School of Information Systems

Alur Kerja Manajemen Risiko Dalam Menjaga Keamanan Informasi

Proses manajemen risiko terdiri dari beberapa penilaian risiko yang secara langsung perlu untuk dievaluasi kembali seiring dengan berkembangnya risiko. Dimana hal ini bertujuan untuk mengidentifikasi sumber daya penting yang perlu dilindungi dengan menentukan ancaman dan kerentanan yang tepat guna menilai eksposur risiko. Sedangkan, manajemen risiko keamanan informasi adalah proses pengelolaan risiko yang terkait dengan penggunaan teknologi informasi. Dengan kata lain, perusahaan mengidentifikasi dan mengevaluasi risiko terhadap kerahasiaan, integritas, dan ketersediaan aset informasi yang dimiliki. Secara garis besar, proses ini dibagi menjadi dua komponen yaitu:

  • Penilaian risiko (risk assessment), yaitu sebuah proses mengumpulkan dan menganalisis informasi mengenai aset dan kontrol organisasi, serta menggabungkan data tersebut dengan melakukan evaluasi kemungkinan peristiwa yang dapat menimbulkan ancaman bagi lingkungan TI dan potensi dampaknya guna menentukan dan memprioritaskan risiko yang dimiliki oleh suatu organisasi.
  • Perlakukan risiko (risk treatment), yaitu tindakan yang diambil untuk memulihkan, mengurangi, menghindari, menerima, mentransfer, ataupun mengelola risiko yang terjadi.

Terdapat beberapa kerangka kerja manajemen risiko yang dapat digunakan untuk Teknologi Informasi dan berfokus pada pengelolaan risiko keamanan informasi secara khusus. Semua kerangka kerja tersebut menggunakan pendekatan lifecycle yang sangat mirip, meskipun terdapat sedikit perbedaan dalam terminologi dan perbedaan langkah-langkah proses. Berikut adalah alur proses manajemen risiko dasar yang dapat digunakan untuk menjaga keamanan informasi:

  1. Resource profiling tahap untuk mendeskripsikan sumber daya dan tingkat sensitivitas risiko yang dilakukan oleh pemilik bisnis.
  2. Risk assessment proses yang dilakukan oleh keamanan informasi dalam mengidentifikasi ancaman, kerentanan, dan risiko.
  3. Risk evaluation – sebuah keputusan yang dibuat oleh keamanan informasi dan pemilik bisnis untuk menerima, menghindari, mentransfer, ataupun mengurangi risiko.
  4. Document – tahap dalam mendokumentasikan keputusan risiko termasuk pengecualian dan rencana mitigasi yang dilakukan oleh keamanan informasi dan pemilik bisnis.
  5. Risk mitigation – proses penerapan rencana mitigasi dengan kontrol tertentu yang dilakukan oleh seseorang yang bertanggung jawab terhadap sumber daya.
  6. Validation – keamanan informasi akan melakukan uji kontrol untuk memastikan eksposur risiko aktual sesuai dengan tingkat risiko yang diinginkan.
  7. Monitoring and audit – keamanan informasi dan pemilik bisnis akan terus melacak perubahan pada sistem yang dapat memengaruhi profil risiko dan juga melakukan audit secara rutin.

 

Source:

https://blog.netwrix.com/2018/08/02/how-to-create-an-effective-information-security-risk-management-program/

Wheeler, E. (2011). Security Risk Management: Building An Important Security Risk Management Program From The Ground Up. In Security Risk Management: Building An Important Security Risk Management Program From The Ground Up. http://www.sciencedirect.com/science/article/pii/B9781597496155000141%5Cnhttp://www.grc.net.br/attachment.php?attachmentid=46&d=1307706976

Nur Anisa