perangkat TI, program-program jahat, kegagalan perangkat lunak, virus, spam, phishing dan ancaman terbesar adalah kesalah manusia dalam pengelolaan system TI, pegelolaan data dan lain-lain.
Ancaman TI yang mengarah pada tindakan pelanggaran hokum, misalnya serangan hacker, penipuan menggunakan system TI, pencurian kata kunci (password), serangan pada data, dan lain-lain
Ancaman TI yang timbul akibat kejadian diluar normal, misalnya terjadinya bencana, baik bencana alam maupun bencana yang dibuat misalnya tindakan teroris.
Setelah mengetahui ancaman-ancaman yang dapat terjadi, maka mulailah kita dapat mengelola risiko TI dengan tahapan :
- Mengidentifikasi risiko
- Menilai risiko
- Mengurangi risiko
- Mengembangkan rencana respon
- Mengkaji prosedur manajemen risiko
Kerangka kerja (Framework) pengelolaan risiko yang dapat digunakan misalnya adalah dengan pendekatan ISO 31000:2009, ISO 27005:2011, COSO dan lain-lain.
Sebagai contoh dari hasil assessment pada risiko TI adalah perencanaan kelangsungan bisnis (business continuity). Organisasi yang memiliki risiko yang teridentifikasi dan dampak bisnis kemungkinan, pengembangan rencana kesinambungan bisnis dapat membantu bisnis Anda bertahan dan pulih dari krisis IT. Sebuah rencana kesinambungan bisnis mengidentifikasi kegiatan bisnis penting, risiko, rencana respon dan prosedur pemulihan.
Sumber : itgid.org