Setiap hal yang ada di dunia ini pasti memiliki risk/resiko dari bagaimana kita di lingkungan sosial hingga mencakup permasalahan-permasalahan lingkungan yang kompleks pun tetap memiliki resiko. Investasi seperti saham, forex, dan sejenisnya juga memiliki tingkatan dan profil resikonya masing-masing. Lalu bagaimana risk/resiko di dalam dunia IT khususnya cyber security? Mari kita bedah tuntas!
Risiko adalah bahaya, akibat atau konsekuensi yang dapat terjadi akibat sebuah proses yang sedang berlangsung atau kejadian yang akan datang. Dalam bidang asuransi, risiko dapat diartikan sebagai suatu keadaan ketidakpastian, di mana jika terjadi suatu keadaan yang tidak dikehendaki dapat menimbulkan suatu kerugian.
Wikipedia Bahasa Indonesia
Nah dari pengertian tersebut apakah kita sudah mendapatkan gambaran dari definisi singkat apa itu resiko? Jadi seperti apa suatu resiko dalam IT yang mencakup sisi security? Seperti yang kita tahu, bahwasanya suatu risk/resiko dapat berasal dari banyak hal. Salah satunya seperti dari environmental failure, network attack, intended attack, dan masih banyak hal yang lainnya. Mari kita mengenal bagaimana suatu resiko dapat dikelola dan diatur sedemikian rupa oleh setiap instansi! Sebelum lanjut, saya ingin mengingatkan bahwasanya dalam dunia IT kita tidak hanya mengenal resiko bersifat logical (information security), namun mencakup semua hal yang menjadi bagian cyber security, seperti hardware security, data security, regulation dan policy, hingga mengatur detail dari impact resiko terhadap bussiness continuity plan.
Nah sekarang kita akan berkenalan dengan 4 risk management. Pertama, ada 4 tahap risk management process. Dan kedua, ada 4 jenis risk management. 4 tahap risk management terdiri dari identify risk, assess risk, control risk, and review controls. Nah sekarang kita bedah satu per satu, identify risk adalah fase dimana kita mengidentifikasi setiap asset dan value apa saja yang mungkin memiliki resiko. Selanjutnya, asess risk adalah suatu tahapan dimana kita mulai melakukan peninjauan terhadap resiko terhadap asset dan value yang sebelumnya sudah kita identifikasi. Lalu masuk ke dalam control risk, dimana kita memanage dan mengatur resiko hingga mengatur titik acceptence-nya. Terakhir, review control adalah tahapan kita meriview dan meninjau ulang resiko untuk mendapatkan security posture lebih baik.
Sekarang kita akan membahas 4 jenis risk management dalam control risk:
1. Risk Acceptence
Sesuai dengan namanya “risk acceptence”, artinya setiap resiko diterima dan tidak ada hal yang dilakukan untuk mengurangi resiko tersebut. Manajemen ini dapat memilih untuk menjalankan bussiness functionality yang terkait dengan risiko tanpa tindakan lebih lanjut dari pihak organisasi, baik karena impact atau kemungkinan (likelihood) terjadinya dapat diabaikan, atau karena manfaatnya sesuai dengan risiko yang ada.
Baca juga: - Indeks KAMI dan ISO 27001 - SANS Institute dan SANS SEC504 - SANS SEC503 tentang Network Monitoring dan Threat Detection In-Depth - Mengenal Cyber Kill Chain, Framework Serangan Siber
2. Risk Avoidance
Kalau kita lihat dari namanya, avoidance berarti menghindari/mengelak. Jika diartikan, maka ini merupakan kontrol resiko yang mengambil sebuah decission untuk menghindari dan menghilangkan risiko seluruhnya. Sebagai contohnya adalah perusahaan akan memberhentikan suatu operasional ketika dirasa tingkat resiko yang ada terlalu besar.
3. Risk Mitigation
Risk mitigation sendiri merupakan adalah jenis manajemen risiko yang paling umum dan termasuk mengambil tindakan untuk mencegah atau mengurangi kemungkinan kejadian risiko atau dampaknya. Mitigasinya sendiri dapat melibatkan tindakan perbaikan, atau kontrol, seperti kontrol keamanan, penetapan kebijakan, prosedur, dan standar untuk meminimalkan risiko yang merugikan.
4. Risk Transfer
Risk Transfer adalah praktik mengalihkan/mengoper risiko ke pihak lain (3rd party), yang akan menerima dampak bisnis dan finansial dari kerugian akibat risiko yang ada atau dengan kata lain menggunakan jasa pihak ketiga (3rd party). Contoh simplenya adalah: Penggunaan asuransi kesehatan, dimana kita membayar premi setiap bulan untuk asuransi kesehatan yang dimana kita mempercayakan resiko kesehatan kita kepada pihak asuransi.
Mungkin itu saja pembahasan topik terkait risk management, mohon maaf bila ada definisi atau penjelasan yang keliru. Baca artikel saya lainnya di sini: https://kamsib.id/author/san/ , https://cybertechnologyspace.blogspot.com/ , dan https://www.orangsiber.com/author/san/