Rabu, 15 Januari 2020


Menilai Risiko dalam Operasi TI

Tugas beresiko

 Penilaian risiko  alat dan teknik yang dapat digunakan untuk mengevaluasi sendiri tingkat risiko dari suatu proses atau fungsi tertentu.

Bimbingan yang tersedia

 Kami memiliki beberapa dokumen standar profesional yang menyediakan panduan bagi auditor dan manajer yang terlibat dalam penilaian risiko. Standar membantu dalam pengembangan teknologi dan memberikan pengukuran kualitas yang konsisten jika diadopsi, dipelihara, dan didukung oleh organisasi. Berikut ini adalah standar terkait dengan penilaian risiko dalam operasi TI.

·         U.S. National Institute of Standards and Technology (NIST)

·         Government Accounting Office (GAO)

·        American Institute of Certified Public Accountants (AICPA)

·        Information Systems Audit and Control Association (ISACA)

·        Institute of Internal Auditors  (IIA)

·         Committee of Sponsoring Organizations of the Treadway Commission (COSO)

 

Pengantar ERM / ORM


Kerangka Kerja Manajemen Risiko COSO Enterprise mendefinisikan ERM sebagai berikut:

 

Manajemen risiko perusahaan adalah suatu proses, yang dilakukan oleh dewan direksi, manajemen, dan personel lainnya, yang diterapkan dalam penetapan strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat memengaruhi entitas, dan mengelola risiko agar sesuai dengan selera risikonya, untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas.

 

a)      Mengapa ERM / ORM?


Ada banyak alasan mengapa fungsi ERM / ORM didirikan di dalam perusahaan. Berikut ini adalah beberapa alasannya.

 

·         Pengawasan Organisasi

·         Besarnya Masalah

·         Meningkatkan Risiko Bisnis

·         Masalah Regulasi

·         Faktor Pasar

·         Tata kelola perusahaan

·         Praktek terbaik

 

 

b)      Pikiran Penutup tentang ERM / ORM


ERM / ORM akan menjadi bagian dari proses manajemen untuk organisasi di masa depan. Seandainya proses ini sudah ada selama dua dekade terakhir, sejumlah risiko-risiko operasional yang terjadi mungkin tidak akan terjadi atau akan lebih kecil.

 

Masalah Risiko Web dan Java


Internet telah ada selama bertahun-tahun, tetapi industri swasta menjadi tertarik pada kemungkinan komersialnya hanya setelah World Wide Web grafis muncul pada awal 1990-an. Versi Web Internet menawarkan jaringan yang berpotensi murah dan platform yang dapat digunakan untuk menjalankan bisnis dan menyebarkan informasi.

 

Semua ini harus diaktifkan oleh bahasa pemrograman, Java, yang akan bekerja pada sistem operasi (OS) atau platform komputasi apa pun. Bahasa ini juga dapat digunakan untuk mengirimkan ke klien mesin program dan elemen data (dalam bentuk applet Java) yang perlu digunakan klien pada waktu tertentu.

 

Keamanan internet


Alat dan prosedur keamanan ada saat ini untuk mengurangi risiko ketika perusahaan memberikan pelanggannya akses ke sumber daya bisnis melalui Internet.

 

Diimplementasikan dengan benar, mekanisme keamanan ini akan:


 

a)      Alat dan Teknologi Keamanan

Solusi keamanan yang efektif bergantung pada beberapa alat dan teknologi yang dirancang untuk melindungi informasi dan komputer dari gangguan, kompromi, atau penyalahgunaan, seperti teknologi enkripsi, kebijakan dan prosedur keamanan, dan berbagai jenis firewall.

  •  Lindungi perusahaan dari penyusup yang mencoba memasuki jaringan internal melalui Internet
  • Memberikan pengguna yang berwenang akses ke layanan Internet seperti HTTP, FTP, Telnet, dan Gopher
  •  Memberikan aplikasi Internet yang diperlukan dari jaringan internal ke Internet
  • Memberikan layanan SMTP dan Netnews ke jaringan internal dari Internet
  • Mencegah penggunaan sumber daya tanpa izin di jaringan internal
  • Memberi pengguna cara mudah untuk memahami status keamanan jaringan tanpa menjadi pakar keamanan Internet
  • Yakinkan para pakar 24 jam, tujuh hari seminggu (7 x 24) pemantauan dan respons terhadap peristiwa keamanan
  • Maksimalkan perlindungan dari Internet dan meminimalkan biaya pengoperasian dan pemantauan perangkat pelindung seperti firewall proksi aplikasi

 

