Menilai Risiko
dalam Operasi TI
Tugas beresiko
Penilaian
risiko alat dan teknik yang dapat
digunakan untuk mengevaluasi sendiri tingkat risiko dari suatu proses atau
fungsi tertentu.
Bimbingan yang tersedia
Kami memiliki beberapa dokumen standar profesional
yang menyediakan panduan bagi auditor dan manajer yang terlibat dalam penilaian
risiko. Standar membantu dalam
pengembangan teknologi dan memberikan pengukuran kualitas yang konsisten jika
diadopsi, dipelihara, dan didukung oleh organisasi. Berikut ini adalah standar
terkait dengan penilaian risiko dalam operasi TI.
·
U.S. National Institute of Standards and Technology (NIST)
·
Government Accounting Office (GAO)
·
American Institute of Certified Public Accountants (AICPA)
·
Information Systems Audit and Control Association (ISACA)
·
Institute of Internal Auditors (IIA)
·
Committee of Sponsoring Organizations of the
Treadway Commission (COSO)
Pengantar ERM / ORM
Kerangka Kerja Manajemen Risiko COSO Enterprise mendefinisikan
ERM sebagai berikut:
Manajemen risiko perusahaan adalah suatu proses, yang
dilakukan oleh dewan direksi, manajemen, dan personel lainnya, yang diterapkan
dalam penetapan strategi dan di seluruh perusahaan, yang dirancang untuk
mengidentifikasi peristiwa potensial yang dapat memengaruhi entitas, dan
mengelola risiko agar sesuai dengan selera risikonya, untuk memberikan jaminan
yang wajar mengenai pencapaian tujuan entitas.
a) Mengapa ERM / ORM?
Ada banyak alasan mengapa fungsi ERM / ORM didirikan di
dalam perusahaan. Berikut ini adalah beberapa alasannya.
·
Pengawasan
Organisasi
·
Besarnya
Masalah
·
Meningkatkan
Risiko Bisnis
·
Masalah
Regulasi
·
Faktor Pasar
·
Tata kelola
perusahaan
·
Praktek terbaik
b) Pikiran Penutup tentang ERM / ORM
ERM / ORM akan menjadi bagian dari proses manajemen
untuk organisasi di masa depan. Seandainya proses ini sudah ada selama dua
dekade terakhir, sejumlah risiko-risiko operasional yang terjadi mungkin tidak
akan terjadi atau akan lebih kecil.
Masalah Risiko Web dan
Java
Internet telah ada selama bertahun-tahun, tetapi
industri swasta menjadi tertarik pada kemungkinan komersialnya hanya setelah
World Wide Web grafis muncul pada awal 1990-an. Versi Web Internet menawarkan
jaringan yang berpotensi murah dan platform yang dapat digunakan untuk
menjalankan bisnis dan menyebarkan informasi.
Semua ini harus diaktifkan oleh bahasa pemrograman,
Java, yang akan bekerja pada sistem operasi (OS) atau platform komputasi apa
pun. Bahasa ini juga dapat digunakan untuk mengirimkan ke klien mesin program
dan elemen data (dalam bentuk applet Java) yang perlu digunakan klien pada
waktu tertentu.
Keamanan internet
Alat dan prosedur keamanan ada saat ini untuk
mengurangi risiko ketika perusahaan memberikan pelanggannya akses ke sumber
daya bisnis melalui Internet.
Diimplementasikan dengan benar, mekanisme keamanan ini
akan:
a)
Alat dan Teknologi Keamanan
Solusi keamanan yang efektif bergantung pada beberapa alat dan
teknologi yang dirancang untuk melindungi informasi dan komputer dari gangguan,
kompromi, atau penyalahgunaan, seperti teknologi enkripsi, kebijakan dan
prosedur keamanan, dan berbagai jenis firewall.
- Lindungi perusahaan dari penyusup yang mencoba memasuki jaringan internal melalui Internet
- Memberikan pengguna yang berwenang akses ke layanan Internet seperti HTTP, FTP, Telnet, dan Gopher
- Memberikan aplikasi Internet yang diperlukan dari jaringan internal ke Internet
- Memberikan layanan SMTP dan Netnews ke jaringan internal dari Internet
- Mencegah penggunaan sumber daya tanpa izin di jaringan internal
- Memberi pengguna cara mudah untuk memahami status keamanan jaringan tanpa menjadi pakar keamanan Internet
- Yakinkan para pakar 24 jam, tujuh hari seminggu (7 x 24) pemantauan dan respons terhadap peristiwa keamanan
- Maksimalkan perlindungan dari Internet dan meminimalkan biaya pengoperasian dan pemantauan perangkat pelindung seperti firewall proksi aplikasi
Teknologi Enkripsi
Teknologi enkripsi secara elektronik menyimpan informasi dalam bentuk
yang disandikan yang hanya dapat didekodekan oleh individu yang berwenang yang
memiliki teknologi dekripsi yang sesuai dan otorisasi untuk mendekripsi.
