IDENTIFIKASI RESIKO

Dalam rangka mengisi waktu liburan yang panjang selama “masih” menjadi pengangguran, maka kali ini saya ingin membagikan ilmu dan pengetahuan yang saya dapatkan selama kuliah. Semoga bermanfaat🙂

Pada artikel ini, saya akan share tugas saya ketika mengambil Mata Kuliah Manajemen Resiko Teknologi Informasi. Waktu itu, saya ditugaskan untuk melakukan identifikasi resiko dengan studi kasus IS NET Jurusan Sistem Informasi.

1. Resiko dan Manajemen Resiko

Ervita Safitri, SE. MSi mendefinisikan resiko sebagai berikut :

1.Resiko adalah peluang terjadinya hasil yang tidak diinginkan

2.Resiko adalah ketidakpastian atas terjadinya suatu peristiwa

3.Resiko adalah penyimpangan hasil aktual dari hasil yang diharapkan

4.Resiko adalah probabilitas sesuatu hasil yang berbeda

Sementara itu, manajemen resiko merupakan proses menganalisa resiko atau kerugian dan mengambil tindakan untuk meminimalisasi potensi maupun realita dampak yang dihadapi organisasi. (Smith, 2004).

Berdasarkan ISO / IEC 31000:2009, manajemen resiko mecakup elemen – elemen utama berikut ini

1. Komunikasi dan konsultasi

Komunikasi dan konsultasi dilakukan dengan pihak internal maupun eskternal perusahaan yang terkait dengan proyek manajemen resiko.

2. Konteks

Elemen ini berkaitan dengan penentuan parameter dalam manajemen resiko yang harus memperhatikan faktor PEST, yaitu politik, ekonomi, sosial, dan teknologi. Hasil analisis PEST tersebut digunakan  manajer untuk membangun konteks manajemen resiko yang meliputi kebijakan, proses metodologi, kriteria rating resiko, pelatihan., serta pelaporan setiap proses yang dilakukan

3. Identifikasi Resiko

Identifikasi tempat, waktu, alasan dan bagaimana suatu kejadian atau resiko bisa terjadi

4. Analisis Resiko

Identifikasi dan evaluasi proses control  yang saat ini dilakukan untuk menentukan konsekuensi dan kemungkinan tingkat resiko.

5. Evaluasi Resiko

Pada elemen ini dilakukan perbandingan antara perkiraan tingkat resiko terhadap pre-established criteria dan mempertimbangkan potensi manfaat serta kerugian yang ditimbulkan. Perbandingan tersebut membantu pembuatan keputusan terkait perawatan / pemeliharaan / tindakan tentang prioritas.

6. Perlakuan terhadap  resiko

Pengembangan dan implementasi strategi efektivitas biaya dan rencana peningkatan potensi manfaat dengan mengurangi biaya.

7. Monitor dan review

Proses – proses manajemen resiko perlu dimonitor dan ditinjau untuk kontinuitas peningkatannya.

2. Identifikasi Resiko berdasarkan ISO/IEC 31000:2009

Berdasarkan standard ISO/IEC 31000:2009, identifikasi resiko memegang peranan penting pada penilaian resiko. Baik identifikasi maupun penilaian resiko merupakan rangkaian tahap dari manajemen resiko . Identifikasi resiko penting karena merupakan tahap pertama yang harus dilakukan karena dalam tahap ini dilakukan penentuan resiko – resiko beserta karakteristiknya yang mungkin akan mempengaruhi proyek. Kegagalan dalam tahapan ini akan berpengaruh besar terhadap tahapan manajemen resiko selanjutnya dan tentu akan mempengaruhi reliabilitas bagi proyek karena banyaknya kerentanan / celah yang mungkin akan terjadi di masa yang akan datang.

Tahapan Manajemen Resiko

Tujuan utama dalam identifikasi resiko adalah untuk mengetahui daftar – daftar resiko yang potensial dan berpengaruh terhadap tujuan / proses bisnis suatu organisasi (Harold, 2010). Sesuai dengan ISO/IEC 31000:2009, identifikasi resiko tersebut dapat dilakukan dengan memperhatikan hal – hal berikut :

2.1. Masukan Identifikasi Resiko

  • Apa saja yang dapat terjadi, kapan, dan dimana?

Pertanyaan ini akan menjawab secara detail apa saja yang kemungkinan negatif dapat terjadi dalam suatu proses bisnis dilihat dari waktu dan posisi / tempat yang dipengaruhi.

Untuk mengetahui apa saja yang dapat terjadi, suatu organisasi dapat melakukan studi terkait proses bisnis perusahaan, proses bisnis dari layanan / produk bidang teknologi informasi dan komunikasi yang dimiliki.

  • Mengapa dan bagaimana resiko dapat terjadi?

Pertanyaan ini digunakan sebagai pertimbangan terkait dengan penyebab resiko dan skenarionya.