Teknologi Enkripsi

Teknologi enkripsi secara elektronik menyimpan informasi dalam bentuk yang disandikan yang hanya dapat didekodekan oleh individu yang berwenang yang memiliki teknologi dekripsi yang sesuai dan otorisasi untuk mendekripsi. Enkripsi menyediakan sejumlah komponen keamanan penting untuk melindungi informasi elektronik:

  • Identifikasi: Siapa kamu?
  • Otentikasi: Bisakah Anda membuktikan siapa Anda?
  • Otorisasi: Apa yang dapat Anda lakukan?
  • Audit: Apa yang Anda lakukan?
  • Integritas: Apakah ini bukti rusak?
  • Privasi: Siapa yang bisa melihatnya?
  • Nonrepudiation: Dapatkah saya membuktikan bahwa Anda mengatakan apa yang Anda katakan?

 

b)      Kebijakan dan Prosedur Keamanan

Dalam tergesa-gesa membangun kehadiran Internet, banyak perusahaan telah mengabaikan bagian terpenting dalam solusi keamanan yang efektif: kebijakan keamanan yang mengidentifikasi siapa yang memiliki akses ke sumber daya elektronik perusahaan dan dalam keadaan apa mereka memiliki akses. Dengan demikian, kebijakan keamanan di beberapa perusahaan hampir tidak ada dan yang lain tidak didefinisikan dengan jelas.

c)      Firewall Internet

Firewall proxy aplikasi Internet adalah solusi keamanan perimeter yang bijaksana. Sistem ini berada di antara Internet dan jaringan internal organisasi dan mengontrol arus lalu lintas antara Internet dan sumber daya internal perusahaan. Firewall menyediakan proksi aplikasi untuk sebagian besar aplikasi Internet yang populer serta dukungan untuk kebijakan kehati-hatian yang lebih ketat. Kebijakan ini mungkin membatasi pendirian koneksi jaringan dari dalam perusahaan ke Internet.

d)      Solusi Keamanan Web Praktis

Sangat mudah untuk melihat bahwa bisnis tidak perlu diintimidasi untuk melewati peluang yang tersedia bagi mereka di Internet. Beberapa solusi keamanan ada segera untuk mengurangi atau menghilangkan risiko yang terlibat dalam menghubungkan ke Internet.
  •  Koneksi Backdoor.
  • Firewall Jaringan.
  • Firewall Pseudo.


e)      Masalah Risiko Java

Bidang lain untuk tinjauan manajemen dalam penggunaan korporat dari World Wide Web adalah penggunaan Java. Java adalah bahasa pemrograman berorientasi objek di mana program kecil (disebut applet) dapat dikompilasi dan dijalankan pada platform komputasi apa pun.


f)       World Wide Web dan Kesimpulan Risiko Java

Untuk CIO dan CEO, milenium baru menjanjikan banyak peluang dan risiko yang menarik di bidang TI. Meskipun banyak perubahan ini yang meresahkan dan menakutkan, para manajer harus menggunakan akal sehat dan penilaian bisnis yang berpengetahuan untuk memahami risiko dan manfaat. Manajer harus memahami kompleksitas teknis dan mendorong pengambil keputusan untuk mempertimbangkan investasi dalam keamanan dengan hati-hati terhadap risiko potensial. Ada jawaban dan solusi untuk banyak masalah keamanan yang dibahas. Ada langkah-langkah efektif untuk melindungi keamanan akses dan keamanan transaksi melalui Internet.


Risiko Asuransi TI

Area ketiga penilaian risiko yang terkait dengan operasi TI adalah asuransi TI. Pemahaman yang jelas tentang asuransi dan manajemen risiko diperlukan untuk meninjau kecukupan asuransi TI suatu organisasi. Manajemen TI dan administrator keamanan data harus menyadari hubungan antara risiko dan asuransi untuk memahami alasan di balik pilihan asuransi dan jenis asuransi yang paling berlaku untuk lingkungan TI.

A)    Masalah Diatasi.

Asuransi mendistribusikan kerugian sehingga kerugian yang menghancurkan bagi individu atau bisnis tersebar secara merata di antara sekelompok anggota yang diasuransikan. Asuransi tidak mencegah kerugian atau mengurangi biayanya; itu hanya mengurangi risiko.

B)    Persyaratan Asuransi.

Kondisi berikut harus dipenuhi bagi perusahaan asuransi untuk menghitung risiko dalam hal moneter dan mendistribusikan biaya lebih dari anggota yang cukup untuk menutupi kerugian dan meninggalkan keuntungan.
  • Objek yang diasuransikan harus dalam jumlah dan kuantitas yang cukup untuk memungkinkan perhitungan kerugian yang mungkin terjadi secara cukup dekat.
  • Kerugian harus disengaja.
  • Kerugian harus mampu ditentukan dan diukur.
  • Semua benda yang diasuransikan tidak dapat dihancurkan secara bersamaan (mis., Bahaya bencana harus minimal).