Enkripsi menyediakan sejumlah komponen keamanan penting untuk melindungi
informasi elektronik:
- Identifikasi: Siapa kamu?
- Otentikasi: Bisakah Anda membuktikan siapa Anda?
- Otorisasi: Apa yang dapat Anda lakukan?
- Audit: Apa yang Anda lakukan?
- Integritas: Apakah ini bukti rusak?
- Privasi: Siapa yang bisa melihatnya?
- Nonrepudiation: Dapatkah saya membuktikan bahwa Anda mengatakan apa
yang Anda katakan?
b)
Kebijakan dan Prosedur Keamanan
Dalam tergesa-gesa membangun kehadiran Internet, banyak
perusahaan telah mengabaikan bagian terpenting dalam solusi keamanan yang
efektif: kebijakan keamanan yang mengidentifikasi siapa yang memiliki akses ke
sumber daya elektronik perusahaan dan dalam keadaan apa mereka memiliki akses.
Dengan demikian, kebijakan keamanan di beberapa perusahaan hampir tidak ada dan
yang lain tidak didefinisikan dengan jelas.
c)
Firewall
Internet
Firewall proxy
aplikasi Internet adalah solusi keamanan perimeter yang bijaksana. Sistem ini
berada di antara Internet dan jaringan internal organisasi dan mengontrol arus
lalu lintas antara Internet dan sumber daya internal perusahaan. Firewall
menyediakan proksi aplikasi untuk sebagian besar aplikasi Internet yang populer
serta dukungan untuk kebijakan kehati-hatian yang lebih ketat. Kebijakan ini
mungkin membatasi pendirian koneksi jaringan dari dalam perusahaan ke Internet.
d)
Solusi
Keamanan Web Praktis
Sangat mudah untuk
melihat bahwa bisnis tidak perlu diintimidasi untuk melewati peluang yang
tersedia bagi mereka di Internet. Beberapa solusi keamanan ada segera untuk
mengurangi atau menghilangkan risiko yang terlibat dalam menghubungkan ke Internet.
- Koneksi
Backdoor.
- Firewall
Jaringan.
- Firewall
Pseudo.
e)
Masalah
Risiko Java
Bidang lain untuk
tinjauan manajemen dalam penggunaan korporat dari World Wide Web adalah
penggunaan Java. Java adalah bahasa pemrograman berorientasi objek di mana
program kecil (disebut applet) dapat dikompilasi dan dijalankan pada platform
komputasi apa pun.
f)
World
Wide Web dan Kesimpulan Risiko Java
Untuk CIO dan CEO,
milenium baru menjanjikan banyak peluang dan risiko yang menarik di bidang TI.
Meskipun banyak perubahan ini yang meresahkan dan menakutkan, para manajer
harus menggunakan akal sehat dan penilaian bisnis yang berpengetahuan untuk
memahami risiko dan manfaat. Manajer harus memahami kompleksitas teknis dan
mendorong pengambil keputusan untuk mempertimbangkan investasi dalam keamanan
dengan hati-hati terhadap risiko potensial. Ada jawaban dan solusi untuk banyak
masalah keamanan yang dibahas. Ada langkah-langkah efektif untuk melindungi
keamanan akses dan keamanan transaksi melalui Internet.
Risiko
Asuransi TI
Area ketiga penilaian risiko yang terkait dengan
operasi TI adalah asuransi TI. Pemahaman yang jelas tentang asuransi dan
manajemen risiko diperlukan untuk meninjau kecukupan asuransi TI suatu
organisasi. Manajemen TI dan administrator keamanan data harus menyadari
hubungan antara risiko dan asuransi untuk memahami alasan di balik pilihan
asuransi dan jenis asuransi yang paling berlaku untuk lingkungan TI.
A)
Masalah
Diatasi.
Asuransi mendistribusikan kerugian sehingga kerugian
yang menghancurkan bagi individu atau bisnis tersebar secara merata di antara
sekelompok anggota yang diasuransikan. Asuransi tidak mencegah kerugian atau
mengurangi biayanya; itu hanya mengurangi risiko.
B)
Persyaratan
Asuransi.
Kondisi berikut
harus dipenuhi bagi perusahaan asuransi untuk menghitung risiko dalam hal
moneter dan mendistribusikan biaya lebih dari anggota yang cukup untuk menutupi
kerugian dan meninggalkan keuntungan.
