1. Pengertian Risiko
Menurut National Institute of Standards and Technology (2002:1), Risk is the net negative impact of the exercise of a vulnerability, considering both the probability and the impact of occurence. Risiko adalah dampak negatif dari adanya kerentanan, berdasar pertimbangan baik probabilitas maupun dampak kejadian.
Analisa keamanan risiko dan manajemen risiko perlu diperhitungkan sebagai elemen terpadu dari rencana bisnis organisasi Thomas (dalam Abdullah, 2006:30). Tingkat keamanan di tiap organisasi harus proporsional terhadap risiko. Manajemen risiko adalah proses dari mengidentifikasi risiko, menilai risiko dan mengambil langkah untuk mengurangi risiko hingga ke level yang bisa diterima.
Definisi perbandingan risiko berdasarkan atas perbedaan budaya, bisnis dan lingkungan (Wei, Frinke, Cartert & Ritter, 2001:1). Terkait dengan dunia keamanan informasi, risiko digambarkan sebagai probabilitas yang perantara ancaman (sebabkan) akan mengkesploitasi kelemahan sistem untuk menciptakan kehilangan dari confidentiality, integrity dan availability dari asset ( Carrol, 1996:459)
Konsep berikut yang didapat dari definisi dari risiko membutuhkan penjelasan lebih lanjut. Ancaman dapat didefinisikan sebagai tiap orang atau benda yang membahayakan untuk asset (Whitman & Mattord, 2004:43) . Vulnarebility adalah kelemahan, kekurangan, lubang atau apapun yang mungkin dieksploitasi oleh ancaman yang kemudian akan menghasilkan kerusakan (Broder, 1984:4;Stephenson, 2004:17). Availability adalah persyaratan yang membuat pengguna yang terautorisasi melanjutkan akses ke informasi dan sumber daya sistem (Bace,2000:29). Confidentiality dari informasi adalah jaminan informasi bersifat dapat diakses oleh orang yang terautosiasi untuk melihatnya (Mash,2002:11). Integrity adalah jaminan pesan tidak mengalami perubahan apapun selama dalam pemancaran, baik secara bebas atau karena kesalahan pemancaran (Stanley, 2002:58). Asset adalah sesuatu yang bisa diukur atau tidak bisa diuksur dan bernilai bagi organisasi (Nosworthy, 2000:599; Josang, Bradley (Knapskog, 2004:63).
2. Pentingnya Pengelolaan Risiko
Memahami dan mengelola risiko keamanan TI adalah sesuatu yang penting untuk melindungi sumber daya organisasi (Gilliam, 2004:296). Mengelola risiko menjadi sangat penting dan menjadi pusat dari peraturan tertentu bahkan peraturan pemerintahan (Deloitte & Touche, 2003:8) dibuat untuk menyelenggarakan mekanisme untuk mengelola risiko.
3. Pengertian Manajemen Risiko
Manajemen risiko TI dianggap sebagai peringkat 10 teratas dari prioritas kekal untuk bisnis dan teknologi CIOs (Hunter & Aron,2005:2). Istilah manajemen risiko terdiri atas beberapa definisi sebagai berikut :
Manajemen risiko (Noshworthy, 2000:600), adalah identifikasi dari ancaman dan implementasi dari pengukuran yang ditujukan pada mengurangi kejadian ancaman tersebut dan menimalisasi setiap kerusakan”. ”Analisa risiko dan pengontrolan risiko membentuk dasar manajemen risiko dimana pengontrolan risiko adalah aplikasi dari pengelolaan yang cocok untuk memperoleh keseimbangan antara keamanan, penggunaan dan biaya
implementation of measures aimed at reducing the likelihood of those threats occurring and minimising any damage if they do; Risk analysis and risk control form the basis of risk management where risk control is the application of suitable controls to gain a balance between security, usability and cost.
Menurut NIST (Stoneburner et al.,2001:E-2), manajemen risiko adalah proses dari ”mengidentifikasi, mengontrol dan meringankan sistem informasi terkait risiko” dan melingkupi pengkajian risiko, analisa manfaat biaya, dan pemilihan, implementasi, pengetesan dan evaluasi keamanan dari usaha perlindungan”. Kajian sistem ini harus memperhatikan ” efektifitas dan efisiensi keduanya, baik dampak pada misi dan batasan terkait dengan kebijakan, peraturan dan hukum.”
controlling and mitigating information sysytem related risks; encompasses risk assesment; cost-benefit analysis; implementation, test and security evalution of safeguards
Manajemen risiko memerlukan alokasi sumber daya terbatas untuk ”meringankan risiko, memindahkan risiko atau memulihkan dari kejadian risiko” (Lewis&Davis, 2004:183).
mitigate risks, transfer risks or recover from risk events.
”manajemen risiko harus menjadi aktifitas yang terus menerus yang termasuk fase untuk mengkaji risiko, mengimplementasikan kesadaran promosi kelola dan mengawasi efektifitas”(Paul,2000:122)
ongoing activity; assesing risk; implementing controls; promoting awareness; monitoring effectiveness
Berdasarkan beberapa definisi , paduan definisi dari manajemen risiko diformulasikan sebagai berikut:
Analisa risiko adalah suatu aktifitas untuk mendukung manajemen risiko, dimana manajemen risiko adalah proses terus menerus dari perencanaan, implementasi, promosi kesadaran dan pengawasan dari pengukuran keamanan yang berjalan untuk meringankan, memindahkan, menghilangkan atau mengontrol risiko hingga ke tingkat yang bisa diterima.
4. Tujuan Manajemen Risiko
Beberapa tujuan/sasaran dari proses manajemen risiko adalah sebagai berikut :
Tujuan manajemen risiko adalah mengurangi pembukaan bisnis dengan menyeimbangkan tindakan balasan investasi terhadap risiko (Birch & McEvoy,1992:45) .
reduce business exposure by balancing countermeasures investment against risk.
Tujuan manajemen risiko adalah meminimalisir harapan dari kerugian (Suh & Han, 2003:150)
to minimise the expected loss
Tujuan akhir manajemen risiko adalah ”memilih pengukuran peringanan risiko, pemindahan risiko dan pemulihan risiko untuk mengoptimalkan kinerja organisasi” (Jacobson,2002:1)
select risk mitigation, risk transfer and risk recovery measures so as to optimise the performance of an organisation.
Berdasarkan pemaparan diatas, tujuan manajemen risiko adalah :
Tujuan dari manajemen risiko adalah implementasi dari pengukuran atas peringanan risiko, pemindahan risiko dan pemulihan risiko untuk mengurangi pengungkapan bisnis dengan menyeimbangkan tindakan balasan investasi melawan risiko.
5. Dimensi Manajemen Risiko
Manajemen risiko (NIST, 2002:4) mencakup tiga proses : (1) penilaian risiko, (2) pengalihan risiko dan (3) evalusi serta penilaian. Proses penilaian risiko mencakup identifikasi dan evaluasi dari risiko dan dampak risiko, dan rekomendasi dari pengukuran pengurangan risiko. Proses pengalihan risiko mengacu pada pengukuran pengurangan risiko yang sesuai rekomendasi dari proses penilaian risiko. Proses evaluasi yang bersifat terus menerus adalah kunci dari implementasi sebuah program manajemen risiko yang berhasil.