C)    Pengurangan dan Retensi Risiko

Risiko yang tidak dapat diasuransikan dapat dikelola dengan cara lain, dan hanya karena risiko dapat diasuransikan tidak berarti bahwa asuransi adalah satu-satunya cara untuk mengatasinya. Pengurangan risiko dapat dicapai melalui pencegahan dan pengendalian kerugian. Jika kemungkinan kerugian dapat dicegah, risiko dieliminasi; bahkan mengurangi kemungkinan kerugian terjadi adalah peningkatan yang signifikan. Jika peluang tidak dapat dikurangi, setidaknya keparahan kerugian sering dapat dikendalikan. Metode reduksi sering digunakan dengan asuransi untuk mengurangi premi.

D)    Manajemen risiko

Manajemen risiko memastikan bahwa kerugian risiko tidak mencegah manajemen perusahaan mencari tujuannya untuk melestarikan aset dan memaksimalkan keuntungan. Fungsi-fungsi manajemen risiko meliputi:
  • Mengenali eksposur kerugian dengan menyadari kemungkinan setiap jenis kerugian. Ini adalah fungsi dasar yang harus mendahului semua yang lain.
  • Memperkirakan frekuensi dan ukuran kerugian dengan menentukan probabilitasnya dari berbagai sumber.
  • Memutuskan metode terbaik dan paling ekonomis untuk mengelola risiko kerugian, apakah itu dengan asumsi, penghindaran, asuransi diri, pengurangan bahaya, transfer, asuransi komersial, atau kombinasi dari metode ini.
  • Mengelola program-program manajemen risiko, termasuk tugas-tugas evaluasi ulang yang konstan terhadap program-program dan pencatatan.   

E)     Penentuan Tujuan

Serangkaian tujuan yang jelas dapat memandu mereka yang bertanggung jawab untuk mengembangkan dan mengelola program manajemen risiko serta menyediakan sarana untuk mengevaluasi kinerja program. Jelas, setiap perusahaan memiliki tujuan yang secara khusus sesuai untuk operasinya; namun, beberapa tujuan luas dapat didefinisikan. Pertama, biaya risiko agregat harus dijaga di bawah titik di mana aset atau pendapatan perusahaan akan dikurangi secara signifikan oleh kerugian yang tidak diasuransikan. Biaya risiko didefinisikan sebagai jumlah dari berikut ini:
  • Biaya langsung dan konsekuensi dari tindakan pencegahan kerugian
  • Asuransi premium
  • Biaya kerugian berkelanjutan (termasuk biaya untuk mengurangi kerugian)
  • Biaya ganti rugi bersih dari perusahaan asuransi dan pihak ketiga
  • Biaya manajemen, administrasi, dan keuangan yang relevan



F)     Identifikasi Risiko TI

Langkah ini sangat penting karena risiko yang tidak dikenal dipertahankan secara default. Seperti halnya bisnis apa pun, dan TI tidak terkecuali, menggunakan beberapa alat identifikasi berikut dapat memastikan tinjauan komprehensif:
  • Audit atau inspeksi oleh manajer, pekerja, dan / atau pihak independen di lokasi atau praktik operasional perusahaan.
  • Operasi dan / atau bagan alur proses operasi perusahaan.
  • Penggunaan kuesioner analisis risiko secara berkala di mana informasi dapat ditangkap tentang operasi perusahaan dan kegiatan yang sedang berlangsung. Jika pertanyaan terlalu umum, eksposur yang tidak biasa atau area kerugian unik dapat diabaikan.
  • Analisis laporan keuangan menggunakan perangkat lunak lembar kerja untuk menggambarkan tren dalam bidang pendapatan dan biaya, mengidentifikasi analisis paparan aset.
  • Daftar periksa polis asuransi - katalog berbagai polis atau jenis asuransi yang mengidentifikasi risiko yang dapat diasuransikan yang dapat diukur.

G)    Alat dan Teknik Penilaian Risiko TI

Mengingat meningkatnya ketergantungan pada TI dan sistem otomatis, penekanan khusus harus ditempatkan dalam tinjauan dan analisis risiko di bidang ini. Fasilitas dan perangkat keras TI sering dimasukkan dalam tinjauan keseluruhan pabrik dan properti perusahaan; Namun, sistem otomatis memerlukan analisis terpisah, terutama ketika sistem ini adalah satu-satunya sumber informasi penting untuk bisnis seperti dalam pergerakan E-bisnis saat ini. Ada banyak risiko yang mempengaruhi lingkungan TI saat ini.