- Objek yang
diasuransikan harus dalam jumlah dan kuantitas yang cukup untuk memungkinkan
perhitungan kerugian yang mungkin terjadi secara cukup dekat.
- Kerugian harus
disengaja.
- Kerugian harus mampu
ditentukan dan diukur.
- Semua benda yang
diasuransikan tidak dapat dihancurkan secara bersamaan (mis., Bahaya bencana
harus minimal).
C)
Pengurangan
dan Retensi Risiko
Risiko yang tidak
dapat diasuransikan dapat dikelola dengan cara lain, dan hanya karena risiko
dapat diasuransikan tidak berarti bahwa asuransi adalah satu-satunya cara untuk
mengatasinya. Pengurangan risiko dapat dicapai melalui pencegahan dan
pengendalian kerugian. Jika kemungkinan kerugian dapat dicegah, risiko
dieliminasi; bahkan mengurangi kemungkinan kerugian terjadi adalah peningkatan
yang signifikan. Jika peluang tidak dapat dikurangi, setidaknya keparahan
kerugian sering dapat dikendalikan. Metode reduksi sering digunakan dengan
asuransi untuk mengurangi premi.
D)
Manajemen
risiko
Manajemen risiko
memastikan bahwa kerugian risiko tidak mencegah manajemen perusahaan mencari
tujuannya untuk melestarikan aset dan memaksimalkan keuntungan. Fungsi-fungsi
manajemen risiko meliputi:
- Mengenali
eksposur kerugian dengan menyadari kemungkinan setiap jenis kerugian. Ini
adalah fungsi dasar yang harus mendahului semua yang lain.
- Memperkirakan
frekuensi dan ukuran kerugian dengan menentukan probabilitasnya dari berbagai
sumber.
- Memutuskan
metode terbaik dan paling ekonomis untuk mengelola risiko kerugian, apakah itu
dengan asumsi, penghindaran, asuransi diri, pengurangan bahaya, transfer,
asuransi komersial, atau kombinasi dari metode ini.
- Mengelola
program-program manajemen risiko, termasuk tugas-tugas evaluasi ulang yang
konstan terhadap program-program dan pencatatan.
E)
Penentuan
Tujuan
Serangkaian tujuan
yang jelas dapat memandu mereka yang bertanggung jawab untuk mengembangkan dan mengelola
program manajemen risiko serta menyediakan sarana untuk mengevaluasi kinerja
program. Jelas, setiap perusahaan memiliki tujuan yang secara khusus sesuai
untuk operasinya; namun, beberapa tujuan luas dapat didefinisikan. Pertama,
biaya risiko agregat harus dijaga di bawah titik di mana aset atau pendapatan
perusahaan akan dikurangi secara signifikan oleh kerugian yang tidak
diasuransikan. Biaya risiko didefinisikan sebagai jumlah dari berikut ini:
- Biaya langsung
dan konsekuensi dari tindakan pencegahan kerugian
- Asuransi premium
- Biaya kerugian
berkelanjutan (termasuk biaya untuk mengurangi kerugian)
- Biaya ganti rugi
bersih dari perusahaan asuransi dan pihak ketiga
- Biaya manajemen,
administrasi, dan keuangan yang relevan
F)
Identifikasi
Risiko TI
Langkah ini sangat
penting karena risiko yang tidak dikenal dipertahankan secara default. Seperti
halnya bisnis apa pun, dan TI tidak terkecuali, menggunakan beberapa alat
identifikasi berikut dapat memastikan tinjauan komprehensif:
- Audit atau
inspeksi oleh manajer, pekerja, dan / atau pihak independen di lokasi atau
praktik operasional perusahaan.
- Operasi dan /
atau bagan alur proses operasi perusahaan.
- Penggunaan
kuesioner analisis risiko secara berkala di mana informasi dapat ditangkap
tentang operasi perusahaan dan kegiatan yang sedang berlangsung. Jika
pertanyaan terlalu umum, eksposur yang tidak biasa atau area kerugian unik
dapat diabaikan.
- Analisis laporan
keuangan menggunakan perangkat lunak lembar kerja untuk menggambarkan tren
dalam bidang pendapatan dan biaya, mengidentifikasi analisis paparan aset.
- Daftar periksa polis
asuransi - katalog berbagai polis atau jenis asuransi yang mengidentifikasi
risiko yang dapat diasuransikan yang dapat diukur.
