“Setiap jenis usaha memiliki risiko yang mengikutinya”

Risiko adalah kemungkinan terjadinya suatu ancaman dengan cara memanfaatkan adanya kerentanan yang dapat menyebabkan kerugian pada asset yang ada. Risiko dapat dihindari, dikurangi, diterima, atau dialihkan.

Gambar 1. Risk (sumber: https://itgid.org/66/)

Dikatakan berisiko apabila telah memenuhi 3 kriteria diantaranya Kerentanan (Vulnerability), Threat (Ancaman), dan Asset (Asset). Risiko pada usaha yang tidak dikelola dapat menyebabkan runtuhnya bisnis atau kerugian terhadap asset usaha seperti property, sdm, dll.

Dengan perkembangan zaman yang pesat, hampir semua sector usaha mengalami perubahan dan bergerak maju dimana sekarang banyak melibatkan peran dari IT seperti machine learning dan AI. Perubahan ini disebut dengan industry 4.0 yang marak diperbincangkan di masyarakat. Mengutip dari laman Kominfo, industri 4.0 secara singkat dapat diartikan dengan melibatkan peran computer yang dapat saling berkomunikasi antara komputer untuk membuat keputusan tanpa campur tangan dari manusia. Dengan terlibatnya computer didalam industry atau usaha dapat memberikan risiko/ancaman seperti serangan-serangan siber. Data serangan siber rata-rata per hari di bulan September 2021 sekitar 100 juta serangan seperti yang tercatat di laman checkpoint.

            Salah satu contoh dari risiko di dunia IT karena efek digitilasasi adalah kebocoran informasi. Kebocoran data ini sering terjadi karena masih lemahnya pengamanan yang dilakukan. Di dalam IT, keamanan dari informasi memiliki 3 tujuan utama, yaitu:

  1. Mempertahankan kerahasiannya
  2. Integritas seperti membatasi hak akses pengguna dalam mengakses dan mengubah informasinya
  3. Ketersediaan informasi yang dapat diakses ketika dibutuhkan

Informasi adalah salah satu asset yang berharga, apabila tidak dijaga dapat menyebabkan kerugian. Nilai suatu asset terkadang lebih dari biaya modal dan biaya dari operasional. Bahaya yang akan ditimbulkan jika informasi tidak dijaga dapat mengancam keamanan nasional, atau hilangnya bisnis dalam organisasi komersial. Lalu bagaimana cara untuk mempertahankan asset? Cara yang paling utama yaitu dengan memperkecil risiko yang ada. Risiko dapat diukur melalui risk assessment, yaitu suatu proses untuk mengidentifikasi ancaman yang ada dan menganalisis apa yang akan terjadi jika ancaman tersebut benar terjadi. Langkah awal yang dapat dilakukan untuk risk assessment adalah

  1. Identifikasi Asset

Asset dapat berupa orang, informasi, teknologi, Gedung dll. Biasanya di sebuah organisasi atau perusahaan sudah memiliki daftar asset yang ada.

  1. Peniliaian Kerentanan

Penilaian ini dapat dilakukan dari dalam perusahaan dengan cara mempertimbangkan kelemahan yang ada dari asset-asset yang dipunya. Seperti dengan cara melakukan penetrasi testing terhadap aplikasi-aplikasi yang ada untuk mendapatkan informasi.

  1. Penilaian Ancaman

Penilaian ancaman dapat dilakukan dengan cara melihat dari factor eksternal dari perusahaan.

  1. Penilaian Risiko

Dalam bentuknya yang sederhana, outputnya bisa berupa dampak probabilitas apa saja yang dapat terjadi berdasarkan penilaian (hasil dari langkah 1) kemudian dilanjutkan dengan penilaian dari tahap 2 dan 3. Lalu hasil penilaian dapat dibuat seperti lampu lalu lintas digunakan untuk menyoroti apakah risiko dinilai tinggi (merah), sedang (kuning), atau rendah (hijau). Ini memberikan penilaian murni kualitatif dan subjektif berdasarkan pada pendapat mereka yang terlibat dalam penilaian risiko yang dimediasi oleh manajer risiko keamanan informasi. 

  1. Penanggulangan

Langkah selanjutnya yang dapat dilakukan adalah menentukan dan memilih tindakan apa yang dapat dilakukan untuk menanggulangi risiko yang ada. Tindakan dapat disesuaikan dengan kultur perusahaan ke tingkat mana perusahaan merasa nyaman dengan risiko yang tersisa.

Setelah semua tahapan awal selesai, kemudian dipilih langkah penanggulangan dan rencana proyek disusun untuk membantu implementasi. Dengan mulai melakukan kerangka kerja yang dijelaskan diatas, kita mulai memahami dengan jelas interaksi antara berbagai elemen yang dapat menimbulkan risiko dan pentingnya mengetahui apa yang dapat terjadi di luar batas organisasi. Mengukur tingkat risiko juga dapat menggunakan bantuan berbagai metode. Diantaranya seperti CRAMM, COBRA, OCTAVE, dan metode-metode yang dihasilkan oleh Information Security Forum seperti FIRM, SARA, dan SPRINT.

 

 

References

Jones, A., & Ashenden, D. (2005). Risk Management for Computer Security. In A. Jones, & D. Ashenden, Risk Management for Computer Security (pp. 185-194; 237-238). Amsterdam: Elsevier Butterworth-Heinemann.

daon001. (2019, 02 19). Apa itu Industri 4.0 dan bagaimana Indonesia menyongsongnya. Retrieved from Kominfo: https://kominfo.go.id/content/detail/16505/apa-itu-industri-40-dan-bagaimana-indonesia-menyongsongnya/0/sorotan_media

Enisa. (n.d.). Cobra. Retrieved from Enisa Europa: https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory/rm-ra-tools/t_cobra.html

Synergisolusi. (n.d.). Pentingkah Risk Assessment Dilakukan oleh Perusahaan? Retrieved from Synergisolusi: https://synergysolusi.com/indonesia/berita-terbaru/pentingkah-risk-assessment-dilakukan-oleh-perusahaan