Ada beberapa kebingungan tentang di mana risiko dunia maya berakhir dan di mana risiko TI dimulai dan istilah tersebut sering digunakan secara bergantian.
Kami berbicara dengan Gary Lynam, kepala penasehat ERM di spesialis manajemen risiko Protecht, untuk mengetahui lebih lanjut tentang memahami dan mengelola berbagai jenis risiko yang dihadapi perusahaan.
BN: Mengapa penting membedakan antara risiko TI dan risiko dunia maya?
GL: Saat membahas masalah seputar TI dan risiko dunia maya, mudah untuk berpikir bahwa kita semua membicarakan hal yang sama padahal kenyataannya tidak demikian. Misalnya, penggunaan istilah luas seperti ‘risiko TI’ tanpa mendefinisikan apa artinya bagi setiap organisasi dapat mengakibatkan ilusi komunikasi.
Secara formal, definisi risiko TI dalam COBIT (Control Objectives for Information and Related Technologies) adalah: Risiko bisnis yang terkait dengan penggunaan, kepemilikan, pengoperasian, keterlibatan, pengaruh, dan adopsi TI dalam suatu perusahaan.
Dalam istilah yang lebih praktis, risiko TI mencakup semua jenis risiko yang terkait dengan teknologi informasi dan bagaimana hal itu dapat berkontribusi pada kegagalan untuk memenuhi tujuan strategis dan operasional. Meskipun teknologi adalah faktor pendukung, kegagalan pengoperasian sumber daya TI—atau kegagalan untuk berinvestasi di TI secara memadai—yang dapat melemahkan apakah suatu organisasi dapat mencapai tujuannya.
Demikian pula, frasa ‘risiko dunia maya’ dapat berarti banyak hal bagi banyak orang, oleh karena itu saya merekomendasikannya untuk didefinisikan secara khusus untuk setiap organisasi. Namun, secara umum, pikirkan teknologi informasi sebagai ‘barang’ yang memungkinkan kita menyimpan dan mengirimkan informasi; cyber berkaitan dengan informasi itu sendiri.
BN: Apakah Anda memerlukan solusi berbeda untuk mengelola berbagai jenis risiko?
GL: Ya, tetapi titik awal yang lebih baik adalah memahami siapa di dalam organisasi yang bertanggung jawab untuk mengelola berbagai jenis risiko. Secara umum, Chief Technology Officer (CTO) berfokus pada strategi dan arsitektur teknologi yang berkaitan dengan pelanggan eksternal. Peran mereka juga untuk menyelidiki dan mengembangkan serta mengadopsi teknologi yang membuat bisnis lebih kompetitif atau mengganggu. Risiko potensial yang mereka miliki termasuk IT strategis, keusangan, transformasi digital, eksekusi dan risiko pemilihan teknologi.
Chief Information Officer (CIO) bertanggung jawab atas isu-isu seperti efisiensi TI internal, peningkatan proses internal, produktivitas staf, dan tata kelola. Bidang risiko yang biasanya paling mereka perhatikan meliputi ketersediaan sistem teknologi, rantai pasokan/pemasok, ketersediaan data, dan integritas data (dua yang terakhir ini terkadang berada di bawah CISO).
Chief Information Security Officer (CISO) bertanggung jawab atas keamanan informasi rahasia dan informasi identitas pribadi (PII). Risiko terkait yang mereka jaga termasuk kerahasiaan data, intrusi dunia maya, ransomware, dan ancaman orang dalam.
Meskipun mudah untuk membagi rambut tentang batasan yang tepat dari peran ini, dalam praktiknya, mereka bekerja sama untuk memberikan solusi yang tepat untuk mengelola berbagai jenis risiko.
BN: Apa dampak risiko dunia maya pada organisasi yang lebih luas?