G)
Alat
dan Teknik Penilaian Risiko TI
Mengingat
meningkatnya ketergantungan pada TI dan sistem otomatis, penekanan khusus harus
ditempatkan dalam tinjauan dan analisis risiko di bidang ini. Fasilitas dan
perangkat keras TI sering dimasukkan dalam tinjauan keseluruhan pabrik dan
properti perusahaan; Namun, sistem otomatis memerlukan analisis terpisah,
terutama ketika sistem ini adalah satu-satunya sumber informasi penting untuk
bisnis seperti dalam pergerakan E-bisnis saat ini. Ada banyak risiko yang
mempengaruhi lingkungan TI saat ini.
H)
Evaluasi
Risiko TI
Evaluasi TI
melibatkan kuantifikasi atau peringkat ukuran dan kemungkinan potensi kerugian.
Risiko harus dikategorikan sebagai berikut:
- Critical:
Eksposur ini akan mengakibatkan kebangkrutan.
- Penting: Ini
adalah eksposur di mana kemungkinan kerugian tidak akan menyebabkan
kebangkrutan tetapi mengharuskan bisnis untuk mengambil pinjaman untuk
melanjutkan operasi.
- Tidak penting:
Ini adalah eksposur yang dapat ditampung oleh aset yang ada atau pendapatan
saat ini tanpa memaksakan tekanan keuangan yang tidak semestinya.
I)
Manajemen
Risiko TI
Risiko dapat
dikelola dengan menggunakan satu atau beberapa teknik berikut:
- Penghindaran
- Pencegahan
- Pengurangan
- Transfer
- Retensi
Cara
Menentukan Cakupan Asuransi TI
Manajemen risiko
sebagaimana dibahas di atas bertindak sebagai panduan selama peninjauan
cakupan asuransi
TI. Harus dipahami bagaimana pilihan asuransi tercapai. Seperti disebutkan
sebelumnya, ada
langkah-langkah mendasar yang harus dilakukan:
- Tujuan kebijakan
manajemen risiko harus sejalan dengan tujuan keseluruhan organisasi.
- Metode yang
digunakan untuk mengidentifikasi risiko yang terkait dengan TI harus
- Menyediakan daftar
yang akurat dan komprehensif.
- Eksposur risiko
harus dikuantifikasi dan dikategorikan dengan benar.
- Keputusan yang tepat harus dibuat setelah peninjauan yang hati-hati terhadap
opsi dan alternatif.
Kesimpulan
Penilaian
dan analisis risiko di lingkungan TI apa pun bukanlah proses yang mudah. Bab
ini telah memeriksa penerapan penilaian risiko dalam ERM / ORM, desain dan
pengembangan Web dan Java, dan cakupan asuransi TI. Ada sejumlah sumber daya
yang tersedia untuk membantu auditor dan profesional TI di bidang ini.
Perusahaan
mulai melihat manfaat dari melindungi diri mereka sendiri dari semua jenis
paparan risiko potensial. Dengan mengidentifikasi dan memetakan eksposur risiko
di seluruh organisasi, sebuah perusahaan dapat berkonsentrasi pada mitigasi
eksposur yang paling banyak menimbulkan kerusakan. Dengan pemahaman akan risiko,
tingkat keparahannya, dan frekuensi mereka, sebuah perusahaan dapat beralih ke
solusi, baik itu mempertahankan, mentransfer, berbagi, atau menghindari risiko
tertentu.
Berkenaan
dengan masalah operasional Web dan Java, beberapa alat dan prosedur keamanan
yang ada sekarang untuk mengurangi risiko ketika perusahaan memberikan
pelanggannya akses ke sumber daya bisnis melalui Internet telah dibahas. Contoh
telah diberikan langkah-langkah keamanan yang tersedia untuk memberikan
keamanan akses untuk melindungi komputer, disk, memori, dan peralatan komputasi
perusahaan sendiri dari gangguan luar, dan keamanan transaksi untuk memastikan
bahwa dua individu atau organisasi di Internet dapat secara pribadi dan aman
menjalankan suatu transaksi.
Akhirnya,
organisasi harus mengembangkan program manajemen risiko yang baik untuk dapat
menentukan kecukupan cakupan asuransi TI mereka. Langkah pertama dalam
mengembangkan program dengan benar adalah menyadari batasan dan keuntungan
asuransi dan mempelajari metode pengurangan risiko. Untuk program manajemen
risiko itu sendiri, tujuan harus ditentukan; risiko harus diidentifikasi,
dikategorikan, dan dievaluasi, dan teknik penanganan risiko harus dipilih.
Memahami pilihan asuransi dan jenis polis yang tersedia juga penting.
Pengembangan
program manajemen risiko yang komprehensif adalah proses yang panjang dan
banyak pekerjaan. Namun, begitu ditetapkan, manfaatnya menjadi sangat berharga.
Operasi TI akan selalu berisiko. Auditor TI, profesional TI, dan manajemen dapat
bekerja sama untuk meminimalkan risiko itu.