H)    Evaluasi Risiko TI

Evaluasi TI melibatkan kuantifikasi atau peringkat ukuran dan kemungkinan potensi kerugian. Risiko harus dikategorikan sebagai berikut:
  • Critical: Eksposur ini akan mengakibatkan kebangkrutan.
  • Penting: Ini adalah eksposur di mana kemungkinan kerugian tidak akan menyebabkan kebangkrutan tetapi mengharuskan bisnis untuk mengambil pinjaman untuk melanjutkan operasi.
  • Tidak penting: Ini adalah eksposur yang dapat ditampung oleh aset yang ada atau pendapatan saat ini tanpa memaksakan tekanan keuangan yang tidak semestinya.

I)       Manajemen Risiko TI

Risiko dapat dikelola dengan menggunakan satu atau beberapa teknik berikut:
  • Penghindaran
  • Pencegahan
  • Pengurangan
  • Transfer
  • Retensi


Cara Menentukan Cakupan Asuransi TI

Manajemen risiko sebagaimana dibahas di atas bertindak sebagai panduan selama peninjauan
cakupan asuransi TI. Harus dipahami bagaimana pilihan asuransi tercapai. Seperti disebutkan
sebelumnya, ada langkah-langkah mendasar yang harus dilakukan:
  • Tujuan kebijakan manajemen risiko harus sejalan dengan tujuan keseluruhan organisasi.
  • Metode yang digunakan untuk mengidentifikasi risiko yang terkait dengan TI harus
  • Menyediakan daftar yang akurat dan komprehensif.
  • Eksposur risiko harus dikuantifikasi dan dikategorikan dengan benar.
  • Keputusan yang tepat harus dibuat setelah peninjauan yang hati-hati terhadap opsi dan alternatif.





Kesimpulan

Penilaian dan analisis risiko di lingkungan TI apa pun bukanlah proses yang mudah. Bab ini telah memeriksa penerapan penilaian risiko dalam ERM / ORM, desain dan pengembangan Web dan Java, dan cakupan asuransi TI. Ada sejumlah sumber daya yang tersedia untuk membantu auditor dan profesional TI di bidang ini.

Perusahaan mulai melihat manfaat dari melindungi diri mereka sendiri dari semua jenis paparan risiko potensial. Dengan mengidentifikasi dan memetakan eksposur risiko di seluruh organisasi, sebuah perusahaan dapat berkonsentrasi pada mitigasi eksposur yang paling banyak menimbulkan kerusakan. Dengan pemahaman akan risiko, tingkat keparahannya, dan frekuensi mereka, sebuah perusahaan dapat beralih ke solusi, baik itu mempertahankan, mentransfer, berbagi, atau menghindari risiko tertentu.

Berkenaan dengan masalah operasional Web dan Java, beberapa alat dan prosedur keamanan yang ada sekarang untuk mengurangi risiko ketika perusahaan memberikan pelanggannya akses ke sumber daya bisnis melalui Internet telah dibahas. Contoh telah diberikan langkah-langkah keamanan yang tersedia untuk memberikan keamanan akses untuk melindungi komputer, disk, memori, dan peralatan komputasi perusahaan sendiri dari gangguan luar, dan keamanan transaksi untuk memastikan bahwa dua individu atau organisasi di Internet dapat secara pribadi dan aman menjalankan suatu transaksi.

Akhirnya, organisasi harus mengembangkan program manajemen risiko yang baik untuk dapat menentukan kecukupan cakupan asuransi TI mereka. Langkah pertama dalam mengembangkan program dengan benar adalah menyadari batasan dan keuntungan asuransi dan mempelajari metode pengurangan risiko. Untuk program manajemen risiko itu sendiri, tujuan harus ditentukan; risiko harus diidentifikasi, dikategorikan, dan dievaluasi, dan teknik penanganan risiko harus dipilih. Memahami pilihan asuransi dan jenis polis yang tersedia juga penting.
Pengembangan program manajemen risiko yang komprehensif adalah proses yang panjang dan banyak pekerjaan. Namun, begitu ditetapkan, manfaatnya menjadi sangat berharga. Operasi TI akan selalu berisiko. Auditor TI, profesional TI, dan manajemen dapat bekerja sama untuk meminimalkan risiko itu.


di Tidak ada komentar:
Langganan: Postingan (Atom)

                                                                   The Golden Egg Once upon a time, a farmer had a goose th...