2.2. Teknik Identifikasi Resiko

Berbagai teknik yang dapat dilakukan untuk melakukan identifikasi resiko antara lain sebgaia berikut :

  • Brainstorming dengan pihak terkait
  • Wawancara langsung kepada pihak yang bertanggung jawab
  • Kuisioner
  • Ceklis
  • Analisis proyek sebelumnya
  • Analisis SWOT
  • Analisis asumsi dari tim pakar

Selain hal tersebut, faktor – faktor lain yang juga perlu diperhatikan adalah :

  • Pemilihan metodologi identifikasi resiko yang sesuai dengan kondisi eksisting perusahaan / organisasi.
  • Sumberdaya manusia yang dilibatkan dalam aktivitas identifikasi resiko
  • Pendekatan siklus hidup untuk mengidentifikasi resiko dan menentukan bagaimana resiko berubah dan masuk dalam siklus hidup tersebut.

3. Identifikasi Resiko berdasarkan ISO/IEC 27001

Panduan manajemen resiko ISO/IEC 31000:2009 menjelaskan masukan dan teknik dari identifikasi resiko, namun belum dapat menjelaskan proses identifikasi resiko itu sendiri. Oleh karena itu, dibutuhkan standar lain yang dapat menjelaskan bagaimana proses identifikasi resiko yang komprehensif, yaitu ISO/IE 27001.

Berikut ini adalah proses identifikasi resiko berdasarkan ISO/IEC 27001 :

  1. Identifikasi aset – aset teknologi informasi yang dimiliki oleh organisasi
  2. Identifikasi ancaman pada setiap aset – aset teknologi informasi tersebut
  3. Identifikasi kerentanan yang diakibatkan oleh ancaman
  4. Identifikasi dampak kerugian dalam aspek confidentiality, integrity and availability.

Sehingga keterkaitannya dengan ISO/IEC 31000:2009 adalah seperti yang terlihat pada bagan di bawah ini :

Keterkaitan ISO 31000:2009 dan ISO 27001

Keterkaitan ISO 31000:2009 dan ISO 27001

4. Tahapan Identifikasi Resiko

Berikut ini tahapan identifikasi resiko yang pernah saya lakukan (studi kasus IS NET)

4.1. Studi Literatur

Studi literatur dilakukan untuk menjawab permasalahan yang pertama, yaitu terkait bagaimana melakukan identifikasi resiko secara konprehensif berdasarkan ISO 31000:2009. Keluaran dari studi literatur ini adalah penjelasan aktivitas – aktivitas yang dilakukan untuk identifikasi resiko berdasarkan ISO 31000:2009, masukan yang dibutuhkan, dan teknik – teknik yang direkomendasikan untuk melakukan identifikasi.

4.2. Identifikasi Aset IS NET

Setelah studi literatur, berikutnya adalah mengidentifikasi asset – asset teknologi informasi yang dimiliki oleh IS NET berdasarkan komponen sistem informasi, yaitu data, perangkat lunak, perangkat keras, sumber daya manusia, dan prosedur. Keluaran dari tahap ini adalah daftar asset teknologi informasi yang dimiliki IS NET.

4.3. Identifikasi Ancaman IS NET

Masing – masing aset – aset yang telah teridentifikasi sebelumnya diidentifikasi ancamannya pada tahap ini. Sehingga keluarannya adalah berupa ancaman – ancaman dari internal dan eksternal organisasi IS NET.

4.4. Identifikasi Kerentanan IS NET

Ancaman memiliki dampak terhadap kerentanan. Identifikasi kerentanan pada setiap ancaman tersebut akan diidentifikasi pada tahap ini, sehingga keluarannya adalah daftar kerentanan aset IS NET.

4.4. Identifikasi Dampak Kerenanan IS NET

Kerentanan yang ada pastinya memiliki dampak terhadap layanan yang diberikan oleh IS NET kepada civitas Jurusan Sistem Informasi. Dampak – dampak tersebut akan diidentifikasi pada tahap metode ini, sehingga keluarannya adalah daftar dampak kerentanan terhadap layanan IS NET.

5. Hasil

Berikut ini saya lampirkan contoh dokumen Identifikasi Resiko yang pernah saya buat. Tentunya dokumen tersebut masih belum sempurna🙂 Anda bisa mencontoh dokumen tersebut, namun jangan di copy-paste ya🙂 Yang rugi adalah Anda sendiri.

Contoh Dokumen Identifikasi Resiko

 

6. DAFTAR PUSTAKA

Chowdhury, A. A., & Arefeen, S. (2011). Software Risk Management: Importance and Practices. IJCIT.

Harold, P. (2010). Risk Management Guideline. Panorama Resource.

Malin, J. T., & Fleming, L. (n.d.). Vulnerabilities, Influences and Interaction Paths: Failure Data for Integrated System Risk Analysis. IEEE, 2.

Ren-hui, L., & Feng-yong, Z. (n.d.). Model Identification of Risk Management System. IEEE, 2.

Smith, P. R. (2004). Risk Management. Australia: Rotary International District 9640.

W, K., & AM, K. (2009). ISO 31000:2009;ISO/IEC 31010 & ISO Guide 73:2009 International Standards for the Management of Risk. NUNDAH Qld 4012, Australia.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s