GL: Sifat risiko dunia maya yang ada di mana-mana berarti organisasi harus siap menghadapi dampak insiden kapan saja. Dengan ini sebagai prinsip panduan, jangan merencanakan dengan asumsi sesuatu akan terjadi; merencanakan dengan asumsi bahwa itu sudah memiliki. Apa selanjutnya? Seperti apa rencana manajemen krisis dan kelangsungan bisnis yang ada? Bagaimana organisasi memastikan pemeliharaan layanan kritis?
Dan jangan lupa bahwa risiko berjalan dalam kelompok, jadi ketika ancaman dunia maya muncul, apakah itu karena penetrasi perimeter, akses data yang tidak sah, atau malware, itu sudah dikaitkan dengan hasil terkait risiko. Ini dapat memicu masalah GDPR, yang dapat menyebabkan risiko regulasi dan mengakibatkan aktivitas perbaikan, kerugian finansial, dan kerusakan reputasi. Risiko konsekuensial inilah yang seringkali membuat bisnis menghabiskan terlalu sedikit waktu untuk memikirkannya. Pertanyaannya adalah: bagaimana organisasi memastikan mereka ditempatkan dengan baik untuk memitigasi risiko tersebut?
BN: Seberapa penting sudut pandang manusia dalam memahami dan mengelola risiko?
GL: Meskipun otomatisasi sedang meningkat, manusia masih menjadi inti dari setiap organisasi, termasuk bagaimana teknologinya dikelola dan dipelihara. Ini dapat mencakup membuat keputusan investasi jangka panjang dan pendek, memelihara infrastruktur teknologi penting, memantau kinerja sistem, kinerja kontrol terkait TI, mengelola insiden, menyelidiki dan mengusulkan teknologi baru, serta mengelola hubungan dengan vendor terkait TI dan pihak ketiga.
Keputusan dan tindakan yang diambil orang dapat menghasilkan operasi yang lancar dan bekerja menuju tujuan — atau mengakibatkan insiden atau kondisi yang berdampak negatif pada tujuan. Kesalahan, kekeliruan, dan gangguan komunikasi semuanya merupakan penyebab manusia potensial dari gangguan terkait TI atau hasil yang buruk.
Itu bukan untuk menuding orang TI ketika ada yang salah; itu untuk mengakui bahwa orang membuat kesalahan. Pemimpin perlu memberdayakan dan memelihara orang-orang, terutama di saat kesulitan. Untuk setiap organisasi yang menginginkan infrastruktur informasi yang tangguh dan tenaga kerja TI yang tangguh, keamanan psikologis orang-orangnya perlu ditanamkan ke dalam budaya sehari-hari.
BN: Bagaimana mengukur efektivitas manajemen risiko?
GL: Sementara beberapa risiko mungkin memerlukan beberapa pertimbangan khusus untuk dikelola, pada akhirnya, para eksekutif perlu mempertimbangkan dan membandingkan risiko di seluruh organisasi. Pemahaman yang lebih dalam tentang profil risiko akan memungkinkan investasi yang lebih bertarget di lingkungan kontrol. Hal ini dapat dicapai dengan mengidentifikasi indikator risiko dan kontrol metrik terkemuka yang ingin mereka ukur dan laporkan, frekuensi yang ingin mereka tangkap dan laporkan kepada manajemen atau Dewan, dan menentukan toleransi untuk metrik tersebut.
Organisasi juga harus mengintegrasikan proses manajemen insiden atau masalah khusus TI ke dalam proses manajemen insiden Manajemen Risiko Perusahaan (ERM) holistik untuk memastikan pelaporan agregat. Mereka juga harus menggunakan dasbor pelaporan untuk melacak risiko TI dan dunia maya yang dapat dibandingkan secara efektif dengan risiko lain bagi organisasi. Memiliki data risiko yang terintegrasi memungkinkan perbandingan yang efektif tidak hanya risiko TI tetapi juga risiko di seluruh organisasi.
Kredit Foto: Pixelbliss/Shutterstock
